Règles de gouvernance en matière de renseignements personnels (Loi 25)

Table des matières

Introduction

En septembre 2021, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« Loi 25 ») a été adoptée par l’Assemblée nationale du Québec. Cette loi vient ajouter et modifier plusieurs dispositions au cadre juridique applicable aux entreprises d’enseignement privés en ce qui concerne la collecte, l’utilisation, la communication à des tiers, la conservation et la sécurité des renseignements personnels.

Ces exigences s’appliquent aussi bien à l’égard des renseignements personnels des élèves et de leurs parents (titulaires de l’autorité parentale, tuteurs, tutrices) que de ceux des employés ou des différents partenaires des entreprises d’enseignement privés. Parmi ces exigences, il est prévu que les entreprises d’enseignement privés fassent preuve de transparence et adoptent des règles dites de gouvernance quant à la gestion des renseignements personnels qu’ils détiennent, et ce, même si celle-ci est confiée à un tiers.

Cette exigence entre en vigueur le 22 septembre 2023. Elle est intégrée aussi bien dans la Loi sur l’accès aux documents des organismes publics et la protection des renseignements personnels que dans la Loi sur la protection des renseignements personnels dans le secteur privé.

Rôles et responsabilités

Responsable de la protection des renseignements personnels

Raby Bouras

Directeur

Voir au respect de la protection des renseignements personnels au sein de l’entreprise, mais aussi à l’égard de ceux confiés à un tiers. Promouvoir le droit au respect de la vie privée et de la protection des renseignements personnels au sein de l’entreprise.

Responsabilités

  • Conseiller en matière de protection des renseignements personnels.
  • Siéger au comité sur l’accès à l’information et sur la protection des renseignements personnels.
  • Établir et mettre en œuvre les politiques et pratiques encadrant la gouvernance de l’entreprise à l’égard des renseignements personnels et veiller à sa révision périodique.
  • Participer à l’entreprise de la position organisationnelle en matière de protection des renseignements personnels.
  • Intervenir à toute étape d'une évaluation des facteurs relatifs à la vie privée d'un projet visant un système d'exploitation ou de prestation électronique de services impliquant des renseignements personnels.
  • Être consulté lors de l’évaluation du risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de confidentialité.
  • En collaboration avec le service des ressources humaines, tenir les registres de communications de renseignements personnels, incluant en cas d’incident de confidentialité.
  • Être avisé en cas d’incident de confidentialité survenu chez un mandataire ou l’exécutant d’un contrat de service ou d’entreprise / procéder (seul ou avec les services concernés) à l’inventaire des contrats avec des fournisseurs, prestataires externes et, le cas échéant, les réviser.
  • Effectuer toute vérification relative à la confidentialité des renseignements personnels confiés à un tiers.
  • Répondre aux plaintes ainsi qu’aux demandes d’accès aux renseignements personnels ou de rectification.
  • Prêter assistance au demandeur à comprendre la décision de lui refuser – en tout ou en partie – l’accès ou la rectification d’un renseignement personnel.
  • Mettre en place des formations, des mécanismes de sensibilisation à la protection des renseignements personnels au sein de l’entreprise.
  • Répondre aux demandes de la Commission d’accès à l’information.

Agence de Marketing

Klimb Ascension d'Entreprise

S'assurer de l'application des meilleures pratiques de sécurité pour la gestion des campagnes marketing numériques et l'hébergement de sites web, en mettant l'accent sur la protection des renseignements personnels. Promouvoir l'importance de la vie privée et de la protection des données personnelles dans toutes les activités de marketing numérique.

Responsabilités

  • Mettre en œuvre des mesures de sécurité robustes, telles que l'authentification à deux facteurs (2FA), pour protéger les données personnelles dans le cadre des services offerts.
  • Collaborer avec les clients pour s'assurer qu'ils comprennent les pratiques de sécurité en place et leur rôle dans la protection des données.
  • Effectuer des mises à jour régulières des logiciels utilisés pour atténuer les risques potentiels liés à la gestion des campagnes Google Ads, des infolettres et des campagnes Facebook.
  • Élaborer des plans d'intervention pour réagir rapidement en cas d'incident de confidentialité.
  • Maintenir un inventaire des technologies et outils utilisés pour la collecte, la communication et la conservation des renseignements personnels.
  • Offrir des formations et des activités de sensibilisation sur la sécurité des informations pour renforcer la vigilance de l'équipe interne et des parties prenantes externes.

Bien que l'agence s'engage à utiliser les meilleures pratiques pour sécuriser les données, elle ne peut être tenue responsable des incidents de sécurité résultant de facteurs indépendants de sa volonté, tels que l'utilisation inadéquate des technologies par les clients ou des failles de sécurité dans les plateformes tierces.

Comité Loi 25

Soutenir l’entreprise dans l’exercice de ses responsabilités et dans l’exécution de ses obligations à l’égard de la protection des renseignements personnels (PRP). Approuver les règles de gouvernance à l’égard des renseignements personnels. Être consulté lors des évaluations de facteurs relatifs à la vie privée pour tout projet d’acquisition, de développement et de refonte d’un système d’information ou d’une prestation électronique de service impliquant des renseignements personnels.

Responsabilités

  • Dresser un inventaire des renseignements personnels détenus par chacun des services.
  • Approuver des règles de gouvernance.
  • Être consulté, dès le début d’un projet impliquant des renseignements personnels et aux fins de l’évaluation des facteurs relatifs à la vie privée, pour tous les projets d’acquisition, de développement et de refonte d’un système d’information ou d’une prestation électronique de services impliquant des renseignements personnels.

Cybersécurité

L’entreprise s’engage à suivre les meilleures pratiques de sécurité pour protéger les renseignements personnels des utilisateurs de notre site web.

  • Garder nos systèmes à jour grâce à des mises à jour régulières et à l'application de correctifs de sécurité.
  • Utiliser des services chiffrés et réputés pour la gestion et le stockage des données.
  • Protéger les données de l'organisation en utilisant des solutions de sécurité éprouvées.
  • Optimiser la prévention contre la cybercriminalité grâce à des pratiques proactives.
  • Les renseignements personnels sont accessibles uniquement aux membres du personnel qui en ont besoin pour accomplir leurs tâches, garantissant ainsi une gestion sécurisée des données.

Conservation et destruction

Conformément aux lois applicables, en ce qui concerne la conservation et la destruction d’un renseignement personnel, lorsque les objectifs sont atteints, l’information doit être détruite ou anonymisée, sous réserve du délai de conservation prévu par une loi.

À ce sujet, l’entreprise se réfère au Guide de gestion des archives à l’intention des entreprises d’enseignements privés du Québec préparé par la Fédération des entreprises d’enseignement privés et transmis à Bibliothèques et Archives nationales (février 2016) ainsi qu’à la Commission d’accès à l’information.

Gestion des incidents

En cas d’incident de confidentialité, l’entreprise, conformément aux lois s’y rattachant, s’engage à :

  • Inscrire l’incident au registre prévu à cet effet.
  • Évaluer les facteurs de risque en matière de vie privée et/ou vol d’identité.
  • Informer la Commission d’accès à l’information et les personnes concernées, en cas d’incident présentant un risque de préjudice sérieux.

Un plan d’intervention en matière de sécurité, incluant les incidents de confidentialité, a été mis en place. Celui-ci comprend l’introduction de l’incident, l’équipe de réponse en cas d’incident et les différentes étapes et démarches à effectuer pour la gestion de l’incident.

Si vous êtes victime d’un incident de sécurité et/ou de confidentialité, vous devez d’abord communiquer par écrit avec la personne responsable.

Avec diligence, confidentialité, et en cas de besoin, l’entreprise se réserve le droit de discuter d’un incident avec les membres du Comité Loi 25 ou de prendre un avis juridique auprès d’une firme d’avocat conseils ou auprès de la Commission d’accès.

Évaluation des facteurs relatifs à la vie privée

L’entreprise s’engage à réaliser, au préalable, des évaluations de facteurs relatifs à la vie privée (EFVP) lors des situations suivantes :

  • Lors d’un projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services impliquant des renseignements personnels.
  • Lors de la communication à l’extérieur du Québec de renseignements personnels ou lorsque la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte de tels renseignements est confiée à une personne ou à un organisme à l’extérieur du Québec.
  • Lors de la collecte de renseignements personnels nécessaires à l’exercice des attributions ou à la mise en œuvre d’un programme d’un organisme public avec lequel il collabore pour la prestation de services ou pour la réalisation d’une mission commune.
  • Lors de la communication de renseignements personnels sans le consentement des personnes concernées, conformément à l’article 68 de la Loi sur l’accès.

Lorsque l’entreprise doit effectuer une EFVP, celle-ci peut être proportionnée, mais doit tenir compte :

  • De la sensibilité des renseignements personnels ou encore de leur nature ou de leur type.
  • De la finalité de leur utilisation.
  • De leur quantité, leur répartition et leur support.
  • Des mesures de protection en place incluant, dans le cas des communications à l’extérieur du Québec, l’analyse du régime juridique applicable dans l’État où les renseignements personnels seront communiqués.

Un éventail deservices pourvotre bien-être

icon évaluation neuropsychologique

Évaluations
neuropsychologiques


icon soutien psychologique

Services de soutien
et d'intervention
psychologique


icon évaluation neuropsychologique

Évaluations
multidisciplinaire


icon consultations pharmaceutiques

Consultations
pharmaceutiques


icon intervention autisme

Intervention
autisme


icon psychoéducation

Psycho-
éducation


icon thérapie de couple

Thérapie
de couple


Prêt à retrouver plus de calme et de clarté dans votre quotidien?

Vous avez des questions ?

Contactez-nous

Vous êtes prêt à prendre rendez-vous?

Rendez-vous

Comment nous contacter

Par téléphone

Appelez-nous au (514) 312-7046. Nous serons ravis de répondre à vos questions et de vous aider à mieux comprendre comment nous pouvons vous assister.

Par courriel

Envoyez-nous un email à info'at'centresneuropsy.com. Nous nous engageons à répondre à vos questions dans les plus brefs délais.

Par formulaire de contact

Utilisez notre formulaire de contact en ligne pour poser vos questions. Un membre de notre équipe vous répondra rapidement.
logo Centres Neuropsy

À propos

Adresse

315, boul. St-Martin Ouest,  Laval, QC, H7M 1Y7

Services

Ressources

Contact

Lun au Ven : 9h à 19h

Contactez-nous
(514) 312-7046
  • Choix du consommateur2022 | 2023 | 2024