POLITIQUE SUR LA CONFIDENTIALITÉ ET LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS
Numéro : P— 034
Approuvée par : Conseil d'administration
Objet général
La présente politique vise à assurer la sécurité et la protection des renseignements personnels ou confidentiels détenus par le Réseau de transport de la Capitale (RTC) contre la consultation, l'utilisation ou la divulgation non autorisées de ceux-ci. Elle vise également la protection de ces renseignements contre toute atteinte à leur intégrité.
De plus, la présente politique a pour objet de déterminer les règles relatives à la disponibilité de ces renseignements, à leur conservation ainsi qu'aux droits d'accès, de rectification et de destruction.
2. Fondement
Le RTC est un organisme public assujetti notamment à la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1), à la Loi sur les archives (RLRQ, c. A-21.1), à la Loi concernant le cadre juridique des technologies de l'information (RLRQ, c. C-1.1) et au Code civil du Québec (RLRQ, 1991, c. 64).
Le RTC reconnaît l'importance de la protection de la vie privée, de la sécurité et de la protection des renseignements personnels ou confidentiels qu'il recueille et conserve. Il s'engage ainsi à respecter les dispositions, les valeurs et les principes fondamentaux établis par les législations applicables.
Le RTC s'assure de mettre en oeuvre les mesures nécessaires pour garantir le respect de la confidentialité des renseignements personnels ou confidentiels qui lui sont communiqués dans le cours de ses activités.
3. Champ d'application
La présente politique s'applique à tous les employés et mandataires du RTC qui peuvent avoir accès, dans le cadre de l'exécution de leurs fonctions, à des renseignements personnels ou confidentiels.
4. Objectifs
La présente politique vise à définir par quels moyens le RTC protège les renseignements personnels ou confidentiels.
Elle précise également les normes de collecte, de conservation, d'utilisation, de communication, de destruction de ces renseignements ainsi que les droits d'accès et de rectification des renseignements personnels.
5. Définitions Renseignement personnel :
Tout renseignement qui concerne une personne physique, qui permet de l'identifier et qui n'a pas un caractère public au sens de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels. Ces renseignements peuvent être notamment l'adresse personnelle, le numéro de téléphone personnel ou des renseignements concernant l'état de santé d'une personne physique;
Renseignement confidentiel : Tout renseignement de nature tactique ou stratégique pour
le RTC, pour son auteur ou pour son propriétaire, ou tout renseignement habituellement traité de façon confidentielle par ces derniers, tels que des renseignements à caractère financier ou commercial. Un renseignement confidentiel ne comprend pas un renseignement pour lequel les lois applicables dans le secteur public prévoient qu'il acquière un caractère public lorsqu'il est détenu par le RTC.
6. Règles et procédures applicables
6.1. Principes généraux
Le RTC s'engage à mettre en oeuvre un ensemble de mesures technologiques, organisationnelles, humaines, physiques, juridiques et éthiques afin d'assurer la sécurité des renseignements personnels ou confidentiels qu'il détient, notamment en s'assurant des éléments suivants:
• La disponibilité des renseignements de façon à ce qu'ils soient accessibles, au moment convenu et de la manière requise, par les personnes autorisées à y avoir accès;
L'intégrité des renseignements, de manière à ce que ceux-ci ne soient pas détruits ou altérés, de quelque façon, sans autorisation et en respect du calendrier de conservation du RTC, et que le support de ces renseignements leur procure la stabilité et la pérennité voulues;
· La confidentialité des renseignements personnels ou confidentiels, en limitant leur divulgation aux seules personnes autorisées à en prendre connaissance;
· L'identification et l'authentification, de façon à confirmer, lorsque requis, l'identité d'une personne ou l'identification d'un document ou d'un dispositif;
· L'irrévocabilité, afin d'assurer qu'une action, un échange ou un document est clairement attribué à l'entité qui l'a généré;
· La conformité aux exigences légales, réglementaires ou d'affaires auxquelles le RTC est assujetti.
6.2. Principes applicables aux renseignements confidentiels
6.2.1 Consentement à la collecte
La collecte de renseignements confidentiels par le RTC doit s'effectuer en toute transparence, avec le consentement libre et éclairé de la personne concernée et en indiquant clairement les fins pour lesquelles ces renseignements sont recueillis.
Le RTC devra obtenir un nouveau consentement pour utiliser les renseignements confidentiels à des fins qui ne sont pas compatibles avec celles pour lesquelles ils ont été recueillis.
6.2.2 Conservation
Tous les renseignements confidentiels collectés, quel que soit leur support, sont conservés dans un environnement sécurisé.
Ces renseignements sont accessibles uniquement aux employés ou mandataires du RTC qui en ont nécessairement besoin pour l'exercice de leurs fonctions et ces derniers sont tenus de respecter le caractère confidentiel de ces renseignements.
6.2.3 Communication à des tiers
Le RTC requiert le consentement de la personne concernée avant de communiquer à un tiers un renseignement confidentiel lui appartenant, à moins que les lois applicables en autorisent la communication sans ce consentement.
6.2.4 Destruction
Les renseignements confidentiels sont conservés pour la période nécessaire à la réalisation des fins prévues par leur collecte et, par la suite, sont détruits dans les délais prévus au calendrier de conservation du RTC.
6.3. Principes applicables aux renseignements personnels
6.3.1 Consentement à la collecte
La collecte de renseignements personnels par le RTC doit s'effectuer en toute transparence et avec le consentement libre et éclairé de la personne concernée.
En respect des lois applicables, lorsque le RTC recueille des renseignements personnels, il indique clairement les fins pour lesquelles ces renseignements sont recueillis et requiert le consentement de la personne concernée pour en faire usage. Si la personne auprès de laquelle des renseignements personnels sont recueillis est mineure, le consentement doit être donné par son parent ou son tuteur.
Le RTC devra obtenir un nouveau consentement pour utiliser les renseignements personnels à des fins qui ne sont pas compatibles avec celles pour lesquelles ils ont été recueillis.
6.3.2 Limite à la collecte de renseignements personnels
En respect des lois applicables, le RTC s'engage à recueillir uniquement les renseignements personnels nécessaires pour :
· fournir le service demandé;
· l'exercice de ses attributions ou de celles d'un organisme public avec lequel il collabore pour la prestation de services ou pour la réalisation d'une mission commune;
· « la mise en oeuvre d'un programme dont il a la gestion ou de celui d'un organisme public avec lequel il collabore pour la prestation de services ou pour la réalisation d'une mission commune.
6.3.3 Mode de collecte
La collecte de renseignements personnels peut s'effectuer notamment par l'entremise de formulaires, de différents moyens technologiques (par exemple, les réseaux sociaux ou des applications du RTC), d'entretiens téléphoniques, de sondages d'opinion ou de questionnaires.
Toute personne qui recueille, au nom du RTC, des renseignements personnels auprès de la personne concernée ou d'un tiers, doit s'identifier et fournir notamment les informations suivantes :
· le nom du RTC;
· les fins pour lesquelles ces renseignements sont recueillis;
· les catégories de personnes qui auront accès à ces renseignements;
· le caractère obligatoire ou facultatif de la demande;
· les conséquences pour la personne concernée ou, selon le cas, pour le tiers, d'un refus de répondre à la demande;
· les droits d'accès et de rectification.
6.3.4 Conservation
Tous les renseignements personnels collectés, quel que soit leur support, sont conservés dans un environnement sécurisé.
Ces renseignements sont accessibles uniquement aux employés ou mandataires du RTC qui en ont nécessairement besoin pour l'exercice de leurs fonctions et ces derniers sont tenus de respecter le caractère confidentiel de ces renseignements.
Le RTC doit veiller à ce que les renseignements personnels qu'il conserve soient à jour, exacts et complets dans le but de servir aux fins pour lesquelles ils ont été recueillis.
6.3.5 Finalités de la collecte
Lorsque le RTC collecte et conserve des renseignements personnels, son objectif est d'offrir un service personnalisé et sécuritaire à ses clients, dans le respect des lois applicables et des règles de sécurité.
Ainsi, le RTC utilisera les renseignements personnels recueillis notamment pour les fins suivantes :
· vérifier l'identité d'un client;
· assurer la protection du client et celle du RTC contre la fraude et les fausses déclarations;
· offrir une prestation de services personnalisée;
· déterminer l'admissibilité aux tarifs privilégiés offerts par le RTC;
· suivre les requêtes de service auprès du RTC ou de ses mandataires, le cas échéant;
· assurer le suivi des plaintes adressées au RTC;
· communiquer de l'information, aux clients qui le souhaitent, sur les services offerts;
· utiliser les données à des fins statistiques, élaborer des modèles prévisionnels, prendre des mesures et définir des profils;
· améliorer les services offerts.
6.3.6 Communication à des tiers
Le RTC requiert le consentement de la personne concernée avant de communiquer à un tiers un renseignement personnel la concernant, à moins que les lois applicables en autorisent la communication sans ce consentement.
6.3.7 Droits d'accès, de rectification ou de retrait
Toute personne qui en fait la demande a droit d'accès aux renseignements personnels qui la concernent et qui sont détenus par le RTC, à moins d'exceptions prévues aux lois applicables.
Une personne peut demander que ses renseignements personnels soient corrigés, détruits ou qu'ils ne soient plus utilisés pour les fins pour lesquelles ils ont été recueillis.
En conformité avec les lois applicables, le RTC s'engage à respecter toute demande de rectification, de retrait ou de destruction, à moins d'obligations légales à l'effet contraire.
6.3.8 Destruction
Les renseignements personnels sont conservés pour la période nécessaire à la réalisation des fins prévues par leur collecte et, par la suite, sont détruits dans les délais prévus au calendrier de conservation du RTC.
6.3.9 Gestion des plaintes
Toute personne qui désire déposer une plainte concernant la collecte, la conservation, l'utilisation, la communication, la destruction ou les droits d'accès ou de rectification à ses renseignements personnels par le RTC doit adresser celle-ci au responsable de l'accès aux documents et de la protection des renseignements personnels du RTC.
6.4. Sécurité des renseignements
Le RTC utilise les technologies de l'information pour supporter ses processus d'affaires afin d'offrir une meilleure prestation de services
Le RTC met en place des mesures de sécurité et de gestion des accès adéquates pour assurer la confidentialité, l'intégrité et la disponibilité des renseignements qu'il détient en fonction de la sensibilité de ces renseignements, des -risques auxquels il sont exposés et des obligations auxquelles le RTC est soumis.
6.5. Responsabilité de l'utilisateur
Toute personne qui achemine des renseignements au RTC est responsable de l'exactitude de ceux-ci ainsi que du maintien de la confidentialité de ses renseignements •d'identification et d'authentification (code d'utilisateur, code d'accès, mot de passe, numéro de carte OPUS, etc.). Le RTC ne peut être tenu responsable d'un usage non autorisé causé par cet utilisateur.
Toute personne qui achemine des renseignements au RTC doit également s'assurer que le système ou l'équipement avec lequel il transmet ou reçoit de l'information du RTC est suffisamment sécuritaire et faire preuve de vigilance. Le RTC ne peut être tenu responsable d'un accès non autorisé à des renseignements découlant d'une négligence ou des vulnérabilités présentes sur l'équipement ou le système d'un utilisateur.
Dans l'éventualité où la confidentialité de ses renseignements venait à être compromise ou son identité usurpée, l'utilisateur est tenu d'en aviser le RTC le plus rapidement possible.
6.6. Restrictions relatives à l'accès aux services
Le RTC se réserve le droit, pour un motif raisonnable, en tout temps, de détruire le compte d'un utilisateur, et ce, à sa seule discrétion et sans prévis.
Le RTC se réserve également le droit, pour un motif raisonnable, de restreindre ou suspendre l'accès d'un utilisateur aux applications offertes par le RTC, en tout ou en partie.
Le RTC ne pourra être tenu responsable d'une telle restriction, suspension ou destruction. 6.7. Déclaration d'incident
Le RTC s'engage à informer ses clients, partenaires d'affaires ou utilisateurs en cas d'incident affectant la protection de leurs renseignements personnels ou confidentiels. Il s'engage également à prendre les mesures requises pour diminuer les risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature se produisent.
6.8. Lien vers d'autres sites Internet
Le site Internet du RTC propose des hyperliens vers d'autres sites Internet. Les renseignements échangés sur ces sites ne sont pas assujettis à la présente politique, mais à celle du site externe.
Le RTC n'est pas responsable du contenu de ces sites et ne peut être tenu responsable des dommages, de quelque nature qu'ils soient, découlant de la navigation ou de l'utilisation de ces sites.
7. Annexes
S. 0.
8. Responsable de l'application
Le directeur général est responsable de l'application de la présente politique.
9. Dispositions finales et mesures transitoires
S. O.
10. Entrée en vigueur
La présente politique entrera en vigueur le jour de son adoption par le conseil d'administration du RTC.
Le 31 octobre 2018.
Stéphanie Deschênes, secrétaire générale
https://www.rtcquebec.ca/regles-relatives-la-confidentialite