Le GRIS-Montréal respecte le droit à la vie privée de chaque individu et s’engage à protéger la confidentialité des renseignements personnels recueillis auprès de tout·e Employé·e ou Participant·e.
En règle générale, les renseignements personnels sont disponibles seulement aux personnes qui doivent y avoir accès dans l’exercice de leurs fonctions au sein du GRIS-Montréal.
« Employé·e »
Toute personne qui travaille pour le GRIS-Montréal moyennant rémunération, incluant la direction générale, ainsi que toutes personnes non rémunérées (bénévole, stagiaire).
« Événement »
Tout événement que le GRIS-Montréal gère ou organise.
« Formulaire de signalement »
Le formulaire mis à la disposition de tout·e Employé·e ou Participant·e afin d’informer la personne responsable des renseignements personnels de tout incident de confidentialité.
« Incident de confidentialité »
Tout accès, toute utilisation, ou toute communication non autorisée par la loi à un renseignement personnel, de même que toute perte ou toute autre forme d’atteinte à la protection d’un tel renseignement.
« Participant·e »
Tout individu qui fournit des renseignements personnels au GRIS-Montréal en lien avec la réalisation d’un Événement, la création d’une Publication, la participation à une activité ou l’obtention d’un Service.
« Publication »
Toute publication produite par le GRIS-Montréal ou à laquelle le GRIS-Montréal contribue, sous quelque forme que ce soit (verbal, écrit, audio, vidéo, informatisé ou autre).
« Registre des incidents de confidentialité »
L’ensemble des renseignements consignés sur des incidents de confidentialité et concernant les circonstances de tels incidents, le nombre de personnes visées, l’évaluation de la gravité du risque de préjudice et les mesures prises en réaction à l’incident. Les dates pertinentes y figurent aussi : survenance de l’incident, détection par l’organisation, transmission des avis (s’il y a lieu).
« Risque d’un préjudice sérieux »
Le risque évalué à la suite d’un incident de confidentialité qui pourrait porter préjudice sérieux aux personnes concernées. Ce risque est analysé par la personne responsable des renseignements personnels. Pour tout incident de confidentialité, la personne responsable évalue la gravité du risque de préjudice pour les personnes concernées en estimant « la sensibilité des renseignements concernés », « les conséquences appréhendées de leur utilisation » et « la probabilité qu’ils soient utilisés à des fins préjudiciables ».
« Renseignement personnel »
Tout renseignement fourni ou communiqué au GRIS-Montréal sous quelque support que ce soit (verbal, écrit, audio, vidéo, informatisé ou autre) qui peut être utilisé pour identifier un individu, y compris : son nom, son numéro de téléphone, son adresse, son courriel, le fait qu’il ou elle ait été ou soit un·e Participant·e ou un·e Participant·e potentiel·le, son genre, son orientation sexuelle et toute information concernant sa santé. À des fins de clarification :
• les renseignements qui ne permettent pas d’identifier un individu ne sont pas des renseignements personnels ;
• les données statistiques dépersonnalisés ou anonymisés ne sont pas des renseignements personnels puisqu’elles ne permettent pas d’identifier un individu ;
• les photographies ou enregistrements qui ne permettent pas d’identifier un individu ne constituent pas un renseignement personnel relatif à cet individu.
« Service ou activité »
Tout service que le GRIS-Montréal rend à un individu à la demande de celui-ci, ou toute activité à laquelle il participe.
2.1 Tout individu a le choix d’être photographié ou non, ou d’être enregistré (audio/vidéo) ou non.
3.1 Les Employé·es sont tenu·es de signer l’entente de confidentialité incluse à l’Annexe A avant d’exercer leurs fonctions ou d’exécuter leurs mandats auprès du GRIS-Montréal.
3.2 L’obligation de confidentialité s’applique à la durée de la relation d’un·e Employé·e avec le GRIS-Montréal et survit à la fin de cette relation.
4.1 Le GRIS-Montréal peut, au besoin, constituer un ou des dossiers contenant des renseignements personnels concernant les Employé·es. La constitution de tels dossiers a pour objet de :
• maintenir les coordonnées à jour ;
• documenter des situations de travail ou de bénévolat ;
• permettre, dans le cas des Employé·es rémunéré·es, la réalisation des tâches administratives requises ou permises par la loi (impôt sur le revenu, assurances collectives, etc.).
4.2 Le GRIS-Montréal peut, au besoin, constituer un ou des dossiers contenant des renseignements personnels concernant les Participant·es. La constitution de tels dossiers a pour objet de permettre au GRIS-Montréal de réaliser un Événement, une Publication, de réaliser une activité ou de fournir un Service.
4.3 Le GRIS-Montréal peut seulement recueillir les renseignements personnels qui sont nécessaires aux fins du dossier et peut utiliser les renseignements personnels seulement à ces fins.
4.4 Les renseignements personnels peuvent seulement être recueillis auprès de la personne concernée, à moins que celle-ci consente à ce que la cueillette soit réalisée auprès d’autrui ou que la loi l’autorise.
5.1 La direction générale, comme personne exerçant la plus haute autorité dans l’organisation, est la personne responsable d’assurer la protection des renseignements personnels. La direction générale peut déléguer cette responsabilité en la constatant par écrit. Sur le principal site web du GRIS-Montréal doit être indiqué, sous le titre de la direction générale ou de la personne responsable, « personne responsable de la protection des renseignements personnels » ainsi que le moyen de la joindre.
La direction générale ou la personne responsable s’assure de la tenue d’un Registre des incidents de confidentialité.
5.2 Sous réserve de l’article 5.3, la direction générale et la personne responsable d’assurer la protection des renseignements personnels sont autorisées à accéder à tout renseignement personnel que détient le GRIS-Montréal. Les autres Employé·es sont autorisé·es à accéder aux renseignements personnels dans la mesure où cet accès est nécessaire à la réalisation d’une tâche dans l’exercice de leurs fonctions.
5.3 Pour l’application des lois, un incident de confidentialité correspond à tout accès, utilisation ou communication non autorisé·es par la loi d’un renseignement personnel, de même qu’à la perte d’un renseignement personnel ou à toute autre atteinte à sa protection.
5.4 Lorsqu’un·e Employé·e ou un·e Participant·e constate un incident de confidentialité, il ou elle doit informer avec diligence la direction générale ou la personne responsable de la protection des renseignements personnels afin que l’incident soit inscrit au Registre et afin d’évaluer les obligations légales de GRIS-Montréal en lien avec cet incident. L’Employé·e ou le ou la Participant·e doit, pour ce faire, compléter un formulaire de signalement et l’acheminer ensuite à la direction générale ou à la personne responsable.
Le registre doit conserver les informations sur un incident de confidentialité pour une période de cinq ans.
Doivent être colligés dans le formulaire de signalement :
• Une description des renseignements personnels touchés par l’incident ou, si cette information est inconnue, les raisons pour lesquelles il est impossible de fournir une telle description ;
• Une brève description des circonstances de l’incident ;
• La date ou la période à laquelle a eu lieu l’incident (ou une approximation si cette information n’est pas connue) ;
• La date ou la période à laquelle l’organisation s’est aperçue de l’incident ;
• Le nombre de personnes concernées par l’incident (ou une approximation si cette information n’est pas connue).
5.5 La direction ou la personne responsable juge si l’incident présente un « risque de préjudice sérieux ». Les renseignements ainsi que les mesures à prendre afin de diminuer le risque qu’un préjudice sérieux soit causé aux personnes concernées sont versé·es au Registre.
Si l’incident présente un risque de préjudice sérieux, la direction générale ou la personne responsable avise à l’aide du formulaire approprié la Commission d’accès à l’information et les personnes concernées par tout incident présentant un risque de préjudice sérieux.
6.1 Les Employé·es ayant accès aux dossiers en vertu de l’article 5 s’engagent à :
• S’assurer que les renseignements personnels soient gardés à l’abri de tout dommage physique ou accès non autorisé ;
• S’assurer que tous les documents électroniques comportant des renseignements personnels, incluant ceux copiés sur un appareil de stockage portatif, soient cryptés et protégés par des mots de passe. Ces mots de passe doivent être modifiés deux fois par année, ainsi qu’à chaque fois que les personnes ayant accès aux dossiers concernés sont remplacées ;
• Garder les renseignements personnels en format papier dans des classeurs pouvant être verrouillés et s’assurer que les classeurs soient verrouillés à la fin de chaque journée de travail. Les clés des classeurs doivent être gardées dans des endroits sûrs.
6.2 Les dossiers constitués en vertu de cette politique sont la propriété du GRIS-Montréal.
7.1 Sous réserve de l’article 7.2, les renseignements personnels ne sont conservés que tant et aussi longtemps que l’objet pour lequel ils ont été recueillis n’a pas été accompli, à moins que l’individu concerné ait consenti à ce qu’il en soit autrement. Ces renseignements personnels sont ensuite détruits de façon à ce que les données y figurant ne puissent plus être reconstituées.
7.2 Les dossiers concernant les Employé·es sont conservés par le GRIS-Montréal.
8.1 Autre que dans les situations où la loi le requiert et sous réserve des autres dispositions du présent article 8, les renseignements personnels ne peuvent être divulgués à un tiers qu’après l’obtention du consentement écrit, manifeste, libre et éclairé de la personne concernée. Un tel consentement ne peut être donné que pour une fin spécifique et pour la durée nécessaire à la réalisation de cette dernière.
8.2 Les renseignements personnels peuvent être divulgués sans le consentement de la personne concernée si la vie, la santé ou la sécurité de celle-ci est gravement menacée. La divulgation doit alors être effectuée de la façon la moins préjudiciable pour la personne concernée.
8.3 Tel que permis par la loi, le GRIS-Montréal peut divulguer des renseignements personnels nécessaires à sa défense ou celle de ses Employé·es contre toute réclamation ou poursuite intentée contre le GRIS-Montréal ou ses Employé·es, par ou de la part d’un·e Participant·e, d’un·e Employé·e, ou de l’une de ses personnes héritières, exécutrices testamentaires, ayants droit ou cessionnaires, y compris toute réclamation émanant de l’assureur d’un·e Participant·e ou d’un·e Employé·e.
9.1 Sous réserve de l’article 9.2, les Participant·es et Employé·es ont le droit de connaître les renseignements personnels que le GRIS-Montréal a reçus, recueillis et conserve à leur sujet, d’avoir accès à de tels renseignements et de demander que des rectifications soient apportées à ceux-ci.
9.2 Le GRIS-Montréal doit restreindre l’accès aux renseignements personnels lorsque la loi le requiert ou lorsque la divulgation révélerait vraisemblablement des renseignements personnels au sujet d’un tiers.
9.3 Une demande d’un·e Participant·e ou d’un·e Employé·e en lien avec l’article 9.1 doit être traitée dans un délai maximal de 30 jours.
10.1 Un·e Employé·e manque à son obligation de confidentialité lorsque cette personne :
• communique des renseignements personnels à des individus n’étant pas autorisés à y avoir accès ;
• discute de renseignements personnels à l’intérieur ou à l’extérieur des locaux du GRIS-Montréal alors que des individus n’étant pas autorisés à y avoir accès sont susceptibles de les entendre ;
• laisse des renseignements personnels sur papier ou support informatique à la vue dans un endroit où des individus n’étant pas autorisés à y avoir accès sont susceptibles de les voir ;
• fait défaut de suivre les dispositions de cette politique.
10.2 Advenant un manquement à l’obligation de confidentialité, des mesures disciplinaires appropriées, pouvant aller jusqu’à la résiliation du contrat de travail ou de toute autre relation avec le GRIS-Montréal, seront prises à l’égard de la partie contrevenante et des mesures correctives seront adoptées au besoin afin de prévenir qu’un tel scénario ne se reproduise.
11.1 S’il s’avère que les renseignements personnels d’une personne ont été utilisés de façon contraire à une disposition de cette politique, cette personne peut déposer une plainte auprès de la direction générale du GRIS-Montréal ou auprès du conseil d’administration du GRIS-Montréal si la plainte concerne le ou la directeur·trice général·e.
11.2 Comme prévu par la loi, la personne s’étant vu refuser l’accès ou la rectification des renseignements personnels la concernant peut déposer sa plainte auprès de la Commission d’accès à l’information pour l’examen du désaccord dans les 30 jours du refus du GRIS-Montréal d’accéder à sa demande ou de l’expiration du délai pour y répondre.