Breadcrumbs

Résumé - Cadre de gouvernance des renseignements personnels

Renseignements personnels - Loi 25 - Québec


Préhos accorde une grande importance à la protection des renseignements personnels. À cet égard, Préhos a élaboré une politique de gouvernance afin d’encadrer sa gouvernance en matière de vie privée. 

Préhos a aussi mis en place diverses mesures en soutien de sa politique et de son application conformément aux lois applicables. C’est ainsi que Préhos a notamment : 

  • Validé et confirmé les rôles et responsabilités de son responsable de la protection des renseignements personnels (le responsable); 

  • Entrepris la révision et la documentation des mesures et règles internes en matière de protection des renseignements personnels; et

  • Mis en place des mesures d’assistance.

À la politique s’ajoutent aussi plusieurs autres procédures et outils élaborés par Préhos, notamment :

  • a politique en matière de gestion des incidents de confidentialité; 

  • sa politique de conservation des documents contenant des renseignements personnels;

  • son registre des incidents de confidentialité; 

  • son modèle d’évaluation des facteurs relatifs à la vie privée dans le contexte de la communication de renseignements personnels à l’extérieur du Québec;

  • son modèle d’évaluation des facteurs relatifs à la vie privée dans le contexte de la communication de renseignements personnels à des fins d’étude, de recherche ou de production de statistiques;

  • son modèle d’évaluation des facteurs relatifs à la vie privée dans le cadre de projets technologiques impliquant des renseignements personnels;

  • ses modèles de clauses contractuelles si les services d’un tiers sont retenus; et

  • ses modèles de clauses contractuelles en cas de transferts hors Québec.

Tous ces documents forment le cadre de gouvernance de Préhos en matière de protection des renseignements personnels. Ils précisent notamment :

  • les règles relatives à la collecte et aux autres traitements de renseignements personnels sous le contrôle de Préhos, incluant ceux des employés et de toute autre personne, lorsqu’applicable;

  • les considérations particulières applicables aux renseignements personnels recueillis par les utilisateurs autorisés de Préhos auxquels Préhos peut avoir accès dans le cadre des services fournis à ceux-ci;

  • les mesures de sécurité mises en place afin d’assurer la confidentialité, l’intégrité et la disponibilité des renseignements personnels tout au long de leur cycle de vie; 

  • les rôles et responsabilités de diverses personnes, dont celle ayant la plus haute autorité, des responsables, des employés et des sous-traitants;

  • la gestion des accès aux renseignements personnels;

  • le processus de traitement des plaintes;

  • certaines règles pouvant trouver application dans des contextes spécifiques, notamment en cas :

    • de communication ou de traitements de renseignements personnels à l’extérieur du Québec;

    • de demandes d’accès à des renseignements à des fins d’étude, de recherche ou de production de statistiques; et

    • de projets technologiques impliquant des renseignements personnels;

  • certaines règles qui trouveront application si certains types d’initiatives en venaient à être mis en place, dont :

    • le recours à une technologie d’identification, de localisation ou de profilage; ou 

    • la prise de décision fondée sur le traitement automatisé de renseignements personnels

  • les processus applicables aux demandes d’accès, de rectification et autres; et

  • le processus de mise à jour des documents.

Un résumé du contenu du cadre de gouvernance est disponible en annexe ou  ici . Ce cadre de gouvernance est aussi complété par les lois en vigueur. Des précisions additionnelles peuvent être obtenues en communiquant avec :

Responsable de la protection des Renseignements personnels :

Adresse: 115-2327, boul. du Versant Nord, Québec QC G1N 4C2 CANADA
Courriel :  politiquevieprivee@prehos.com
Téléphone : +1 844 311 6367 

À noter que le cadre de gouvernance contient certains renseignements sensibles, notamment quant aux mesures de sécurité déployées. Ainsi, l’accès et la communication aux documents formant le cadre de gouvernance, ou aux informations contenues à celui-ci, peuvent être restreintes. 

Résumé du cadre de gouvernance

1. CHAMP D’APPLICATION

Le cadre de gouvernance vise les individus, les activités, les renseignements et les ressources suivants :

  •  Individus : Tous les employés de Préhos (dont ses responsables) et les sous-traitants, lorsqu’applicable. 

  • Activités : Tout traitement de renseignements personnels dans le cadre de la mission, des activités ou des attributions de Préhos, et ce, même si la détention physique des renseignements personnels n’est pas assurée par Préhos. Pour plus de précisions, le cadre de gouvernance ne s’applique pas aux renseignements personnels qui peuvent être recueillis à propos de patients par des utilisateurs autorisés bénéficiant des services de Préhos.

  • Ressources : Tous les systèmes d’information, sans égard à leur support ou à leur format, qu’ils soient conservés à l’interne ou à l’externe, tels que les systèmes en infonuagique.

  • Renseignements : Tout renseignement personnel, peu importe le format et l’endroit de conservation (à l’interne ou à l’externe). La notion de « renseignement personnel » est interprétée largement, de manière à inclure ceux concernant les employés de Préhos et toute autre personne, lorsqu’applicable. Toutefois, et conformément aux lois applicables, certains renseignements ne se qualifieront pas à titre de « renseignements personnels ».

2. PRINCIPES DIRECTEURS

Dans le cadre de ses missionset de ses activités, Préhos est appelé à détenir et/ou à traiter divers types de renseignements personnels. À cet effet, Préhos insiste sur l’importance que tout traitement ait lieu selon les principes directeurs suivants :

  • la collecte de renseignements personnels doit être nécessaire, et requise ou permise par la loi (et, lorsqu’applicable, par tout contrat);

  • tout renseignement personnel est considéré, par défaut, comme confidentiel et est traité de cette façon;

  • aucun renseignement personnel ne peut faire l’objet de traitements à moins que les consentements requis n’aient été obtenus ou que ces traitements soient permis ou requis par la loi;

  • la protection des renseignements personnels doit être assurée entre autres par la mise en place et le respect de mesures de sécurité adéquates;

  • les renseignements personnels ne peuvent être conservés que pour la période requise pour les fins pour lesquelles ils ont été colligés (sujets aux exceptions légales et contractuelles applicables); et

  • toute demande (d’accès, de rectification et autres) et tout incident de confidentialité doivent être immédiatement rapportés au responsable applicable. 

3. RENSEIGNEMENTS PERSONNELS DÉTENUS PAR DES UTILISATEURS AUTORISÉS

Dans le cadre des services rendus aux utilisateurs autorisés, Préhos met à la disposition de ceux-ci des logiciels et solutions pouvant être utilisés par les utilisateurs autorisés dans le cadre de leur collecte et traitement des renseignements personnels de patients. Quoique Préhos peut accéder à tels renseignements personnels (à la demande de l’utilisateur autorisé les ayant recueillis), en aucun cas Préhos ne sera considéré comme ayant la détention juridique des renseignements personnels recueillis par ses utilisateurs autorisés. Le cadre de gouvernance prévoit les particularités du traitement de renseignements personnels recueillis par les utilisateurs autorisés. 

4. RENSEIGNEMENTS PERSONNELS CONCERNANT LES EMPLOYÉS

Préhos procède à la collecte et aux traitements de renseignements personnels requis concernant ses employés dans la mesure où cela est : (i) requis pour gérer sa relation d’emploi avec ses employés; (ii) permis par la loi; ou (iii) nécessaire pour se conformer aux exigences légales et contractuelles applicables. Ces collectes et traitements  sont limités à ces fins. Ces renseignements requis sont colligés et autrement traités avec le consentement des employés, à moins que la loi ne permette ou ne requière telle collecte ou tels autres traitements sans le consentement auquel cas le consentement des employés ne sera pas requis.

Les renseignements facultatifs sont aussi colligés si les employés y consentent.  

Préhos ne fournira pas à des tiers des renseignements personnels concernant ses employés sans leur consentement, à moins d’une exception prévue par la loi ou portée à l’attention des employés concernés. 

5. RENSEIGNEMENTS PERSONNELS CONCERNANT LES PATIENTS

Dans le cadre des services rendus aux utilisateurs autorisés, Préhos met à la disposition de ceux-ci des logiciels et solutions qu’ils peuvent utiliser dans le cadre de leur collecte et traitement des renseignements personnels de patients. Lorsque nécessaire afin de fournir des services à ses utilisateurs autorisés, Préhos peut accéder aux renseignements personnels détenus par celui-ci, auquel cas les renseignements personnels accédés par Préhos seront traités conformément à la présente politique. Toutefois, les utilisateurs autorisés seront toujours considérés comme ayant la détention juridique des renseignements personnels recueillis dans le cadre de leurs activités, et en aucun cas Préhos ne sera considéré comme ayant la Détention des Renseignements personnels recueillis par ses Utilisateurs autorisés. Préhos se conformera aux dispositions de la Loi aux fournisseurs de Services.

6. RENSEIGNEMENTS PERSONNELS CONCERNANT TOUTE AUTRE PERSONNE 

Préhos peut être appelé à colliger et à traiter des renseignements personnels des membres du public qui communiquent avec elle. Ces collectes et traitements auront lieu sur la base de leur consentement (p.ex. : une personne communique avec Préhos pour postuler sur une offre d’emploi). Préhos ne fournira pas à des tiers des renseignements personnels qu’il détient au sujet d’une personne sans son consentement, à moins d’une exception prévue par la loi ou portée à l’attention des personnes concernées.

7. CONSENTEMENTS

Le cadre de gouvernance de Préhos insiste sur l’importance qu’un consentement valide existe en lien avec la collecte ou tout autre traitement de renseignements personnels. Ce consentement peut être implicite ou explicite. Préhos déploie des efforts raisonnables pour s’assurer que les consentements explicites soient manifestes, libres, éclairés, donnés à des fins spécifiques, demandés pour chaque fin en termes simples et clairs, présentés distinctement des autres informations communiquées et, pour les renseignements sensibles, formulés de manière expresse. Le cadre de gouvernance rappelle toutefois que la loi reconnaît certaines situations où un consentement ne sera pas sollicité ou n’aura pas à être sollicité.  Il est prêté assistance à toute personne qui le requiert afin de l’aider à comprendre la portée du consentement demandé. 

Chaque utilisateur autorisé est responsable d’obtenir un consentement dans le cadre de sa collecte des renseignements personnels des patients. En aucun cas Préhos ne sera impliqué dans le processus d’obtention de consentement auprès d’un patient.

8. CONSERVATION, DESTRUCTION ET ANONYMISATION

Préhos procédera à la destruction des renseignements personnels qu’il détient lorsque les fins auxquelles ceux-ci ont été recueillis ou utilisés sont accomplies (sous réserve d’un délai de conservation prévu par la loi); Préhos a notamment mis en place un calendrier de conservation pour l’assister à ce niveau. 

Préhos n’est pas responsable des pratiques de conservation, de destruction et d’anonymisation des renseignements personnels détenus par un utilisateur autorisé. Suivant la résiliation d’un contrat de services avec tout utilisateur autorisé et conformément aux modalités de celui-ci, Préhos pourra fermer tous les comptes de tel utilisateur autorisé et supprimer tous les renseignements ainsi conservés sur ces comptes après une période de transition raisonnable.

9. COMMUNICATION DE RENSEIGNEMENTS PERSONNELS À L'EXTÉRIEUR DU QUÉBEC

Préhos procédera à une évaluation des facteurs relatifs à la vie privée avant de communiquer un renseignement personnel à l’extérieur du Québec afin d’en assurer la confidentialité et la sécurité. Si un utilisateur autorisé veut communiquer des renseignements personnels recueillis à l’aide des services de Préhos à l’extérieur du Québec, Préhos fournira à celui-ci l’assistance raisonnablement requise dans la réalisation de son évaluation des facteurs relatifs à la vie privée.

10. COMMUNICATION DE RENSEIGNEMENTS PERSONNELS À DES FINS D'ÉTUDE, DE RECHERCHE OU DE PRODUCTION DE STATISTIQUES

Conformément à la loi, Préhos pourrait communiquer des renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques. Une évaluation des facteurs relatifs à la vie privée devra toutefois être réalisée et, si celle-ci permet de conclure que des renseignements peuvent être communiqués, alors une entente sera conclue avec le demandeur. Les formalités imposées par la loi devront aussi être respectées. Si une demande vise des renseignements personnels détenus par un utilisateur autorisé auxquels Préhos a accès, Préhos utilisera les efforts raisonnablement requis pour relayer celle-ci à l’Utilisateur autorisé concerné et lui fournir l’assistance nécessaire afin d’y donner suite.

11. PROJET TECHNOLOGIQUE IMPLIQUANT DES RENSEIGNEMENTS PERSONNELS

Préhos procédera à une évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant des renseignements personnels selon le processus prescrit par la loi.

12. RECOURS À UNE TECHNOLOGIE D’IDENTIFICATION, DE LOCALISATIONOU DE PROFILAGE

De temps à autre, Préhos pourrait avoir recours à une technologie comprenant des fonctions permettant d’identifier une personne, de la localiser ou d’effectuer un profilage de celle-ci. Dans tous les cas et conformément à la loi, cette personne sera informée au préalable : i) du recours à une telle technologie; et ii) des moyens offerts pour activer les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage.  

13. PRISE DE DÉCISION FONDÉE SUR LE TRAITEMENT AUTOMATISÉ DE RENSEIGNEMENTS PERSONNELS

Préhos n’envisage pas utiliser de Renseignements personnels afin que soit rendue une décision fondée exclusivement sur ceux-ci. Malgré ce qui précède et advenant que telle approche soit prise, Préhos veillera à informer la personne concernée de ce fait, au plus tard au moment la décision de Préhos lui est communiquée, conformément aux lois applicables.

14. MESURES DE SÉCURITÉ 

Préhos met en place diverses mesures de sécurité propres à assurer la protection des renseignements personnels qu’il détient et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. Ces mesures incluent des mesures : (i) internes; (ii) à l’égard des sous-traitants; et (iii) en matière de gestion des incidents de confidentialité.

15. DEMANDE D'ACCÈS, DE RECTIFICATION ET AUTRES

Les demandes d’accès, de rectification et autres sont traitées par Préhos conformément à la loi. 

Le responsable prête assistance aux demandeurs si ceux-ci le requièrent. L’assistance offerte inclut les éléments suivants :

  1. Lorsque la demande n’est pas suffisamment précise ou que le demandeur le requiert, le responsable prête assistance au demandeur pour identifier les renseignements personnels recherchés.

  2. Sujet aux lois applicables et suivant une demande formulée à cet effet, le responsable : 

    1. confirmera l’existence de renseignements personnels détenus et qui concerne le demandeur et, lorsqu’applicable, lui en donnera communication (ou lui permettra d’en obtenir une copie); et 

    2. corrigera les renseignements personnels le concernant qui seraient inexacts, incomplets ou équivoques.

  3. Dans l’éventualité d’un refus de donner suite à une demande d’accès, les motifs de ce refus seront communiqués au demandeur conformément à la loi. Le responsable prêtera alors assistance au demandeur qui le demande pour l’aider à comprendre ce refus. 

Le responsable veillera à :

  1. offrir une aide raisonnable tout au long du processus de traitement d’une demande;

  2. fournir des renseignements au sujet de la loi, notamment en ce qui concerne le traitement d’une demande et le droit de porter plainte auprès de la Commission d’accès à l’information;

  3. communiquer avec le demandeur si des précisions sont requises au sujet d’une demande, telle communication ayant lieu dès que raisonnablement possible;

  4. déployer les efforts raisonnablement requis pour trouver les documents demandés;

  5. s’assurer que les exceptions invoquées (en lien avec un refus de communiquer tout ou partie de documents) soient précises et limitées (à tels documents);

  6. fournir des réponses qui, au meilleur de sa connaissance, sont exactes et complètes;

  7. communiquer promptement l'information demandée dans le cadre du processus d’accès; et

  8. s'il y a lieu, fournir les documents sur le support demandé ou, selon le cas, fournir un endroit approprié pour examiner les documents visés par la demande.

L’assistance offerte n’oblige toutefois pas le responsable à fournir plusieurs fois les mêmes explications à un demandeur. De même, une fois que les informations nécessaires pour aider un demandeur à comprendre la décision ont été données, le responsable peut choisir de cesser de lui fournir des explications.

Toute demande d’accès d’un patient aux dossiers le concernant doit être exclusivement adressée à l’utilisateur autorisé approprié, et non à Préhos. Cette demande d’accès doit être formulée conformément aux lois régissant l’accès à ce type de dossiers. Les demandes d’accès seront exclusivement traitées par les utilisateurs autorisés concernés.