Adoption | ||
Instance | Date | Décision |
Conseil d’administration | 24 octobre 2023 | CAD-13165 |
Modification | |||
Instance | Date | Décision | Commentaires |
(ce qui a été modifié) |
Révision | Aux cinq ans |
Responsable | Personne secrétaire générale |
Parties prenantes | Secrétariat général, Service des technologies de l’information, Services de la bibliothèque |
1. Dispositions générales
1.1 Préambule
L’Université du Québec à Chicoutimi (ci-après l’« Université ») reconnaît l’importance de respecter la vie privée et de protéger les renseignements personnels qu’elle détient. L’Université prend les mesures raisonnables propres à assurer la confidentialité des renseignements personnels qui sont recueillis par moyens technologiques, conformément à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (ci-après la « Loi sur l’accès »).
La présente Politique de confidentialité concernant les renseignements personnels recueillis par des moyens technologiques (ci-après la « Politique ») vise à communiquer en termes simples et clairs les exigences auxquelles l’Université est tenue en matière de protection de la vie privée lors de la collecte, l’utilisation, la communication, la conservation et la destruction des Renseignements personnels qu’elle recueille par des moyens technologiques.
1.2 Objectif
L’objectif de la Politique est d’expliquer comment les Renseignements personnels recueillis par des moyens technologiques sont recueillis, utilisés, communiqués et conservés par l’Université.
1.3 Champ d’application.
La Politique s’applique à l’égard de tous les Renseignements personnels recueillis par l’Université par des moyens technologiques, tout au long de leur Cycle de vie, relatifs aux Personnes concernées, notamment les étudiants, les diplômés, les professeurs, les membres du personnel, les employés et les visiteurs de ses sites Web.
Les Renseignements personnels recueillis ou communiqués par l’intermédiaire de sites Web externes, soit les sites qui ne sont pas administrés par l’Université, ne sont toutefois pas assujettis à la Politique, de sorte que l’Université n’est pas responsable de leur contenu. L’Université invite les visiteurs des sites Web externes à prendre connaissance des politiques de confidentialité qui s’appliquent aux sites Web externes visités.
1.4 Références
– Règlement relatif aux ressources informationnelles;
– Loi sur les archives, RLRQ, c. A-21.1;
– Politique relative à la gestion des documents administratifs et des archives;
– Règles de gouvernance (à venir).
1.5 Définitions
« Cycle de vie » : ensemble des étapes que franchit un Renseignement personnel et qui vont de sa collecte, en passant par son utilisation, sa communication, sa conservation et sa destruction ou anonymisation.
« Renseignement personnel » : tout Renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier. Aux fins de la présente politique, cette définition correspond à « Renseignements personnels » au sens où l’entend la Loi sur l’accès.
« Renseignement personnel sensible » : renseignement personnel qui, de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré d’attente raisonnable en matière de vie privée.
« Responsable de la protection des Renseignements personnels » : personne qui veille à assurer le respect et la mise en œuvre des Règles et des obligations de l’Université en matière de protection des Renseignements personnels.
2. Collecte de Renseignements personnels
2.1 Renseignements personnels recueillis
Dans le cadre de ses missions, l’Université recueille des Renseignements personnels par le biais de différents moyens technologiques, notamment par l’entremise de ses sites Web, applications et plateformes en ligne.
Ces Renseignements peuvent par exemple être recueillis dans le cadre d’une demande d’admission, du dépôt d’une candidature pour un poste, de la transmission d’un don, de l’inscription à une infolettre, de la transmission d’une demande de Renseignement ou de la participation à un sondage ou de la réponse.
L’Université ne recueille que les Renseignements nécessaires à l’exercice de ses attributions ou à la mise en œuvre d’un programme dont elle a la gestion. Aucun Renseignement personnel n’est recueilli par l’Université par moyens technologiques, à moins d’avoir préalablement informé la Personne concernée des fins de la collecte et d’avoir obtenu son consentement, sauf si la Loi sur l’accès l’autorise.
Les Renseignements personnels recueillis par des moyens technologiques comprennent notamment les Renseignements suivants :
- Des renseignements d’identité, tels que les noms et prénoms;
- Des coordonnées, tels une adresse, une adresse électronique personnelle et un numéro de téléphone;
- Des renseignements relatifs au dossier scolaire : les dossiers académiques, des résultats scolaires, les institutions d’enseignement fréquentées, le matricule, le code permanent;
- Des renseignements de nature médicale ou biologique;
- Des documents d’immigration;
- Des renseignements relatifs à la facturation et des renseignements financiers, telles une adresse de facturation, de l’information relative à un compte bancaire ou des données de paiement;
- Des renseignements relatifs au recrutement, tels un curriculum vitae, des Renseignements de scolarité et les antécédents professionnels, des détails concernant les affiliations professionnelles;
- Des renseignements relatifs à l’emploi et disciplinaires;
- Des données d’identification et d’autres données de vérification des antécédents telle une copie d’un permis de conduire, d’un passeport ou d’une facture d’un service public;
- Des données relatives au régime de retraite, telles des renseignements financiers, le nom et les coordonnées des participants et des bénéficiaires;
- Renseignements d’utilisation des sites et des plateformes, tels que les renseignements recueillis par le biais de témoins, l’adresse IP, l’historique de navigation;
- Des renseignements dans le cadre d’activités de recherche;
- Tout autre Renseignement personnel fourni.
2.2 Moyens de collecte des Renseignements personnels
L’Université recueille les Renseignements personnels requis dans le cadre de ses missions, et ce, soit directement auprès de la Personne concernée ou par le biais des sites et plateformes de l’Université. Il est également possible que l’Université doive recueillir des Renseignements personnels auprès d’autres organismes, par exemple : auprès du ministère de l’Enseignement supérieur, ou des autorités compétentes en matière d’immigration.
La cueillette de Renseignements personnels peut se faire par exemple par courriel sécurisé, par le dépôt de documents sur les plateformes Internet ou par tout autres moyens technologiques.
En raison des risques inhérents à la communication de Renseignements personnels par courrier électronique, l’Université déconseille la communication de Renseignements personnels sensibles par courriel, à moins que leur transmission ne soit effectuée par courriel de manière sécurisée. Elle fait de même de son côté en favorisant des moyens d’échange sécurisés, lorsque cela est possible. Le Service des technologies de l’information est responsable d’identifier les moyens technologiques qui sont sécuritaires pour la communication de Renseignements personnels sensibles.
2.3 Fins pour lesquelles les Renseignements personnels sont recueillis
L’Université recueille les Renseignements personnels requis dans le cadre de ses missions et ceux-ci sont utilisés essentiellement pour les finalités suivantes (liste non-exhaustive) :
- À des fins d’identification d’une personne;
- À des fins d’emploi ou de formation;
- À des fins de vérification de l’admissibilité d’une personne à des produits et services;
- À des fins d’offres de produits ou de services;
- À des fins de suivi auprès de la Personne concernée;
- À des fins de statistiques, d’études ou de recherches;
- À des fins de communication;
- À des fins d’interactions numériques et de gestion des sites web de l’Université et des autres services en lignes (fonctionnalité, présentation, organisation, mesure de performance, développement, adaptation de contenu, contrôle de la qualité, etc.).
Les Renseignements personnels conservés par l’Université sont recueillis seulement une fois que la Personne concernée a été informée des fins de la collecte.
2.4 Catégories de personnes ayant accès aux Renseignements personnels
2.4.1 Communication au sein de l’Université
L’accès aux Renseignements personnels est limité aux membres du personnel ou aux consultants qui ont besoin d’y accéder dans le cadre de leurs fonctions. Le personnel et les consultants sont responsables de protéger la confidentialité des Renseignements personnels auxquels ils ont accès dans le cadre de leurs fonctions.
2.4.2 Communication à des tiers
Il est possible que l’Université doive partager des Renseignements personnels avec des tiers dans le cadre de ses missions, par exemple pour fins d’immigration, de bourses, pour fins de stage, à des ordres professionnels pour fins d’adhésion, à des fins d’études ou de recherche, de contrats de service auprès de fournisseurs, etc.
L’Université peut également divulguer certains Renseignements personnels qu’elle détient pour se conformer à l’ordonnance d’un tribunal, à une loi ou à une procédure judiciaire, y compris pour répondre à toute demande gouvernementale ou réglementaire, conformément aux lois applicables.
2.5 Refus de collecte de Renseignements personnels
Dans certaines situations, la communication de Renseignements personnels est obligatoire afin que l’Université puisse rendre les services requis. Par exemple, la transmission de Renseignements personnels est obligatoire dans le cadre des demandes d’admission, d’embauche, d’inscription à certains stages de formation pratique, etc. Le refus de transmettre les Renseignements personnels requis peut entrainer une diminution de service ou un arrêt du processus en cours, selon le cas.
3. Droits d’accès et de rectification
Dans certaines circonstances et sous réserve des modalités de la Loi sur l’accès, une personne dispose des droits suivants :
3.1 Droit d’accès
La Personne concernée a le droit de recevoir communication de tout renseignement personnel détenus par l’Université. Sous réserve du droit applicable et, le cas échéant, du paiement d’une somme monétaire, la personne peut ainsi recevoir une copie des Renseignements personnels détenus par l’Université et certains autres renseignements la concernant.
3.2 Droit de rectification
La Personne concernée a le droit de demander de faire rectifier tout Renseignement personnel incomplet, inexact ou équivoque qui est détenu par l’Université.
3.3 Personne responsable de la protection des Renseignements personnels
Pour toutes questions ou plaintes relatives à la présente Politique, ou pour l’exercice des droits des Personnes concernées, il faut communiquer avec la Personne responsable de la protection des Renseignements personnels : Secretariat_general@uqac.ca.
3.4 Moyens technologiques disponibles pour consultation ou rectification des renseignements personnels d’une personne concernée
Les moyens technologiques disponibles pour consultation sont variables selon quelle unité administrative de l’Université détient les Renseignements personnels. Toute personne désirant consulter ses Renseignements personnels peut communiquer avec la Personne responsable de la protection des Renseignements personnels.
4. Communication hors Québec
Il est possible que l’Université, dans le cadre de ses missions, fasse appel à des fournisseurs, organismes ou à des Partenaires situés à l’extérieur du Québec. Advenant le cas où l’Université doive partager des Renseignements personnels avec ces fournisseurs, organismes ou ces Partenaires, l’Université s’assure que la protection et la confidentialité de ces renseignements répondent aux exigences de la Loi sur l’accès en la matière.
5. Règles de gouvernance en matière de protection des Renseignements personnels
Pour toute question concernant les pratiques de l’Université en matière de collecte, d’utilisation, de communication de conservation et de destruction des Renseignements personnels, veuillez-vous référer à la Politique relative aux règles de gouvernance en matière de protection des Renseignements personnels (à venir).
6. Mesures prises pour assurer la confidentialité et la sécurité des Renseignements personnels
L’Université met en place des mesures de sécurité raisonnables afin d’assurer la confidentialité des Renseignements personnels recueillis, utilisés, communiqués, conservés, détruits ou anonymisés. Ces mesures de sécurité tiennent notamment compte du niveau de sensibilité des Renseignements personnels, de la finalité pour laquelle ils ont été recueillis et utilisés, de leur quantité, de leur répartition et de leur support.
L’Université a pris des moyens raisonnables pour faire en sorte que seuls les membres du personnel qui doivent absolument avoir accès aux Renseignements personnels dans le cadre de leurs fonctions soient autorisés à y accéder. Les personnes qui travaillent pour l’Université ou en son nom doivent notamment fournir les efforts raisonnables pour minimiser le risque de divulgation non intentionnelle de Renseignements personnels.
Par exemple, les mesures suivantes peuvent être prises pour assurer la confidentialité d’un fichier informatique :
- contrôle préventif de l’accès au fichier;
- journaux de vérification des données;
- règles et pratiques de vérifications des logiciels;
- mesures liées aux outils informatiques;
- règles et pratiques de vérification du fichier;
- suppression de dossiers numériques, selon le logiciel utilisé;
- signature d’une entente de confidentialité.
Il s’agit d’une liste non-exhaustive et les mesures prises peuvent varier.
Les tiers ayant accès aux Renseignements personnels dont l’Université a la garde ou le contrôle sont informés de la présente Politique et des autres politiques et processus applicables pour assurer la sécurité et la protection des Renseignements personnels. Tous les tiers doivent s’engager par écrit à accepter de se conformer aux politiques, aux processus et aux lois applicables. Par tiers, il est notamment entendu toute personne ou organisme ayant une personnalité juridique distincte de l’Université, incluant les fournisseurs, les sous-traitants, les prestataires de services ou d’autres partenaires de l’Université telle que la Fondation de l’Université, les associations étudiantes et les syndicats
7. Processus de traitement des plaintes
Le processus de traitement des plaintes est à venir dans les Règles de gouvernance de l’UQAC (à venir). Toute plainte peut pour l’instant être communiquée auprès de la personne Responsable de la protection des Renseignements personnels au courriel suivant : Secretariat_general@uqac.ca.
8. Responsable de l’application
La personne responsable de l’accès à l’information et de la protection des Renseignements personnels à l’Université est responsable de l’application de cette Politique.
9. Mise à jour
L’Université se réserve le droit de changer ou de mettre à jour la présente Politique à tout moment utile ou minimalement, à tous les cinq (5) ans. Le cas échéant, l’Université prendra les moyens raisonnables afin d’aviser toute Personne concernée par des changements ou mises à jour importants. Toute modifications ou mise à jour se fait conformément aux règles établies par la Loi sur l’accès.
10. Dispositions finales
La présente politique entre en vigueur au moment de son adoption par le Conseil d’administration.
*** La présente politique est inspirée d’autres politiques en semblable matière ***