Procédure d’exercice des droits et de traitement des plaintes relatives à la protection des renseignements personnels

 

Adoption
Instance Date Décision
Conseil d’administration  18 février 2025  CAD-13481

 

Modification
Instance Date Décision Commentaires
     
Révision 5 ans
Responsable La personne responsable de l’accès à l’information et de la protection des renseignements personnels 
Parties prenantes Secrétariat général

Service des technologies de l’information

Services de la bibliothèque

1. Dispositions générales

1.1. Objectifs

La présente procédure vise à établir un processus clair et efficient afin que les personnes concernées puissent exercer leurs droits en matière de protection des renseignements personnels. Elle vise aussi à déterminer le processus de dépôt et de traitement des plaintes en matière de protection des renseignements personnels.

1.2. Références

Textes habilitants : 

Documents connexes ou nécessaires à l’interprétation de la présente procédure :

1.3. Responsable de l’application

La personne responsable de l’accès à l’information et de la protection des renseignements personnels (ci-après « la personne responsable AIPRP ») est responsable de l’application de la présente procédure.

1.4. Définitions

Les définitions de la Politique relative à la protection des renseignements personnels s’appliquent à la présente procédure.

2. Exercice des droits prévus à la Loi sur l’accès

2.1 Droits prévus à la Loi sur l’accès

À l’égard des renseignements personnels qui la concernent, toute personne a le droit :

  • d’obtenir les renseignements personnels qu’elle a communiqués à l’Université;
  • d’être informée de leur existence au sein d’un fichier de renseignements personnels de l’Université;
  • d’y accéder et d’en obtenir communication. Plus précisément, la personne concernée qui a le droit d’accéder à un renseignement personnel peut le faire sur place pendant les heures habituelles de travail ou à distance;
  • d’en obtenir une copie et de demander qu’un renseignement personnel informatisé lui soit communiqué sous la forme d’une transcription écrite ou intelligible;
  • de demander à ce que lui soient communiqués les renseignements personnels informatisés recueillis auprès d’elle dans un format technologique structuré et couramment utilisé, à moins que cela ne soulève des difficultés pratiques sérieuses. Cette communication pourra aussi être faite à une personne ou à un organisme autorisé à recueillir le renseignement en vertu de la Loi, à la demande de la personne concernée;
  • de les faire corriger et compléter. Plus précisément, la personne concernée qui reçoit confirmation de l’existence d’un document comprenant un renseignement personnel la concernant peut, s’il est inexact, incomplet ou équivoque, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la Loi sur l’accès, exiger que ce document soit rectifié.

Si une telle demande est refusée, la personne concernée peut demander que la demande soit enregistrée. L’enregistrement permet à la personne concernée de verser au dossier sa version des faits, ses points de désaccord, les précisions qu’elle veut émettre, etc. Si une telle demande est acceptée, l’Université délivre sans frais à la personne concernée, une copie de tout renseignement personnel modifié ou ajouté, ou, selon le cas, une attestation du retrait d’un renseignement personnel.

  • d’être informée d’un incident de confidentialité qui peut lui causer un préjudice sérieux;
  • de restreindre ou retirer son consentement à la collecte, l’utilisation ou la communication des renseignements personnels ou de les faire supprimer, lorsque la Loi sur l’accès le permet.

2.2 Demande par écrit

Pour exercer les droits d’accès et de rectification énumérés ci-dessus, la personne concernée doit faire une demande par écrit et justifier son identité :

  • à titre de personne concernée;
  • à titre de représentant, d’héritier ou de successible de cette dernière;
  • à titre de liquidateur de la succession;
  • à titre de bénéficiaire d’assurance vie ou d’indemnité de décès;
  • à titre de titulaire de l’autorité parentale même si l’enfant mineur est décédé ou
  • à titre de conjoint ou de proche d’une personne décédée.

2.3 À qui adresser la demande

La demande doit être adressée à la personne responsable AIPRP par courriel à l’adresse suivante : sg_protection_rp@uqac.ca.

2.4 Délai

L’Université donne suite à toute demande d’exercice d’un droit dans les vingt (20) jours suivant sa réception, sauf lorsque la Loi sur l’accès permet une extension de ce délai.

Toute extension du délai devra se faire par avis écrit dans le délai prévu. La personne responsable AIPRP rend sa décision par écrit et en transmet une copie à la personne concernée.

2.5 Responsabilités de la personne responsable AIPRP

La personne responsable AIPRP doit rendre sa décision par écrit. En cas de refus de la demande, elle indique la disposition de la Loi sur l’accès sur laquelle ce refus s’appuie. Elle doit également prêter assistance à la personne concernée qui le demande pour l’aider à comprendre sa décision et l’informer du recours en révision et du droit d’appel prévus à la Loi sur l’accès et du délai pour les exercer.

Toute transmission de renseignements personnels à la demande de la personne concernée doit s’effectuer de manière sécuritaire et selon les règles établies par l’Université afin d’en protéger la confidentialité et l’intégrité.

3. Dépôt et traitement des plaintes en matière de protection des renseignements personnels

Toute personne concernée par un renseignement personnel recueilli, utilisé, communiqué ou conservé par l’Université peut déposer une plainte auprès de la personne responsable AIPRP en cas de manquement aux mesures de protection prévues au cadre de gouvernance adopté par l’Université en lien avec la protection des renseignements personnels et aux dispositions de la Loi sur l’accès.

3.1 Demande par écrit

La plainte doit être formulée par écrit et doit être transmise à la personne responsable AIPRP à l’adresse sg_protection_rp@uqac.ca.

Voici les informations à communiquer:

  • La nature et la date des faits reprochés;
  • le nom de la ou des personnes en cause le cas échéant;
  • Les attentes à l’issue du traitement de la plainte.

La personne responsable AIPRP accuse réception de la plainte et traite celle-ci dans un délai raisonnable. Elle communique avec diligence une réponse écrite à la personne concernée.

4. Signalement d’un incident de confidentialité

Si vous désirez plutôt signaler un incident de confidentialité à l’Université, consultez la Procédure de signalement et de traitement des incidents de confidentialité.

Voici ce qu’est un incident de confidentialité au sens de la Loi sur l’accès :

« Incident de confidentialité » : accès, utilisation, communication d’un renseignement personnel non autorisé par la Loi, de même que sa perte ou toute autre forme d’atteinte à sa protection.

En voici quelques exemples :

  • un membre du personnel consulte des renseignements personnels non nécessaires à l’exercice de ses fonctions;
  • un pirate informatique s’infiltre dans un système;
  • une personne utilise des renseignements personnels d’une base de données à laquelle il a accès dans le cadre de ses fonctions dans le but d’usurper l’identité d’une personne;
  • une communication est effectuée par erreur à la mauvaise personne;
  • une personne perd ou se fait voler des documents contenant des renseignements personnels;
  • une personne s’immisce dans une banque de données contenant des renseignements personnels afin de les altérer.

5. Mise à jour

La présente procédure est mise à jour au besoin, ou minimalement, tous les cinq (5) ans. Les mises à jour sont adoptées par le Conseil d’administration, suivant la recommandation du Comité sur l’accès à l’information et sur la protection des renseignements personnels.

6. Dispositions finales

La présente procédure entre en vigueur à compter de son adoption par le Conseil d’administration.