POLITIQUE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS
Adoptée par le Conseil d’administration de la Ligue des droits et libertés
le 16 septembre 2023
La présente Politique de protection des renseignements personnels traite de la cueillette, de l’utilisation, de la protection et de la conservation des renseignements personnels détenus par la Ligue des droits et libertés (LDL). Les dispositions énoncées dans la présente politique sont conformes à la Loi sur la protection des renseignements personnels dans le secteur privé telle que modifiée en 2022 et 2023 par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé (Loi 25), et à laquelle les organisations à but non lucratif du Québec sont assujetties.
La Politique de protection des renseignements personnels ne s’applique pas aux sites Web de tiers auxquels il est possible d’accéder en cliquant sur des liens qui se trouvent sur le site Web de la LDL ou dans son infolettre. Si vous suivez un lien vers le site Web d’un tiers, celui-ci disposera de ses propres politiques sur la protection des renseignements personnels que vous devriez examiner avant de soumettre vos renseignements.
La personne responsable de la protection des renseignements personnels et de l’application de la présente politique est Laurence Guénette, coordonnatrice de la LDL. Elle agit à titre de répondante, s’assure de la formation adéquate du personnel à cet égard et traite les plaintes en cas d’incident de confidentialité.
Pour poser des questions, formuler des commentaires sur la présente Politique de protection des renseignements personnels, exercer vos droits ou déposer une plainte, communiquez avec la personne responsable de la protection des renseignements personnels en écrivant à l’adresse [email protected], par téléphone au (514) 849-7717, ou par la poste à l’adresse 105-469, Jean-Talon ouest, Montréal, Québec H3N 1R4.
Table des matières
- Collecte des renseignements personnels
- Obtention du consentement
- Utilisation et partage des renseignements personnels
- Protection des renseignements personnels
- Conservation et destruction des renseignements personnels
- Incidents, recours et traitement des plaintes
1. Collecte des renseignements personnels
La LDL est susceptible de recueillir et traiter différents types de renseignements personnels dans le cadre de ses activités, notamment :
- Des coordonnées personnelles telles que : prénom, nom, adresse(s), adresse(s) électronique(s), numéro(s) de téléphone, numéro(s) de carte de crédit;
- Des renseignements relatifs aux préférences de communication, aux intérêts pour certains dossiers, projets et événements de la LDL, des renseignements connexes comme des restrictions alimentaires, des commentaires et des réponses à des sondages;
- Des renseignements relatifs à l’historique des contributions, à la facturation et des renseignements financiers, comme une adresse de facturation, de l’information relative à un compte bancaire ou des données de paiement;
- Des renseignements sur l’expérience professionnelle et bénévole indiquée dans des curriculums vitae ainsi que le numéro d’assurance sociale (NAS) des employé-e-s.
NB. Les renseignements concernant les corporations de même que les coordonnées professionnelles des individus ne représentent pas des renseignements personnels au sens de la Loi.
La LDL collecte des renseignements personnels directement auprès des personnes concernées et lors d’interactions directes avec elles, dans les circonstances suivantes :
- Lors de l’inscription à des événements, à des formations et à son infolettre;
- Lors d’une adhésion comme membre de la LDL;
- Lorsqu’un don est fait à la LDL, quelle que soit la forme de ce don;
- Lors d’un abonnement à la revue Droits et libertés;
- Lors de la réception de candidatures pour combler un poste
- Lors de l’embauche d’une personne employée de la LDL;
- Lorsqu’une personne est élue à titre d’administrateur-trice de la LDL;
- Lorsqu’une personne entre en relation contractuelle avec la LDL à titre de fournisseur de biens ou prestataire de services.
2. Obtention du consentement
La LDL collecte certains renseignements personnels pour la bonne gestion de ses relations et des services avec chaque personne concernée et limite la collecte des informations à ce qui est nécessaire à cette fin. Le consentement de la personne concernée est requis pour pouvoir légalement utiliser les renseignements personnels qu’elle transmet à l’organisation.
En fournissant ses renseignements personnels par l’intermédiaire de notre site Web, par courriel, en personne ou par téléphone, une personne consent à ce que la LDL collecte, utilise ou communique les renseignements aux fins indiquées lors de la collecte et conformément à ce qui est indiqué dans la présente Politique.
Ce consentement est obtenu au moment de la transmission des renseignements personnels, par le moyen d’une explication claire le mentionnant et proposant d’accéder à la présente Politique. L’explication est transmise par écrit lors d’une transaction ou d’un échange électronique, et de vive voix lors d’une transaction téléphonique.
Une fois obtenu, le consentement sera réputé valide tant que l’adhésion de membre à la LDL, la contribution à titre de donateur-trice, l’abonnement à Droits et libertés ou la relation contractuelle requièrent l’utilisation des renseignements en question. Le consentement sera renouvelé lorsque nécessaire. Ce consentement peut être retiré en tout temps par la personne concernée.
3. Utilisation et partage des renseignements personnels
La LDL s’engage à utiliser et partager des renseignements personnels qu’elle détient seulement aux fins pour lesquelles ces renseignements sont recueillis et en conformité avec la présente Politique, sauf si la loi l’oblige ou lui permet de les utiliser ou communiquer autrement.
La LDL utilise les renseignements personnels pour l’un ou l’autre des objectifs suivants :
- Renouvellement des adhésions des membres;
- Renouvellement de l’abonnement à la revue Droits et libertés;
- Information auprès des membres et sympathisant-e-s de la tenue de la campagne de financement annuelle de la LDL et de ses activités;
- Maintien à jour des informations administratives essentielles notamment en ce qui concerne les membres du Conseil d’administration;
- Embauche, rémunération ou résiliation de contrat des employé-e-s;
- Dans le cadre de relations avec les fournisseurs de biens ou prestataires de services (paiement des factures, etc.);
- Pour satisfaire des obligations légales.
La LDL peut partager certains renseignements personnels avec certains tiers, notamment dans les circonstances suivantes :
- Des tiers fournisseurs de service et/ou partenaires peuvent être amenés à accéder à certains renseignements personnels et à les traiter, notamment lors des services d’envois postaux dans le cadre des campagnes annuelles d’adhésion et de financement. Les renseignements auxquels accèdent ces fournisseurs de services se limitent à ceux nécessaires pour leur permettre de s’acquitter de leurs fonctions. De plus, les contrats conclus entre la LDL et ces fournisseurs de services exigent d’eux qu’ils préservent la confidentialité de ces renseignements et qu’ils y appliquent les dispositions de protection des renseignements personnels conformément à la loi.
- Des autorités gouvernementales et des organismes d’application de la loi lorsqu’exigé. Par exemple, des renseignements personnels détenus par la LDL peuvent être partagés si l’organisme y est tenu en vertu des lois, notamment fiscales et administratives, ou s’il est possible de croire de bonne foi que cette divulgation est nécessaire pour respecter les lois applicables, par exemple pour mettre à jour les renseignements exigés par le Registraire des entreprises du Québec. La LDL pourrait aussi être tenue de partager certains renseignements personnels en réponse à une ordonnance d’un tribunal, à une assignation à témoigner ou à un mandat de perquisition du gouvernement, ou autrement pour collaborer avec de telles autorités gouvernementales et de tels organismes d’application de la loi.
4. Protection des renseignements personnels
Durant toute la durée de leur conservation et lors de leur utilisation, les renseignements personnels collectés par la LDL sont traités de façon à en assurer la protection. La LDL emploie des mesures de protection matérielles, techniques et administratives appropriées pour protéger les renseignements personnels contre une destruction accidentelle ou non conforme aux lois, une perte accidentelle, une modification, une divulgation ou un accès non autorisé, un mauvais usage ou toute autre forme illégale de traitement des renseignements personnels en notre possession.
Des mesures sont également en place pour garantir que les employé-e-s ou administrateurs-trices de la LDL ne peuvent accéder aux renseignements personnels qu’à la condition que ce renseignement soit nécessaire à l’exercice de leurs fonctions. De plus, tant les employé-e-s que les tiers fournisseurs de biens ou prestataires de services ayant accès à certains renseignements personnels signent un accord de confidentialité avec la LDL, s’engageant à utiliser les données dans le respect de la loi et des mesures de protection adéquates.
Des mesures physiques et techniques sont prises pour assurer la sécurité de tous les renseignements personnels conservés par la LDL. Le serveur informatique de la LDL est situé au Québec et la LDL n’archive et ne communique aucun renseignement personnel à l’extérieur du Québec.
5. Conservation et destruction des renseignements personnels
La LDL conserve les renseignements personnels recueillis uniquement pour la durée nécessaire aux fins prévues dans la présente Politique et en conformité à ses obligations légales et réglementaires. Elle conserve uniquement les renseignements nécessaires pour la finalité visée et procède à leur destruction dès l’accomplissement de leur finalité, ou à la fin du délai légal de conservation.
Les renseignements personnels seront immédiatement détruits si la personne concernée en formule la demande auprès de la LDL, sauf si la Loi requière que les renseignements soient conservés pour une durée spécifique.
La LDL procède à la destruction des renseignements personnels en s’assurant de procéder à l’élimination totale de toutes les versions électroniques et au déchiquetage des copies papier.
6. Incidents, recours et traitement des plaintes
Advenant un incident de confidentialité (accès, utilisation ou communication non autorisés par la loi à un renseignement personnel, perte d’un renseignement personnel ou tout autre atteinte à la protection d’un tel renseignement) présentant un risque de préjudice sérieux, la LDL aviserait dans les plus brefs délais les personnes concernées.
La LDL les informerait des renseignements personnels dont il s’agit, des circonstances de l’incident, de la date ou la période durant laquelle il est survenu ainsi que des mesures qu’elle compte prendre à la suite de l’incident pour empêcher ou amoindrir les préjudices possibles pour les personnes concernées et pour éviter qu’un semblable incident se reproduise.
Une personne fournissant des renseignements personnels est en droit de s’attendre à ce que la LDL respecte les dispositions prévues à la Loi et dans la présente Politique. Dans certaines circonstances et conformément aux lois applicables en matière de protection des données, une personne dispose également des droits suivants :
- Accès : le droit de demander si la LDL traite des renseignements et, le cas échéant, de demander d’avoir accès aux renseignements personnels la concernant;
- Exactitude : la LDL est tenue de prendre des mesures raisonnables pour s’assurer que les renseignements personnels en sa possession sont exacts, complets, non trompeurs et à jour;
- Rectification : le droit de demander de faire rectifier tout renseignement personnel inexact, incomplet ou équivoque, ou dont la collecte, la communication ou la conservation ne sont pas autorisées par la loi;
- Désindexation: le droit de demander de cesser de partager ses renseignements personnels.
Aux fins de l’application de la politique, une plainte constitue l’expression d’au minimum un des trois éléments suivants :
- Une insatisfaction exprimée par un individu qui s’estime lésé dans le traitement de ses renseignements personnels par la LDL;
- Un préjudice subi à la suite d’un évènement, d’une situation, d’un acte ou d’une omission à l’égard de la prestation du service dispensé par la LDL en lien avec les renseignements personnels qu’elle détient;
- La réclamation d’une mesure correctice.
Ne constitue pas une plainte : toute démarche informelle visant à faire corriger un problème particulier, dans la mesure où le problème est traité dans le cadre des activités régulières de la LDL et sans qu’une plainte écrite n’ait été déposée par un individu.
Par la présente Politique, la LDL s’engage à assurer un traitement adéquat, uniforme et diligent des plaintes formulées à son endroit par toute personne insatisfaite du traitement de ses renseignements personnels. Elle prévoit une procédure équitable et transparente afin de traiter les plaintes reçues, et a également pour objectif de soutenir la qualité des services et d’offrir l’opportunité à toute personne d’exprimer son insatisfaction.
Formulation et traitement d’une plainte
La personne qui désire formuler une plainte doit le faire par écrit à l’adresse suivante :
Laurence Guénette
Responsable de la protection des renseignements personnels
Ligue des droits et libertés
105-469, Jean-Talon ouest
Montréal, Québec, H3N 1R4
La communication doit indiquer les éléments suivants :
- nom de la personne plaignante;
- son adresse;
- son numéro de téléphone;
- son courriel ou son numéro de télécopieur, le cas échéant;
- les motifs de la plainte soumise.
Toute plainte est traitée de façon confidentielle. Une plainte anonyme est considérée comme non reçue.
La personne responsable de l’application de la présente politique est Laurence Guénette, qui assume la coordination de la LDL. Elle a pour fonctions de :
- Recevoir la plainte;
- S’assurer de l’envoi d’un accusé de réception au plaignant-e;
- Traiter la plainte et enquêter sur les prétentions exposées par le plaignant;
- Répondre à la personne plaignante.
L’accusé de réception doit contenir les renseignements suivants :
- une description de la plainte reçue, précisant le reproche fait à la LDL, le préjudice ou la mesure correctrice demandée;
- le nom et les coordonnées du responsable du traitement de la plainte;
- dans le cas d’une plainte incomplète, un avis comportant une demande de complément d’information à laquelle la personne plaignante doit répondre dans un délai raisonnable, à défaut de quoi la plainte est réputée abandonnée;
- la présente Politique exposant les modalités de traitement des plaintes.
Tout employé-e de la LDL saisi-e d’une plainte doit la transmettre, dès sa réception, à la personne responsable de l’application de la politique. Tout employé-e qui reçoit une plainte verbale doit informer la personne plaignante de la présente politique et l’inviter à faire parvenir à la LDL sa plainte par écrit.
La personne responsable traite la plainte en l’examinant, en rassemblant les documents pertinents à son analyse et en rédigeant la réponse à la personne plaignante ainsi que les motivations de la réponse.
La réception et le traitement de la plainte doivent être effectués dans les 30 jours suivant la réception de tous les renseignements nécessaires à son étude. Dans l’éventualité où une plainte ne peut être traitée dans le délai prévu, la personne plaignante doit être informée des motifs du retard et des démarches entreprises par la LDL à ce jour dans le traitement de sa plainte. Elle doit également être avisée du délai dans lequel la décision lui sera transmise.
Suivant le traitement de sa plainte, en cas de mésentente sur l’application de la Loi et de la présente Politique, la personne plaignante peut aussi signaler son insatisfaction par rapport au traitement de ses renseignements personnels par la LDL auprès de la Commission d’accès à l’information, responsable de veiller à l’application de la Loi sur la protection des renseignements personnels dans le secteur privé.