Politique cadre sur la gouvernance à l'égard des renseignements personnels
(Article 3.2 de la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1 et Règlement sur les incidents de confidentialité, RLRQ. c. P-39.1, r. 3.1)
PRÉAMBULE
La Fédération des producteurs d’œufs du Québec (ci-après : la Fédération ou nous) est responsable de la protection des renseignements personnels qu’elle détient, y compris lorsque leur collecte, utilisation, conservation ou destruction est assurée par un tiers. Les renseignements personnels sont confidentiels, sauf dans la mesure prévue par la législation.
La présente politique constitue un énoncé des principes et des lignes directrices concernant la protection des renseignements personnels des individus qui sont nos producteurs, nos partenaires, nos fournisseurs de services, qui appliquent à nos programmes ou qui consultent notre site Internet.
La présente politique vise à renforcer la gouvernance de la Fédération en matière de protection des renseignements personnels par l’établissement des rôles et responsabilités des membres du personnel qui traitent les renseignements personnels détenus par la Fédération.
Elle vise aussi à vous aider à comprendre nos pratiques en matière de cueillette, d’utilisation, de divulgation et de conservation des renseignements personnels tout au long du cycle de vie de ceux-ci, et elle détermine les mesures à prendre pour diminuer les risques qu’un préjudice soit causé en cas d’incidents de confidentialité ainsi qu’éviter que de nouveaux incidents de même nature se produisent.
CONSENTEMENT
En fournissant des renseignements personnels à la Fédération, vous consentez à ce que ceux-ci soient traités conformément à la présente politique et tel qu’autorisé ou requis par la loi, et vous autorisez la Fédération, ses tiers et fournisseurs de services à traiter vos renseignements personnels conformément à la présente politique. Sous réserve des exigences législatives et contractuelles, vous pouvez refuser ou retirer votre consentement à l’égard de certaines des fins déterminées en tout temps en communiquant avec la Fédération. Si vous refusez ou retirez votre consentement, il se peut que nous soyons dans l’impossibilité de vous fournir ou de continuer de vous fournir certains services ou renseignements qui pourraient vous être utiles. La Fédération obtiendra les consentements nécessaires si elle entend collecter, utiliser ou communiquer des renseignements personnels concernant un individu, y compris lorsqu’elle souhaite le faire à des fins autres que celles pour lesquelles le consentement a d’abord été donné, sauf dans la mesure prévue par la législation.
1. OBJECTIF ET CADRE NORMATIF
La présente politique s’applique, sous réserve de la législation applicable, à la collecte, à la conservation, à l’utilisation, à la communication et à la destruction ou l’anonymisation des renseignements personnels détenus par la Fédération.
La présente politique détermine les engagements de la Fédération dans sa gestion des renseignements personnels, les rôles et responsabilités des membres de son personnel qui traitent les renseignements personnels détenus par la Fédération ainsi que les démarches à effectuer lorsque la Fédération a des motifs raisonnables de croire que s’est produit un incident de confidentialité, impliquant un renseignement personnel qu’elle détient, ou si un tel incident est avéré, et ce, conformément à la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1 et au Règlement sur les incidents de confidentialité RLRQ, c. P-39.1, r. 3.1.
Elle énonce également les droits des personnes concernées par les renseignements personnels et prévoit un processus de traitement des plainte relatives aux renseignements personnels.
2. DÉFINITIONS
Les définitions à considérer pour l’application de la présente politique, pouvant être complétées par tout autre règlement, politique, directive ou procédure y faisant référence, sont les suivantes :
Collecte : désigne le fait de recueillir, d’acquérir ou d’obtenir des renseignements personnels auprès de toute source, y compris des tierces parties, par quelque moyen que ce soit.
Incident de confidentialité : accès, utilisation, communication d’un renseignement personnel non autorisé par la loi, de même que sa perte ou toute autre forme d’atteinte à sa protection.
En voici quelques exemples :
• Un membre du personnel consulte des renseignements personnels non nécessaires à l’exercice de ses fonctions ;
• Un pirate informatique s’infiltre dans un système ;
• Une personne utilise des renseignements personnels d’une base de données à laquelle il a accès dans le cadre de ses fonctions dans le but d’usurper l’identité d’une personne ;
• Une communication est effectuée par erreur à la mauvaise personne ;
• Une personne perd ou se fait voler des documents contenant des renseignements personnels ;
• Une personne s’immisce dans une banque de données contenant des renseignements personnels afin de les altérer.
Loi sur le privé : Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1.
Renseignement personnel : tout renseignement qui concerne une personne physique et qui permet de l’identifier. Le nom d’une personne, pris isolément, n’est pas un renseignement personnel. Cependant, lorsque ce nom est associé ou jumelé à un autre renseignement visant cette même personne, il devient alors un renseignement personnel.
Renseignement personnel sensible : un renseignement personnel est considéré comme sensible lorsque, par sa nature, notamment financière ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de respect de la vie privée.
Il peut s’agir, par exemple, de renseignements médicaux, biométriques, génétiques ou financiers, ou de renseignements sur l’origine ethnique, la conviction politique, la vie ou l’orientation sexuelle, les convictions religieuses.
3. COLLECTE DES RENSEIGNEMENTS PERSONNELS
La Fédération collecte des renseignements personnels aux fins et d’appliquer le Plan conjoint des producteurs d’oeufs de consommation et de poulettes du Québec (RLRQ, c. M-238.1) et d’accomplir son objet, soit l’étude, la défense et le développement des intérêts économiques, sociaux et moraux des producteurs qu’elle représente.
La Fédération peut également collecter des renseignements personnels dans le cadre de l’exploitation de son site Internet. Nous vous invitons à consulter à ce sujet notre Politique de cookies et Déclaration de confidentialité, lesquelles font partie intégrante de la présente politique, disponibles sur notre site Internet ainsi que les Conditions d’utilisation disponibles dans notre extranet.
La Fédération peut collecter ces renseignements auprès d’organismes gouvernementaux ou de tiers dans le cadre d’ententes conclues pour assurer le respect d’obligations légales. Elle peut également collecter ces renseignements auprès des producteurs et/ou d’individus en application de dispositions législatives prévoyant la transmission de renseignements, auprès de personnes qui remplissent des formulaires pour appliquer aux programmes qu’elle administre, auprès des personnes qui postulent à une offre d’emploi ou soumettent leur candidature pour y travailler, auprès des fournisseurs de services ou partenaire aux fins de facturation ou de paiement, pour des fins d’études ou de recherches, lorsqu’une personne visite son site Internet ou y remplit un formulaire, lorsqu’une personne communique avec elle pour fournir ou demander un renseignement, lorsqu’une personne visite son extranet et lorsqu’une personne s’inscrit à son infolettre. Elle ne collecte que les renseignements personnels nécessaires à la réalisation des fins déterminées.
La Fédération ne vise pas à collecter des renseignements personnels concernant des mineurs. Si un mineur transmet des renseignements personnels à la Fédération, elle en avise le parent ou le tuteur afin d’obtenir son consentement express ou à défaut, supprime ces renseignements.
Voici des exemples de renseignement personnel que nous collectons :
• Le nom d’une personne et sa date de naissance ;
• Les compétences, formations, références et historique d’emploi d’une personne (ex : curriculum vitae, candidature à un programme) ;
• Numéro d’assurance sociale ;
• Numéro de carte de crédit ou de compte bancaire ou tout renseignement requis pour la facturation ou le paiement de factures ;
• Numéro de producteur et numéro d’identification ministériel (NIM) ;
• Renseignement de nature financière ;
• Le nom d’une personne et son numéro de téléphone personnel ;
• Le nom d’une personne et son adresse de domicile.
4. UTILISATION DES RENSEIGNEMENTS PERSONNELS
La Fédération utilise vos renseignements personnels afin, notamment, de conduire ses affaires, vous fournir des services, recevoir des services de fournisseurs ou partenaires, recevoir les candidatures liées à un emploi, vous dispenser des formations ou vous y inscrire, respecter tout mandat, contrat ou toute entente de services avec ses fournisseurs de services ou partenaires, de faire valoir ses droits et respecter ses obligations légales, tenir les assemblées de ses producteurs et/ou ses membres et réorganiser ou modifier sa structure juridique.
Les renseignements personnels ne sont utilisés que par les membres du personnel ou, dans le cas des tiers, les personnes pour qui cela est requis par l’exercice de leurs fonctions ou l’accomplissement de leurs tâches.
5. COMMUNICATION DES RENSEIGNEMENTS PERSONNELS
La Fédération ne divulgue pas à des tiers les renseignements personnels qu’elle détient, sauf dans la mesure prévue par la législation ou si la personne y consent, le cas échéant.
La Fédération peut notamment communiquer vos renseignements personnels sans votre consentement à ses mandataires, ses fournisseurs de services y compris un fournisseur de services en hébergement de données ou relatif à l’exploitation de son site Internet ou son site extranet, ou autres tiers qui la soutiennent, à tout organisme ou personne pour qui le renseignement est nécessaire pour l’application de la loi ou qui a le pouvoir de contraindre à sa communication ainsi qu’à des fins d’études ou de recherche ou de production de statistique sous réserve des conditions prévues par la Loi sur le privé.
Dans le cas d’une communication à un mandataire ou fournisseur de services, une entente de confidentialité est conclue par écrit afin d’assurer la protection de vos renseignements personnels. Une telle entente n’est toutefois pas requise lorsque le mandataire ou fournisseur de services est un organisme public au sens de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1) ou un membre d’un ordre professionnel.Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
6. CONSERVATION ET DESTRUCTION DES RENSEIGNEMENTS PERSONNELS
La Fédération prend les mesures raisonnables pour que les renseignements personnels qu’elle détient soient à jour, complets et exacts pour servir aux fins auxquels ils sont destinés.
Elle ne conserve les renseignements personnels qu’elle détient que pour le temps nécessaire pour atteindre les fins pour lesquelles elle les a collectés, à moins d’autorisation ou d’exigences de la législation applicable.
En général, lorsque les fins pour lesquelles le renseignement a été collecté sont accomplies, la Fédération doit le détruire ou l’anonymiser pour l’utiliser à des fins sérieuses et légitimes.
Lorsqu’elle procède à la destruction des renseignements personnels, la Fédération s’assure de prendre les mesures de sécurité nécessaires pour assurer la confidentialité de ceux-ci.
7. PROTECTION DES RENSEIGNEMENTS PERSONNELS
La Fédération met en place des mesures de sécurité appropriées et raisonnables afin de protéger les renseignements personnels contre la perte ou le vol, et contre l’accès, la divulgation, la communication, la copie, l’utilisation ou la modification non autorisés par la loi. Seuls les membres du personnel qui doivent absolument avoir accès aux renseignements personnels dans le cadre de leurs fonctions sont autorisés à y accéder.
Toute personne qui, dans le cadre de ses fonctions, a accès à un renseignement personnel détenu par la Fédération doit prendre les moyens nécessaires pour en assurer la protection et la confidentialité.
Les personnes membres du personnel de la Fédération ou qui travaillent en son nom doivent, notamment :
• Fournir des efforts raisonnables pour minimiser le risque de divulgation non intentionnelle de renseignements personnels;
• Prendre des précautions particulières pour s’assurer que les renseignements personnels ne sont pas surveillés, entendus, consultés ou perdus lorsqu’elles travaillent dans des locaux autres que les bureaux de la Fédération; et
• Prendre des mesures raisonnables pour protéger les renseignements personnels lorsqu’elles se déplacent d’un endroit à l’autre.
Les tiers, mandataires ou fournisseurs de services de la Fédération ayant accès aux renseignements personnels dont elle a la garde ou le contrôle doivent être informés de la présente politique.
8. SIGNALEMENT D’UN INCIDENT DE CONFIDENTIALITÉ
Tout membre du personnel de la Fédération ou toute personne à qui la Fédération communique des renseignements personnels (collègues, fournisseurs, partenaires, fournisseurs de services incluant les experts) doit effectuer un signalement lorsqu’elle a un motif raisonnable de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel détenu par la Fédération. Pour ce faire, ce signalement doit être effectué sans délai à la personne responsable de la protection des renseignements personnels.
Toute personne qui a un motif raisonnable de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel détenu par la Fédération doit aussi aviser le directeur général de la Fédération ou la personne responsable de la protection des renseignements personnels sans délai.
9. ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE
La Fédération procède à une évaluation des facteurs relatifs à la vie privée :
• Avant de communiquer vos renseignements personnels à l’extérieur du Québec ou à des fins d’études, de recherche ou de statistiques ; et
• Pour tout projet d’acquisition, de développement ou de refonte d’un système informatique ou d’une prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction d’un renseignement personnel.
L’évaluation a pour but de permettre à la Fédération de respecter ses obligations quant à la confidentialité des renseignements personnels qu’elle détient et de s’assurer que des mesures de protection sont en place pour assurer qu’ils bénéficient de la protection adéquate.
10. PERSONNE RESPONSABLE DES RENSEIGNEMENTS PERSONNELS (PRP) : RÔLES ET RESPONSABLITÉS
La personne responsable de la protection des renseignements personnels (ci-après : PRP) pour la Fédération est Madame Manon Fortier. Elle peut être rejointe aux coordonnées suivantes :
• Courriel : [email protected]
• Téléphone : 450-679-0540, poste 8455
Son rôle est notamment de :
• Contribuer à la mise en place du processus de gestion des incidents de sécurité de l’information ;
• Tenir à jour le registre des incidents de sécurité de l’information ayant pu mettre en péril la sécurité de l’information, de documenter ces incidents et d’en tenir informé le Président du conseil d’administration ;
• Contribuer aux analyses de risques de sécurité de l’information afin d’identifier les menaces et les situations de vulnérabilité et de mettre en place les solutions appropriées ;
• Contribuer aux évaluations des facteurs relatifs à la vie privée ;
• Recevoir et traiter les demandes de communication de renseignements personnels à des fins de recherche ;
• Recevoir et traiter les demandes de communication de renseignements personnels sans le consentement des personnes concernées et, lorsque requis par la loi, inscrire cette communication au dossier de la personne concernée ;
• Effectuer la gestion des plaintes, des droits d’accès et des droits de rectifications des personnes concernées.
En cas d’incident de confidentialité, la PRP prend en charge le traitement de l’incident et s’associe avec toute autre personne utile selon la nature de l’incident.
À ce titre, la PRP :
• Évalue le risque qu’un préjudice soit causé et en détermine le degré de sévérité. Lors de cette évaluation, sont considérées notamment la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins
préjudiciables.
• Avise, avec diligence, la personne dont un renseignement personnel est concerné par l’incident, lorsqu’il présente un risque qu’un préjudice sérieux soit causé, sauf lorsque cela serait susceptible d’entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois. Cet avis doit contenir les renseignements suivants :
a. Une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description ;
b. Une brève description des circonstances de l’incident ;
c. La date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période ;
d. Une brève description des mesures que la Fédération a prises ou entend prendre à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé ;
e. Les mesures que la Fédération suggère à la personne concernée de prendre afin de diminuer le risque qu’un préjudice lui soit causé ou afin d’atténuer un tel préjudice ;
f. Les coordonnées permettant à la personne concernée de se renseigner davantage relativement à l’incident.
• Avise, le cas échéant, toute personne ou tout organisme susceptible de diminuer le risque, en ne lui communiquant que les renseignements personnels nécessaires à cette fin, sans le consentement de la personne concernée.
• Avise, avec diligence et par écrit, la Commission d’accès à l’information de l’incident de confidentialité lorsqu’il présente un risque qu’un préjudice sérieux soit causé. L’avis doit contenir les renseignements suivants :
a. Le nom de la Fédération et le numéro d’entreprise du Québec qui lui est attribué en vertu de la Loi sur la publicité légale des entreprises ;
b. Le nom et les coordonnées de la personne à contacter au sein de la Fédération relativement à l’incident ;
c. Une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description ;
d. Une brève description des circonstances de l’incident et, si elle est connue, sa cause ;
e. La date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période ;
f. La date ou la période au cours de laquelle la Fédération a pris connaissance de l’incident ;
g. Le nombre de personnes concernées par l’incident et, parmi celles-ci, le nombre de personnes qui résident au Québec ou, s’ils ne sont pas connus, une approximation de ces
nombres ;
h. Une description des éléments qui amènent la Fédération à conclure qu’il existe un risque qu’un préjudice sérieux soit causé aux personnes concernées, telles que la sensibilité des renseignements personnels concernés, les utilisations malveillantes possibles de ces renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables ;
i. Les mesures que la Fédération a prises ou entend prendre afin d’aviser les personnes dont un renseignement personnel est concerné par l’incident, de même que la date où les personnes ont été avisées ou le délai d’exécution envisagé ;
j. Les mesures que la Fédération a prises ou entend prendre à la suite de la survenance de l’incident, notamment celles visant à diminuer les risques qu’un préjudice soit causé ou à atténuer un tel préjudice et celles visant à éviter que de nouveaux incidents de même nature ne se produisent, de même que le délai où les mesures ont été prises ou le délai d’exécution envisagé ;
k. Le cas échéant, une mention précisant qu’une personne ou un organisme situé à l’extérieur du Québec et exerçant des responsabilités semblables à celles de la Commission d’accès à l’information à l’égard de la surveillance de la protection des renseignements personnels a été avisé de l’incident.
• Avise, avec diligence et par écrit, la Commission d’accès à l’information de tout renseignement qui devait être inclus dans un avis d’incident de confidentialité et dont la Fédération a pris connaissance après la transmission de cet avis, le cas échéant.
• Avise, avec diligence, les assureurs de la Fédération, le cas échéant.
• Inscrit l’incident de confidentialité dans le registre prévu à cet effet.
• Sur demande de la Commission d’accès à l’information, transmets une copie de ce registre.
11. REGISTRE DES INCIDENTS DE CONFIDENTIALITÉ
La Fédération doit tenir un registre des incidents de confidentialité.
Les renseignements contenus au registre doivent être tenus à jour et conservés pendant une période minimale de cinq ans après la date à laquelle la Fédération a pris connaissance de l’incident.
12. DROIT D’ACCÈS ET DE RECTIFICATION
Conformément aux lois applicables en matière de protection des renseignements personnels, une personne peut :
• Demander si la Fédération détient des renseignements personnels qui la concerne et y avoir accès, ce qui inclut le droit de recevoir copie de ces renseignements ;
• Demander à la Fédération de rectifier tout renseignements personnels inexact ou incomplet la concernant ;
Toute demande d’accès ou de rectification doit être adressée par écrit à la personne responsable de la protection des renseignements personnels désignée à la présente politique. Votre demande sera traitée dans les 30 jours de sa réception.
Des frais raisonnables peuvent être exigés pour la transcription, la reproduction ou la transmission des renseignements.
13. DÉSABONNEMENT
Si vous ne souhaitez plus recevoir les communications de la Fédération, sauf celles qui vous sont transmises en application d’une disposition législative, vous pouvez vous désabonner en cliquant sur le lien « se désabonner » au bas du courriel que vous recevez de notre part. Vous pouvez également vous désabonner en contactant directement la personne responsable de la protection des renseignements personnels.
14. TRAITEMENT DES PLAINTES
Toute plainte concernant la protection des renseignements personnels doit être adressée par écrit à la personne responsable de la protection des renseignements personnels désignée à la présente politique. Cette plainte sera traitée dans les 30 jours de sa réception.
15. MODIFICATION À LA POLITIQUE
La Fédération se réserve le droit de modifier ou de compléter la présente politique en tout temps. Si des modifications sont apportées, la Fédération les affichera sur son site internet et y publiera la politique modifiée.
16. DERNIÈRE MISE À JOUR
Le 26 juin 2025.