POLITIQUE SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
approuvée le 26 mai 2026
Table des matières
PRÉAMBULE
Droit collectif Québec (« DCQ », aussi ci-après l’« organisme ») est soumis aux dispositions des différentes lois en matière de confidentialité des renseignements personnels. La Politique sur la protection des renseignements personnels (ci-après la « Politique ») découle de l’application de la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1 (ci-après la « Loi »), qui oblige les organismes civils tels DCQ à adopter des règles encadrant la gouvernance à l’égard de la collecte, de l’utilisation et de la protection des renseignements personnels qu’elle recueille, à en assurer l’application et à les publier sur son site Internet.
La présente Politique constitue dans cette perspective un exercice de transparence et de responsabilisation qui vise à renforcer la gouvernance et la protection des droits des membres du public à l’égard de la protection des renseignements personnels que l’organisme détient à leur endroit, par l’établissement des rôles et responsabilités des membres de son personnel tout au long du cycle de vie de ces renseignements. La Politique est complémentaire aux différents documents internes portant sur la protection des renseignements personnels et sur la sécurité de l’information.
1. INTRODUCTION
1.1 Objectifs de la Politique
La présente politique vise à :
• établir les engagements qui guident les pratiques de l’organisme dans sa gestion des renseignements personnels;
• définir les rôles et les responsabilités des membres de l’organisme à l’égard des renseignements personnels et uniformiser les pratiques en la matière;
• permettre aux membres du personnel de connaître et de comprendre les exigences légales et les principes de protection des renseignements personnels dans le cadre de l’exercice de leurs fonctions.
1.2 Champ d’application
La présente politique s’applique à tous les membres du personnel de l’organisme lorsqu’ils recueillent, utilisent, communiquent, conservent ou détruisent des renseignements personnels dans le cadre de leurs fonctions. Elle s’applique à tous les renseignements personnels, quel que soit leur support, de leur collecte à leur destruction.
1.3 Définitions
Renseignement personnel
Tout renseignement qui concerne une personne physique et qui permet directement ou indirectement de l’identifier, tel que : le nom, l’adresse, le numéro de téléphone, l’adresse courriel, l’occupation, le numéro d’assurance sociale, la date de naissance, la photographie et les coordonnées bancaires.
Renseignement personnel sensible
Un renseignement personnel est sensible lorsque, par sa nature ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’atteinte raisonnable en matière de vie privée.
Renseignement anonymisé
Tout renseignement qu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement la personne concernée.
Collecte
Désigne le fait de recueillir, d’acquérir ou d’obtenir des renseignements personnels auprès de toute source, y compris les tierces parties, par quelque moyen que ce soit.
Incident de confidentialité
L’accès, l’utilisation ou la communication non autorisée par la loi d’un renseignement personnel, la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
2. COLLECTE ET UTILISATION DES RENSEIGNEMENTS PERSONNELS
2.1 Nature des renseignements personnels recueillis
Les renseignements personnels (RP) recueillis prennent deux formes, soit les renseignements pour fins de communication (RFC) et les renseignements pour fins de transactions financières (RTF).
Les RFC représentent toute information visant à établir un contact avec un individu, soit le nom, l’adresse postale, le numéro de téléphone et l’adresse courriel de la personne concernée.
Les RTF représentent tout renseignement utilisé dans le cadre d’une transaction financière et présentant des obligations différentes vis-à-vis de la Loi. Il s’agit de renseignements tels que la valeur des dons à l’organisme, les copies des chèques reçus, les informations de crédit utilisées dans le cadre d’une transaction en ligne (à noter : ces dernières informations n’incluent pas le numéro complet de carte de crédit, ni le vérificateur, et sont inutilisables telles qu’elles au-delà de seules fins de suivi et d’archivage).
2.2 Manières de recueillir des renseignements personnels
Les RP ne sont recueillis activement qu’auprès de l’individu directement, avec son consentement à les fournir. Le consentement demandé doit indiquer clairement la nature des renseignements collectés et les fins poursuivies à l’article 2.2 quant à leur utilisation. Au moment de rechercher ce consentement, l’organisme informe également la personne fournissant les RP de son droit en tout temps d’y avoir accès et d’en obtenir copie, ou d’en demander la correction, suppression ou désindexation.
L’organisme ne pose aucune démarche active de collecte de RP en provenance de sources tierces – bien que les intermédiaires de crédit (banques, services de transaction en ligne etc.), nous fournissent cependant des RTF liés à la transaction effectuée).
2.2.1 Utilisation de l’image et de l’enregistrement
Le responsable de la gestion des données personnelles peut déterminer des lignes directrices visant l’utilisation de l’image et de l’enregistrement. Dans l’élaboration des lignes directrices en ces matières, le responsable évaluera notamment :
la nécessité de recourir à une captation de l’image ou à un enregistrement;
les mesures de protection à prendre à l’égard des renseignements personnels recueillis ou utilisés lors de la captation de l’image ou de l’usage d’un enregistrement, que celui-ci soit réalisé par l’organisme ou par un tiers qui agit pour son compte;
de l’obtention du consentement des personnes faisant l’objet d’une captation photo ou vidéo lorsque celles-ci sont l’objet principal de la captation (i.e photo de personne ou de groupe);
la conformité des règles entourant la captation de l’image ou l’utilisation de ces technologies avec le droit au respect de la vie privée.
2.3 Fins auxquelles les renseignements personnels peuvent être utilisés
Les RFC sont utilisés uniquement à des fins de (i) communication d’information sur nos actions, publications et activités; (ii) d’invitation à participer à nos activités et autres événements; (iii) de sollicitation de soutien lors de nos campagnes de financement.
Les RTF ne sont conservées que pour des fins d’archivage comptable et ne sont jamais utilisées à quelque autre fin.
En aucun cas les RP recueillis par l’organisme ne sont-ils utilisés à des fins de profilage.
2.4 Communication limitée de renseignements personnels
Les RP recueillis par l’organisme peuvent être communiqués à l’interne entre les membres de son personnel et de sa direction pour l’accomplissement des fins prévues à l’article 2.2.
Les RP recueillis par l’organisme ne sont communiqués auprès de tiers que (i) dans le cas limitatif de l’utilisation d’un service d’intermédiaire de communication du type « automatisation marketing » (et dans un tel cas, seule l’adresse courriel et le nom sont communiqués, à la seule fin technique de l’envoi des communications de l’organisme par cet intermédiaire); et (ii) à nos partenaires et bénévoles à des fins pertinentes limitées de communication et d’information auprès de la personne visée dans le cadre de l’organisation et la tenue d’événements communs (i.e. : concours).
En aucun cas l’organisme ne communique-t-il des RP à des fins publicitaires ou promotionnelles auprès de tiers, ni aux fins de construction de bases de données à cette fin.
Si cela survient, l’organisme peut être tenu de communiquer des RP pour des fins requises par la loi ou suite à une ordonnance judiciaire.
Finalement, l’organisme peut communiquer les RP détenus auprès de ses partenaires comptables ou juridiques aux fins limitées d’obtention de conseils ou services professionnels confidentiels.
2.5 Conservation
L’organisme conserve et archive tout RP recueilli soit (i) en format informatique au sein de ses propres bases de données sécurisées auxquelles seuls les membres de son personnel et de sa direction ont accès; soit (ii) en format papier dans ses archives physiques, auxquelles seuls les membres de son personnel et de sa direction ont accès.
L’organisme protège la sécurité et l’intégrité des RP qu’il détient contre toute intrusion physique ou informatique. Il répertorie et avise de tout incident de sécurité en ce sens.
L’organisme conserve les RP recueillis pour une période maximale de 10 ans suivant leur dernière utilisation. Il les détruit par la suite sans en conserver de copie.
3. DROIT DE CONSULTATION, CORRECTION, SUPPRESSION ET DÉSINDEXATION
La personne objet d’un RP dispose en tout temps du droit d’accès et de consultation des RP que l’organisme détient sur elle, et d’en obtenir copie, notamment sur format informatique facilement transférable (i.e. : pdf).
Elle dispose également du droit de demander la correction ou la suppression de tout RP la concernant, ainsi que du droit d’être désindexée et retirée de tout service d’envoi ou de communication mobilisant un RFC la concernant.
Ce droit s’exerce par demande écrite adressée au responsable des RP au sein de l’organisme (voir article 5). Il doit être fait suite à cette demande dans un délai maximal de 30 jours.
4. INCIDENT DE SÉCURITÉ & TRAITEMENT DES PLAINTES
4.1 Si jamais il est victime d’une intrusion (physique ou informatique – qui peut tant provenir d’une attaque externe perpétrée par un tiers que par un usage interne non-autorisé) ayant compromis la sécurité ou la confidentialité des RP qu’il détient (un « incident de sécurité ») – l’organisme en avise sans délai la Commission d’accès à l’information dès qu’il a connaissance de l’incident. Il informe également la personne visée par les RP compromis en lui indiquant la nature des informations la concernant ayant fait l’objet de l’incident de sécurité ainsi que les risques de préjudice potentiels qui en découlent.
4.2 L’organisme conserve et maintient à jour un registre de tous les incidents de sécurité dont elle a fait l’objet. Ce registre indique la date de l’incident, la nature de celui-ci, sa provenance (dans la mesure où elle est identifiable) ainsi que les RP qui en ont fait l’objet et les personnes à qui ils se relient.
4.3 Toute personne qui croit qu’un RP la concernant et détenu par l’organisme a fait l’objet d’un incident de sécurité ou d’une utilisation non autorisée peut contacter la personne responsable des RP pour demander enquête et afin que toute mesure pertinente de sécurité soit prise afin de rectifier la situation et/ou minimiser les dommages pouvant résulter de l’incident – ainsi que, lorsque possible, de faire cesser toute utilisation intempestive du RP. Il doit être fait suite à cette demande dans un délai maximal de 30 jours.
5. PERSONNE RESPONSABLE DES RENSEIGNEMENTS PERSONNELS
La gestion, la surveillance et la protection des RP détenus et conservés par l’organisme est dévolue à un responsable des RP, qui est par ailleurs généralement chargé de l’application de la présente politique, tant à l’interne qu’auprès des partenaires externes, et de toutes les interactions de l’organisme avec les membres du public concernant toute question relative aux RP.
Le responsable des RP est chargé de s’assurer que toute utilisation de RP effectuée par les employés, dirigeants et administrateurs de l’organisme soit faite dans le respect de la Loi et de la présente Politique. Il organise ou chapeaute, au besoin, toute activité de formation et de perfectionnement des employés, dirigeants et administrateurs de l’organisme en ce sens.
Le responsable des RP est par ailleurs chargé de l’analyse des facteurs de risques liés à la vie privée dans toute opération impliquant un tiers, collaborateur, partenaire ou personne liée. Il doit veiller à ce que toute telle opération se déroule dans le respect de la présente politique et plus largement de la sécurité des RP détenus par l’organisme.
Le responsable des RP est la personne responsable du traitement de toute demande d’accès, de consultation, d’obtention de copie, de correction, de suppression ou de désindexation de RP conformément à la présente Politique (article 3).
Le responsable des RP veille à ce que la plus récente version de la présente Politique soit en tout temps publiquement disponible et accessible au public sur le site web de l’organisme.
Le responsable des RP peut être rejoint de la manière suivante :
- Par courriel : info@droitscollectifs.quebec
- Par la poste : 187, rue Laurier – Local 218, Sherbrooke, Québec, J1H 4Z4
- Par téléphone : 819 823-2424
(Note : un suivi écrit peut être nécessaire suite à une conversation téléphonique)
6. MODIFICATIONS ET RÉVISIONS DE LA POLITIQUE
L’organisme peut modifier la présente Politique comme il l’estime nécessaire, dans les limites permises par la loi. Le cas échéant, il publie alors un avis sur son site internet informant de l’entrée en vigueur de la nouvelle politique, avec la date d’entrée en vigueur de celle-ci (date qui doit également être inscrite dans la politique elle-même), pendant une période d’au moins 90 jours suite à cette date.