Directives administratives
de nature générale

Accès à l'information et à la protection de la vie privée

Code : GEN-09
Responsable de la diffusion : Direction exécutive des ressources humaines et du développement organisationnel
Approbation – Résolution du CDP : 10 mai 2004
Entrée en vigueur : 10 mai 2004
Révisée : 6 mai 2015

Table des matières

Objet

La Cité entend respecter, dans toutes ses opérations, les objets et dispositions de la Loi sur l'accès à l'information et la protection de la vie privée (ci-après LAIPVP) ainsi que de tout autre texte législatif portant sur la protection de la vie privée susceptible d'avoir une incidence sur les opérations et activités du Collège.Le Collège veut ainsi s'assurer :

  1. que la cueillette par le Collège de renseignements personnels soit faite en conformité avec le paragraphe38 (2) de la LAIPVP soit que : nul ne doit recueillir des renseignements personnels pour le compte d'une institution à moins d'y être autorisé expressément par une loi, ou à moins que ces renseignements servent à l'exécution de la loi ou soient nécessaires au bon exercice d'une activité autorisée par la loi;
  2. que l'utilisation des renseignements personnels soit faite en conformité avec le paragraphe 41 de la LAIPVP soit : qu'une institution ne doit pas utiliser les renseignements personnels dont elle a la garde ou le contrôle, sauf selon certains cas prescrits par la Loi;
  3. que le Collège applique une directive d'accès à l'information et de la vie privée conforme aux exigences de la LAIPVP dans toutes ses opérations;
  4. que cette directive respecte les principes de protection de la vie privée énoncés dans la LAIPVP

Dans la présente directive, le terme « renseignements personnels » s'entend de tous les renseignements consignés ayant trait à un particulier qui peut être identifié.L'annexe A de la présente directive défini le terme « renseignements personnels » en conformité avec la LAIPVP.

Destinataires

  1. La présente directive s'applique à tous les secteurs du Collège ainsiqu'à toute l'information régie par le Collège.
  2. La directive et les renseignements personnels auxquels s'applique la LAIPVP peuvent avoir trait à toute personne fréquentant le Collège ou ayant eu un rapport avec ce dernier, notamment les membres du personnel, de la population étudiante,du Conseil d'administration, des comités permanents ou temporaires, de corporations ou d'associations ayant des liens directs avec le Collège ou relevant de son autorité comme, par exemple, les fournisseurs de services, les chercheurs, les visiteurs ou les invités qui n'ont pas de lien permanent avec le Collège.

Modalités

À titre d'« établissement d'enseignement » désigné aux termes de la LAIPVP, le Collège détient des responsabilités quant à la garde et à l'accès concernant les renseignements personnels qui lui sont confiés dans le cadre de ses opérations.Aux fins d'administration, la présidence du Collège ainsi que la direction exécutive des ressources humaines et développement organisationnel ont des rôles distinctifs.

La présidence du Collège a comme mandat de désigner une « personne responsable » de la LAIPVP et de la présente directive. Elle est responsable de l'approbation de la présente directive et des mises à jour. Elle voit à ce que la personne responsable implémente la présente directive au Collège et que les rapports soient complets.

La direction exécutive des ressources humaines et développement organisationnel est la personne responsable de la LAIPVP telle que désignée par la présidence du Collège. Elle veille au respect des obligations du Collège conformément à la LAIPVP. Il incombe à la personne responsable de la directive surl'accès à l'information et de la protection de la vie privée de :

  1. prendre connaissance et enregistrer toute demande d'accès à l'information présentée au Collège conformément à la LAIPVP;
  2. rassembler et revoir la documentation relative à la demande d'accès à l'information;
  3. préparer la correspondance nécessaire pour répondre aux exigences de la LAIPVP, notamment les exigences d'avis et de confirmation ou refus de divulgation;
  4. voir au déroulement du processus d'accès dans les délais prescrits;
  5. préparer la documentation à divulguer en réponse à une demande d'accès, y compris la suppression des renseignements personnels protégés par la LAIPVP;
  6. préparer le rapport annuel du Collège aux fins de remise au Commissaire à l'information et à la protection de la vie privée;
  7. coordonner et veiller à la mise en œuvre des mesures de formation du personnel en ce qui a trait aux exigences de la LAIPVP;
  8. prélever les droits payables par l'auteur d'une demande d'accès à l'information conformément aux règlements pris en application de la LAIPVP et à la présente directive.

Modalités particulières

Modalités concernant l'accès à l'information

  • L'accès officiel à un document dont le Collège a la garde ou le contrôle passe par la présentation d'une demande écrite, accompagnée d'un montant initial de 5,00 $, à la personne responsable qui, sous réserve des exceptions prévues à la LAIPVP, voit à y répondre dans les trente (30) jours civils de sa réception.
  • Si un secteur reçoit directement une demande d'accès à l'information, il doit, sans délai, en informer la personne responsable. La personne responsable traite ensuite la demande en communiquant avec le secteur concerné, lequel coopère avec la personne responsable pour ce qui est du rassemblement de l'information pertinente.
  • La décision de donner accès à la totalité ou à une partie de l'information visée par la demande d'accès est prise par la personne responsable.
  • Une fois la décision prise, la personne responsable achemine la réponse du Collège à l'auteur de la demande d'accès, dans les trente (30) jours civils suivant la réception de la demande, sauf dans le cas des exceptions prévues par la LAIPVP; la réponse est accompagnée, s'il y a lieu, de l'information demandée ou des directives détaillées permettant à l'auteur de la demande de consulter la documentation originale.
  • Le Collège peut prélever des droits pour couvrir les frais de recherche, de préparation, de récupération, de traitement, de reproduction et d'expédition de l'information traitée et divulguée en rapport à une demande d'accès. Ces droits sont conformes aux exigences du règlement concernant les droits perçus en application de la LAIPVP.

Modalités concernant la protection de la vie privée et la conservation des renseignements personnels

  • Outre son respect des dispositions législatives qui protègent contre la divulgation de renseignements personnels et gouvernent la conservation et la destruction de ces renseignements, le Collège prend toutes les mesures nécessaires pour prévenir contre les risques de divulgation non contrôlés des renseignements personnels à sa charge, tels que le risque de vol; le risque d'accès, de divulgation ou de reproduction non autorisée; le risque de modification ou de destruction non conforme aux exigences législatives. Le Collège entend maintenir cette protection pour tous les renseignements personnels en sa possession, quelle qu'en soit la forme.
  • Tous les membres du personnel, agents et bénévoles autorisés du Collège ayant accès aux renseignements personnels régis par le Collège sont tenus de respecter la confidentialité de ces renseignements.À cette fin, ils s'engagent, par écrit, à respecter le caractère confidentiel des informations disponibles dans le cadre de leur poste et participent à toute formation dispensée par le Collège en relation avec la LAIPVP.
  • Les personnes ayant accès aux renseignements personnels sont tenues de respecter, en tout temps, les mesures de protection mises en œuvre par le Collège, dont :
    1. toute mesure physique, telle que le verrouillage des classeurs et l'accès restreint aux bureaux et aux salles d'entreposage;
    2. toute mesure organisationnelle mise en œuvre pour restreindre l'accès aux personnes œuvrant au sein du Collège qui ont véritablement besoin d'accéder à ces renseignements personnels;
    3. toute mesure technologique mise en œuvre par le Collège, telle que l'utilisation de mots de passe, de processus de vérification et d'encodage.

Modalités concernant la divulgation de renseignements personnels

Le Collège ne doit pas divulguer les renseignements dont il a la garde ou le contrôle, sauf :

  1. tel que prescrit par la Loi;
  2. aux fins pour lesquelles ils ont été obtenus ou recueillis;
  3. Dans le cadre de la négociation et de l'administration des diverses conventions collectives et conditions d'emploi régissant les membres du personnel des Collèges;
  4. à un administrateur, un employé, ou une tierce partie (comprenant notamment un représentant d'un fournisseur de services tels que le fonds de pension, la paie ou les avantages sociaux) du Collège à qui ces renseignements sont nécessaires dans l'exercice de leurs fonctions et que cette divulgation est essentielle et appropriée;
  5. à un représentant du Collège ou de la loi dans le cadre d'une enquête;
  6. lors d'une situation d'urgence pouvant avoir une incidence sur la santé et la sécurité d'un employé;
  7. dans une situation relative à un événement majeur de nature personnelle (ex : blessure ou décès) afin de faciliter la communication;
  8. avec l'autorisation écrite de la personne visée.

Liens

Directive(s) administrative(s) associée(s) :

  • RH – 02 – Équité en matière d'emploi
  • RH – 03 – Avantages accessoires

Politique(s) associée(s) :

  • 3.01 - Contraintes générales à la présidence du Collège
  • 3.03 – Ressources humaines
  • 3.06 – Protection des actifs

Annexe A

Définition de « renseignements personnels »

Extrait tiré du Sommaire de la Loi sur l'accès à l'information et la protection de la vie privée

Définitions

2. (1) Les définitions qui suivent s'appliquent à la présente loi.

(…)

Renseignements personnels : renseignements consignés ayant trait à un particulier qui peut être identifié. S'entend notamment :

  1. des renseignements concernant la race, l'origine nationale ou ethnique, la couleur, la religion, l'âge, le sexe, l'orientation sexuelle, l'état matrimonial ou familial de celui-ci;
  2. des renseignements concernant l'éducation, les antécédents médicaux, psychiatriques, psychologiques, criminels ou professionnels de ce particulier ou des renseignements reliés à sa participation à une opération financière;
  3. d'un numéro d'identification, d'un symbole ou d'un signe individuel qui lui est attribué;
  4. de l'adresse, de numéro de téléphone, des empreintes digitales ou de groupe sanguin de ce particulier;
  5. de ses opinions ou de ses points de vue personnels, sauf s'ils se rapportent à un autre particulier;
  6. de la correspondance ayant explicitement ou implicitement un caractère personnel et confidentiel, adressé par le particulier à une institution, ainsi que des réponses à cette correspondance originale susceptibles d'en révéler le contenu;
  7. des opinions et des points de vue d'une autre personne au sujet de ce particulier;du nom du particulier, s'il figure parmi d'autres renseignements personnels qui le concernent, ou si sa divulgation risque de révéler d'autres renseignements personnels au sujet du particulier.

(…)

Renseignements sur l'identité professionnelle

(3) Les renseignements personnels excluent le nom, le titre, les coordonnées et la désignation d'un particulier qui servent à l'identifier par rapport à ses activités commerciales ou à ses attributions professionnelles ou officielles.

Annexe B

Autres définitions

Dé-identification

« Dé-identification » s’entend du terme général pour définir le processus d’élimination des renseignements personnels d’un fichier ou d’un ensemble de données. Plus précisément, la dé-identification se définit comme étant le processus d’élimination de toute information qui (i) identifie une personne ou qui (ii) prise seule ou en combinaison avec d’autres informations, pourrait raisonnablement identifier une personne.

Selon le processus de dé-identification, le Collège doit éliminer l’information qui identifie directement une personne et l’information qui, prise seule ou en combinaison avec d’autres informations, pourrait raisonnablement identifier une personne. Le premier type d’identifiant constitue un « identifiant direct », tandis que le second représente un « identifiant indirect » ou « quasi-identifiant ».

Identifiant direct

« Identifiant direct » s’entend d’une variable ou de plusieurs variables qui, prises seules ou en combinaison avec d’autres sources d’information facilement accessibles, permettent d’identifier une personne. Des exemples en sont les noms, les adresses, les adresses électroniques, les numéros de téléphone, les numéros de télécopieur, les numéros de carte de crédit, les numéros de plaque, les numéros d’identification de véhicule, les numéros d’assurance sociale, les numéros de carte santé, les numéros de dossier médical, les numéros d’identification d’un appareil, les identificateurs biométriques, les numéros d’adresse de protocole Internet et les adresses URL.

Identifiant indirect ou quasi-identifiant

« Identifiant indirect ou quasi-identifiant » s’entend de variables ayant deux caractéristiques importantes : (1) l’adversaire en a vraisemblablement une connaissance préalable et (2) elles peuvent être utilisées, seules ou en combinaison avec d’autres, pour ré-identifier une personne dans un ensemble de données. Des exemples en sont le sexe, la date de naissance ou l’âge, les dates d’évènement, les lieux, l’origine ethnique, le pays de naissance, les langues parlées, le statut d’autochtone, le statut de minorité visible, la profession, l’état civil, le niveau de scolarité, les années d’étude, les antécédents criminels, le revenu total et la confession religieuse.

Adversaire

« Adversaire » s’entend d’une personne ou d’une entité qui tente de ré-identifier une personne ou plus dans un ensemble de données.