Gouvernance en matière de protection des renseignements personnels
Génome Québec (GQ) accorde une grande importance à la protection des renseignements personnels. À cet égard, GQ a élaboré une politique de gouvernance afin d’encadrer sa gouvernance en matière de vie privée.
GQ a aussi mis en place diverses mesures en soutien de sa politique et de son application conformément aux lois applicables. C’est ainsi que GQ a notamment :
- validé et confirmé les rôles et responsabilités de la personne responsable de la protection des renseignements personnels (le ou la responsable);
- entrepris la révision et la documentation des mesures et règles internes en matière de protection des renseignements personnels; et
- mis en place des mesures d’assistance.
À la politique s’ajoutent aussi plusieurs autres procédures et outils élaborés par GQ, notamment :
- sa procédure de conservation des documents contenant des renseignements personnels;
- sa procédure en matière de gestion des incidents de confidentialité;
- son registre des incidents de confidentialité;
- son modèle d’évaluation des facteurs relatifs à la vie privée dans le contexte de la communication de renseignements personnels à l’extérieur du Québec;
- son modèle d’évaluation des facteurs relatifs à la vie privée dans le contexte de la communication de renseignements personnels à des fins d’étude, de recherche ou de production de statistiques;
- son modèle d’évaluation des facteurs relatifs à la vie privée dans le cadre de projets technologiques impliquant des renseignements personnels;
- ses modèles de clauses contractuelles si les services d’un tiers sont retenus; et
- ses modèles de clauses contractuelles en cas de transferts hors Québec.
Tous ces documents forment le cadre de gouvernance de GQ en matière de protection des renseignements personnels. Ils précisent notamment :
- les règles relatives à la collecte et aux autres traitements de renseignements personnels des employé(e)s et de toute autre personne, lorsqu’applicable;
- les mesures de sécurité mises en place afin d’assurer la confidentialité, l’intégrité et la disponibilité des renseignements personnels tout au long de leur cycle de vie;
- les rôles et responsabilités de diverses personnes, dont celle ayant la plus haute autorité, des responsables, des employé(e)s et des sous-traitants;
- la gestion des accès aux renseignements personnels;
- le processus de traitement des plaintes;
- certaines règles pouvant trouver application dans des contextes spécifiques, notamment en cas :
- de communication ou de traitements de renseignements personnels à l’extérieur du Québec;
- de demandes d’accès à des renseignements à des fins d’étude, de recherche ou de production de statistiques; et
- de projets technologiques impliquant des renseignements personnels;
- les processus applicables aux demandes d’accès, de rectification et autres; et
- le processus de mise à jour des documents.
Sommaire des règles de gouvernance en matière de protection des renseignements personnels
Le présent sommaire du cadre de gouvernance (le sommaire)a pour objectif d’informer les personnes au sujet desquelles GQ recueille des renseignements personnels de la façon dont ceux-ci peuvent être recueillis, utilisés et communiqués, ainsi que des droits dont elles disposent à leur égard.
Aux fins de la présente politique, les renseignements personnels sont ceux qui concernent une personne physique et permettent, directement ou indirectement, de l’identifier.
1. Champ d’application
Le présent sommaire vise les individus, les activités, les renseignements et les ressources suivantes :
- Individus : Tous les membres du personnel de GQ (dont ses responsables) et les sous-traitants et fournisseurs de service avec lesquels GQ peut faire affaire.
- Activités : Tout traitement de renseignements personnels détenus par GQ dans le cadre de ses missions, activités ou attributions, et ce, même si la détention physique des renseignements personnels n’est pas assurée par GQ.
- Ressources : Tous les systèmes d’information, sans égard à leur support ou à leur format, qu’ils soient conservés à l’interne ou à l’externe, tels que les systèmes en infonuagique.
- Renseignements : Tout renseignement personnel, peu importe le format et l’endroit de conservation (à l’interne ou à l’externe). La notion de « renseignement personnel » est interprétée largement, de manière à inclure ceux concernant les membres du personnel de GQ et toute autre personne, lorsqu’applicable. Toutefois, et conformément aux lois applicables, certains renseignements ne se qualifieront pas à titre de « renseignements personnels ».
2. Principes directeurs
Dans le cadre de ses missions et de ses activités, GQ est appelé à détenir et/ou à traiter divers types de renseignements personnels. À cet effet, GQ insiste sur l’importance que tout traitement ait lieu selon les principes directeurs suivants :
- la collecte de renseignements personnels doit être nécessaire, et requise ou permise par la loi (et, lorsqu’applicable, par tout contrat);
- tout renseignement personnel est considéré, par défaut, comme confidentiel et est traité de cette façon;
- aucun renseignement personnel ne peut faire l’objet de traitements à moins que les consentements requis n’aient été obtenus ou que ces traitements soient permis ou requis par la loi;
- la protection des renseignements personnels doit être assurée entre autres par la mise en place et le respect de mesures de sécurité adéquates;
- les renseignements personnels ne peuvent être conservés que pour la période requise pour les fins pour lesquelles ils ont été colligés (sujets aux exceptions légales et contractuelles applicables); et
- toute demande (d’accès, de rectification et autres) et tout incident de confidentialité doivent être immédiatement rapportés au responsable applicable.
3. Collecte, utilisation et communication de renseignements personnels
Dans le cadre de ses activités, GQ peut recueillir, utiliser, communiquer et/ou autrement traiter, selon le cas, des renseignements personnels concernant différentes catégories de personnes, à savoir : (i) ses employé(e)s; (ii) les individus dont les renseignements personnels sont colligés dans les biobanques de GQ; (iii) les chercheurs et les chercheuses soumettant leur candidature dans le cadre d’un concours organisé par GQ; et (iv) les personnes visitant son site Web qui interagissent avec GQ et/ou lorsqu’applicable tout membre du public communiquant avec GQ.
3.1 – Renseignements personnels concernant les employé(e)s
GQ procède à la collecte et au traitement de renseignements personnels requis concernant les membres de son personnel dans la mesure où cela est : (i) nécessaire pour gérer sa relation d’emploi avec ces derniers; (ii) permis par la loi; ou (iii) nécessaire pour se conformer aux exigences légales et contractuelles applicables. Ces collectes et traitements sont limités à ces fins. Ces renseignements requis sont colligés et autrement traités avec le consentement des membres du personnel, à moins que la loi ne permette ou ne requière telle collecte ou tels autres traitements sans le consentement, auquel cas le consentement des membres du personnel ne sera pas requis.
Les renseignements facultatifs sont aussi colligés si les membres du personnel y consentent.
GQ ne fournira pas à des tiers des renseignements personnels concernant ses employé(e)s sans leur consentement, à moins d’une exception prévue par la loi ou portée à leur attention.
3.2 – Renseignements personnels concernant les individus dont les renseignements sont colligés dans des biobanques
GQ procède à la collecte et au traitement de renseignements personnels concernant des individus ayant accepté que leurs renseignements personnels soient conservés dans des biobanques (un participant à la biobanque). Tout renseignement personnel recueilli et/ou traité à cette fin le sera conformément aux modalités et précisions fournies dans le formulaire de consentement signé par chaque participant à la biobanque, ainsi que les autres documents applicables, dont, notamment, le cadre de gouvernance applicable à chaque biobanque (collectivement, les documents de la biobanque).
Les documents de la biobanque détaillent également les fins auxquelles ces renseignements personnels seront utilisés. Finalement, les documents de la biobanque précisent les circonstances dans lesquelles des renseignements personnels sur les participants à la biobanque pourront être communiqués à des tiers.
3.3 – Renseignements personnels concernant les chercheurs et chercheuses participant à des concours de GQ
Dans le cadre du processus d’application aux concours GQ pouvant être organisés ou non en partenariat avec d’autres organismes, dont Génome Canada, GQ peut recueillir et traiter certains renseignements pouvant constituer des renseignements personnels fournis par des chercheurs ou des chercheuses déposant un dossier de candidature en lien avec un concours. En fournissant de tels renseignements, tout chercheur et toute chercheuse consent à ce que tels renseignements soient recueillis et traités aux fins de l’analyse du dossier de candidature pour le concours, pour la gestion du concours et du projet et pour toute autre fin requise ou permise par la loi. Les documents recueillis à de telles fins par GQ peuvent également être partagés avec des tiers, par exemple des membres externes du comité de sélection ou encore les autres organismes partenaires, lorsque nécessaire, afin de veiller à la bonne gestion du concours, ou encore conformément aux exceptions prévues dans la loi ou portées à l’attention du chercheur ou de la chercheuse.
3.4 – Renseignements personnels concernant toute autre personne
GQ peut être appelé à colliger et à traiter des renseignements personnels des membres du public qui communiquent avec lui. Ces collectes et traitements auront lieu sur la base de leur consentement (p. ex. : une personne communique avec GQ pour postuler sur une offre d’emploi, ou pour poser une question en lien avec les activités de GQ). GQ ne fournira pas à des tiers des renseignements personnels qu’il détient au sujet d’une personne sans son consentement, à moins d’une exception prévue par la loi ou portée à l’attention des personnes concernées.
4. Consentement
Le cadre de gouvernance de GQ insiste sur l’importance qu’un consentement valide existe en lien avec la collecte ou tout autre traitement de renseignements personnels. Ce consentement peut être implicite ou explicite. GQ déploie des efforts raisonnables pour s’assurer que les consentements explicites soient manifestes, libres, éclairés, donnés à de fins spécifiques, demandés pour chaque fin en termes simples et clairs, présentés distinctement des autres informations communiquées et, pour les renseignements sensibles, formulés de manière expresse. Le cadre de gouvernance rappelle toutefois que la loi reconnaît certaines situations où un consentement ne sera pas sollicité ou n’aura pas à être sollicité. Il prête assistance à toute personne qui le requiert afin de l’aider à comprendre la portée du consentement demandé.
Le consentement d’un participant à la biobanque à la collecte et le traitement de ses renseignements personnels sera obtenu conformément aux documents de la biobanque, et les modalités de ceux-ci auront préséance à l’égard des conditions de validité du consentement ainsi donné à GQ.
5. Conservation, destruction et anonymisation
GQ conserve les renseignements personnels recueillis seulement aussi longtemps que requis pour réaliser les fins pour lesquelles ils ont été colligés ou pour une durée plus longue lorsque la loi l’exige ou l’autorise. GQ procédera à la destruction des renseignements personnels détenus lorsque les fins auxquelles ceux-ci ont été recueillis ou utilisés sont accomplies (sous réserve d’un délai de conservation prévu par la loi); GQ a notamment mis en place un calendrier de conservation pour l’assister à ce niveau.
Dans le cas des renseignements personnels concernant les participants à la biobanque, ceux-ci seront conservés par GQ pour toute la durée de vie de la biobanque dans laquelle ils sont conservés, comme plus amplement décrit dans les documents de la biobanque.
6. Communication de renseignements personnels à l’extérieur du Québec
GQ procédera à une évaluation des facteurs relatifs à la vie privée avant de communiquer un renseignement personnel à l’extérieur du Québec afin d’en assurer la confidentialité et la sécurité.
En ce qui a trait aux renseignements personnels des participants à la biobanque, ceux-ci pourront être communiqués à l’extérieur du Québec conformément à ce qui est prévu dans les documents de la biobanque.
7. Communication de renseignements personnels à des fins d’études, de recherche ou de production de statistiques
Conformément à la loi, GQ pourrait, dans certains cas, communiquer des renseignements personnels dont il a la détention juridique et sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques. Une évaluation des facteurs relatifs à la vie privée devra toutefois être réalisée et, si celle-ci permet de conclure que des renseignements peuvent être communiqués, alors une entente sera conclue avec la partie demanderesse. Les formalités imposées par la loi devront aussi être respectées.
8. Projet technologique impliquant des renseignements personnels
GQ procédera à une évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant des renseignements personnels selon le processus prescrit par la loi.
9. Mesures de sécurité pour la préservation des renseignements personnels
GQ est responsable de la protection de tous les renseignements personnels confiés à sa garde ou à son contrôle. GQ a désigné une personne responsable et a mis en œuvre des politiques et des procédures qui garantissent que les renseignements personnels sont raisonnablement protégés. Ces mesures incluent notamment des mesures (i) internes; (ii) à l’égard des sous-traitants; et (iii) en matière de gestion des incidents de confidentialité.
Concernant les renseignements personnels des participants à la biobanque, GQ prend des mesures afin de s’assurer que tout partenaire ayant accès à la biobanque et son contenu ait des mesures de sécurité adéquates afin de conserver la confidentialité et l’intégrité de ces renseignements personnels.
10. Demande d’accès, de rectification et autre
Toute personne peut déposer une demande d’accès ou de rectification ou toute autre demande applicable à l’égard de ses renseignements personnels détenus par GQ conformément à la loi. Le ou la responsable de la protection des renseignements personnels prête assistance aux personnes demanderesses si celles-ci le requièrent. L’assistance offerte inclut les éléments suivants :
- Lorsque la demande n’est pas suffisamment précise ou que la personne demanderesse le requiert, le ou la responsable de la protection des renseignements personnels prête assistance à la personne demanderesse pour identifier les renseignements personnels recherchés.
- Sujet aux lois applicables et suivant une demande formulée à cet effet, le ou la responsable de la protection des renseignements personnels :
- confirmera l’existence de renseignements personnels détenus et qui concerne la personne demanderesse et, lorsqu’applicable, lui en donnera communication (ou lui permettra d’en obtenir une copie); et
- corrigera les renseignements personnels le concernant qui seraient inexacts, incomplets ou équivoques.
- Dans l’éventualité d’un refus de donner suite à une demande d’accès, les motifs de ce refus seront communiqués à la personne demanderesse, conformément à la loi. Le ou la responsable de la protection des renseignements personnels prêtera alors assistance à la personne demanderesse qui le demande pour l’aider à comprendre ce refus.
Le ou la responsable de la protection des renseignements personnels veillera à :
- offrir une aide raisonnable tout au long du processus de traitement d’une demande;
- fournir des renseignements au sujet de la loi, notamment en ce qui concerne le traitement d’une demande et le droit de porter plainte auprès de la Commission d’accès à l’information;
- communiquer avec la personne demanderesse si des précisions sont requises au sujet d’une demande, telle communication ayant lieu dès que raisonnablement possible;
- déployer les efforts raisonnablement requis pour trouver les documents demandés;
- s’assurer que les exceptions invoquées (en lien avec un refus de communiquer tout ou partie de documents) soient précises et limitées (à tels documents);
- fournir des réponses qui, à sa connaissance, sont exactes et complètes;
- communiquer promptement l’information demandée dans le cadre du processus d’accès; et
- s’il y a lieu, fournir les documents sur le support demandé ou, selon le cas, fournir un endroit approprié pour examiner les documents visés par la demande.
L’assistance offerte n’oblige toutefois pas le ou la responsable de la protection des renseignements personnels à fournir plusieurs fois les mêmes explications à une personne demanderesse. De même, une fois que les informations nécessaires pour aider une personne demanderesse à comprendre la décision ont été données, le ou la responsable de la protection des renseignements personnels peut choisir de cesser de lui fournir des explications.
11. Coordonnées et informations complémentaires
Pour toute préoccupation, question, requête ou plainte à propos du sommaire ou de la gestion des renseignements personnels par GQ, les personnes peuvent contacter le ou la responsable de la protection des renseignements personnels aux adresses suivantes :
Responsable de la protection des renseignements personnels
Génome Québec
630, boul. René-Lévesque Ouest, bureau 2660
Montréal (Québec) H3B 1S6