Accès à l'information et protection des renseignements personnels

La protection des renseignements personnels, c’est la responsabilité de toutes et tous ! Voici un aperçu des principaux rôles et responsabilités dévolus aux membres de notre communauté universitaire.

Le conseil d’administration

Le conseil d’administration veille à assurer le respect et la mise en œuvre de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c A-2.1).

La personne responsable de l’accès aux documents et de la protection des renseignements personnels

La personne responsable de l’accès aux documents et de la protection des renseignements personnels, qu’on appelle aussi le ou la responsable accès et PRP, détermine, en collaboration avec le Comité accès et PRP, les politiques, procédures, directives ou pratiques entourant la gouvernance de l’UQAT à l’égard de l’accès à l’information et de la protection des renseignements personnels.

Le comité sur l’accès à l’information et la protection des renseignements personnels

Le comité sur l’accès à l’information et la protection des renseignements personnels, ou comité accès et PRP, a comme mandat général de soutenir le ou la responsable accès et PRP ainsi que d’assurer l’intégration des obligations légales associées à la protection des renseignements personnels aux pratiques organisationnelles. Il agit aussi comme service-conseil.

Les membres du personnel

Appelés à collecter, utiliser et communiquer des renseignements personnels, les membres du personnel de l’UQAT doivent appliquer les principes établis dans la Politique sur l’accès à l’information et sur la protection des renseignements personnels ainsi que toutes directives et procédures qui en découlent.

Les personnes externes ayant accès à des renseignements personnels détenus par l’UQAT

Étant autorisées à accéder à des renseignements personnels dans le cadre de mandats spécifiques, les personnes externes ayant accès à des renseignements personnels détenus par l’UQAT doivent signer une entente de confidentialité les engageant à maintenir ces informations confidentielles en tout temps, ainsi qu’à respecter les politiques de l’UQAT en la matière.

Voici les principaux principes de base des droits d’accès :

• Est public, tout document produit ou reçu par l’UQAT et concernant son mandat, ses activités et ses pouvoirs et de la juridiction qui s’applique, sous réserve des exceptions prévues par la Loi sur l’accès, notamment à l’égard des documents contenant des informations confidentielles ou sensibles;
• Les renseignements personnels sont confidentiels, à moins que leur divulgation soit autorisée, par écrit, par la personne qu’ils concernent;
• La demande d’accès à un document peut être écrite ou verbale. Toutefois, seules les décisions relatives à des demandes écrites peuvent faire l’objet d’une révision par la Commission d'accès à l'information. Toute demande d’accès doit être adressée à la personne responsable de l’accès à l’information (Secrétaire générale).

L’UQAT encadre la façon dont les renseignements sont collectés, utilisés, communiqués, conservés et détruits afin de préserver la confidentialité de ces renseignements ainsi que les droits fondamentaux reconnus aux personnes concernées.

Collecte

• Seuls les renseignements personnels nécessaires aux fins annoncées par la personne qui les demande peuvent être recueillis .
• Les renseignements personnels doivent être détruits de manière diligente une fois les fins prévues accomplies et en fonction des délais de conservation inscrits au calendrier de conservation de l’UQAT.

Consentement

• Règle générale, toute utilisation et toute communication de renseignements personnels à d’autres fins que celles prévues lors de la collecte requiert d’obtenir le consentement de la personne concernée.
• L’UQAT s’engage à requérir le consentement des personnes concernées pour chaque nouvelle fin visée dans un langage accessible, clair et adapté à la personne concernée.
• Pour être valide, le consentement doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Il est demandé à chacune de ces fins, en termes simples et clairs. Lorsque la demande de consentement est faite par écrit, elle doit être présentée distinctement de toute autre information communiquée à la personne concernée. Lorsque celle-ci le requiert, il lui est prêté assistance afin de l’aider à comprendre la portée du consentement demandé.

Utilisation

• Toute utilisation de renseignements personnels doit se baser sur le principe de la nécessité. Par conséquent, l’UQAT doit s’assurer que toute personne ayant accès à des renseignements personnels détenus par l’établissement est légitimée à avoir accès à ces renseignements dans le cadre de ses fonctions.

Communication et accès

Toute personne employée de l’UQAT est tenue d’appliquer le double critère de pertinence et de nécessité avant de communiquer des renseignements personnels. Ce double critère permet de déterminer la légitimité de la communication et les renseignements à communiquer.

Ainsi, les deux questions à se poser avant de communiquer des renseignements personnels sont :

• Est-ce que la personne qui présente la demande est habilitée à recevoir ces renseignements personnels ?
• Est-ce que ces informations que je communique sont nécessaires et pertinentes à l’objectif visé par la personne qui les demande?

Le cas des dossiers étudiants et des dossiers du personnel

Ces dossiers et les renseignements qu’ils contiennent, ainsi que les exemplaires de travail constitués par d’autres entités autorisées à le faire, sont confidentiels. De ce fait, l’accès en est limité. Pour y accéder, la personne doit faire la démonstration que cet accès est nécessaire à l’exercice de ses fonctions.

Voici les dispositions prévues à la Politique sur l’accès aux documents et sur la protection des renseignements personnels de l’UQAT concernant l’accès aux dossiers étudiants ainsi qu’aux dossiers des membres du personnel :

• Toute personne étudiante peut avoir, sur demande, communication de tous les renseignements contenus à son dossier académique officiel et qui la concernent.
• Toute personne travaillant à l’Université a accès, sur demande adressée au Service de ressources humaines, aux renseignements qui sont contenus dans son dossier et qui la concernent.

Exceptions au droit d’accès

Il est possible d’avoir accès à certains renseignements personnels sans le consentement de la personne concernée, notamment dans les cas suivants :

• Au procureur ou à la procureure de l’UQAT, si le renseignement est nécessaire aux fins d’une procédure judiciaire ;
• À une personne chargée de prévenir, détecter ou réprimer le crime, si le renseignement est nécessaire aux fins d’une poursuite liée à une infraction à une loi applicable au Québec ;
• À une personne à qui cette communication doit être faite, en raison d’une situation mettant en danger la vie, la santé ou la sécurité de la personne concernée ;
• En vue de prévenir un acte de violence, dont un suicide ;
• Lorsqu’il existe un motif raisonnable de croire qu’un danger imminent de mort ou de blessures graves menace une personne ou un groupe de personnes identifiables ;
• Lorsque la communication est nécessaire à l’application d’une loi ;
• Lorsque la communication est nécessaire à l’application d’une convention collective, d’un décret, d’un arrêté, d’une directive ou d’un règlement établissant des conditions de travail ;
• Pour des fins d’étude, de recherche ou de productions de statistiques, avec les autorisations requises et aux conditions prévues par la Loi. Consulter la procédure d’accès à des renseignements personnels à des fins d’études, de recherche ou de production de statistiques

Destruction

Conformément à la Loi sur les archives (chapitre A-21.1), l’UQAT tient à jour un calendrier de conservation qui détermine les périodes d’utilisation de tous les types de documents qu’elle produit et reçoit. Ce calendrier de conservation indique le sort final de chaque document, soit la conservation permanente ou la destruction. Le calendrier de conservation des documents de l’UQAT encadre donc les délais de conservation et l’échéance de destruction des renseignements personnels sous la garde de l’Université.

L’UQAT s’engage à gérer les incidents de confidentialité impliquant des renseignements personnels avec diligence et transparence, dans la mesure des dispositions prévues par la Loi sur l’accès.

Obligation de déclaration de risques et d’incidents

• Toute personne membre de la communauté universitaire ayant connaissance d’un risque pouvant présenter un impact sur la protection des renseignements personnels gérés par l’UQAT doit le signaler immédiatement en écrivant à l’adresse courriel suivante : securite-information@uqat.ca
• De même, comme le prévoit la Politique sur la sécurité de l’information de l’UQAT, toute personne membre de la communauté universitaire ayant eu connaissance d’un incident de confidentialité impliquant des renseignements personnels doit communiquer immédiatement avec l’équipe du Service des technologies de l’information au numéro suivant : 819 762-0971 poste 2525.
• Sur demande du Chef gouvernemental de la sécurité de l’information uniquement, il est possible que l’UQAT doive lui partager des renseignements personnels en lien avec l’incident. Bien que ces renseignements doivent être désidentifiés lorsque possible, le cadre réglementaire applicable autorise l’UQAT à procéder à leur transmission sans désidentification s’il y a urgence d’agir.

Gestion des incidents et soutien aux personnes touchées

Les incidents en matière de protection des renseignements personnels sont gérés conformément au Plan de gestion des incidents de sécurité de l’information produit et tenu à jour par le Service de sécurité de l’information de l’UQAT. Ceux-ci sont inscrits au Registre des incidents de l’UQAT que la coordonnatrice ou le coordonnateur en sécurité de l’information et à l’accès des renseignements personnels tient à jour et soumet, sur demande, à la Commission d’accès à l’information.

Lorsqu’un incident en matière de protection des renseignements personnels est déclaré, l’Université s’engage à notifier sans délai :

• la Commission d’accès à l’information, par son ou sa responsable accès et PRP ;
• toutes personnes touchées par l’incident, dès que la notification à ces personnes ne risque pas d’impacter la conduite de l’enquête ;
• toute tierce partie avec laquelle l’UQAT est liée par une entente encadrant la protection de ces renseignements personnels ou l’utilisation de la plateforme technologique dans laquelle ces renseignements sont contenus.

Évaluation des facteurs relatifs à la vie privée (EFVP)

Démarche préventive visant à mieux protéger les renseignements personnels et à respecter davantage la vie privée des personnes physiques en effectuant une analyse des risques qui peuvent s’y rapporter et en apportant les correctifs requis, au besoin.

Incident de confidentialité

Accès non autorisé par la loi à un renseignement personnel sous la responsabilité de l’UQAT, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection.

Renseignement personnel

Renseignement qui touche directement une personne dans son individualité et permet de l’identifier par la combinaison d’au moins deux de ces renseignements personnels. Par exemple, le nom et le prénom combinés avec l’âge, la date de naissance, les caractéristiques morphologiques ou les coordonnées. Lorsque ces renseignements sont pris de façon isolée, ils ne sont plus considérés comme des renseignements personnels puisqu’ils ne permettent pas d’identifier avec assurance la personne concernée.

Renseignement personnel sensible

Renseignement personnel est considéré comme sensible lorsque, par sa nature notamment médicale, financière ou autrement intime ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de respect de la vie privée.