Politique relative à la gouvernance des renseignements personnels

CPE Les Pandamis

Adoptée par le conseil d’administration

28 septembre 2023

PRÉAMBULE

ATTENDU QUE le CPE est une entreprise privée qui est régie par la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, chapitre P-39.1) ;

ATTENDU QUE dans le cadre de la prestation des services de garde, le CPE doit procéder à la collecte, l’utilisation, la conservation et la destruction de renseignements personnels qui concernent les enfants, les parents, les membres du personnel, les candidates à l’emploi, les membres de la corporation ainsi que ses administrateurs ;

ATTENDU QUE le CPE recueille des renseignements personnels en application de la Loi sur les services de garde éducatifs à l’enfance (LRRQ, chapitre S-4.1.1), de ses règlements et des exigences du Ministère de la Famille et ce, dans le cadre des services de garde éducatifs à l’enfance ;

ATTENDU QUE le CPE recueille des renseignements personnels, entre autres, en application de la Partie III de la Loi sur les compagnies (LRRQ, chapitre C-38) et de la Loi sur la publicité légale des entreprises (LRRQ, chapitre P-44.) et de ses règlements, dans le cadre de l’exploitation de son entreprise ;

ATTENDU QUE de nouvelles dispositions législatives imposent au CPE l’obligation d’adopter et de mettre en application des pratiques encadrant sa gouvernance des renseignements personnels afin d’assurer la protection de ceux-ci ;

ATTENDU QUE le non-respect de la loi peut engager la responsabilité des administrateurs et du personnel d’encadrement du CPE par l’accomplissement d’un acte fautif ou par omission ;

Le conseil d’administration du CPE adopte la présente politique afin d’encadrer la protection des renseignements personnels.

  1. Objectifs de la présente politique

Le conseil d’administration du CPE a la volonté et l’obligation légale de se doter de pratiques sécuritaires afin d’assurer la confidentialité des informations personnelles que la corporation obtient, détient et utilise dans le cadre de la prestation des services de garde. Ces pratiques incluent aussi la destruction des informations personnelles.

Par l’adoption de la présente politique, le conseil d’administration s’engage ainsi à protéger l’ensemble des renseignements personnels que lui ou son personnel utilise concernant les enfants, les parents, les membres du personnel, les candidates à l’emploi, les membres de la corporation ainsi que ses administrateurs. La présente politique encadre aussi les demandes d’accès aux renseignements personnels ainsi que la rectification de ceux-ci.

  • La personne responsable

La directrice générale est désignée expressément par le conseil d’administration comme la personne responsable de l’accès aux informations personnelles et à la protection des renseignements personnels.

En ce sens, la directrice générale a pour fonction de veiller à assurer le respect et la mise en œuvre de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, chapitre P-39.1) et d’appliquer la présente politique.

Elle a également comme responsabilité de répondre aux demandes d’accès à l’information et de traiter ces demandes en conformité avec la Loi et la présente politique. Les coordonnées de la directrice générale sont les suivantes :

DIRECTRICE GÉNÉRALE : Nancy Bouchard

COURRIEL : nbouchard@pelespandamis.com

TÉLÉPHONE : 450-654-1040 poste 222

Si la directrice générale n’est pas disponible pour une période prolongée de plus de 30 jours et ne peut répondre à une demande d’accès à l’information, la présidente du conseil d’administration est désignée pour répondre et traiter la demande en son absence.

  • Demande d’informations sur les pratiques du CPE en matière de protection des renseignements personnels

Les coordonnées de la directrice générale et son rôle en matière d’accès à l’information et de protection des renseignements personnels sont affichés sur le site Internet du CPE. La directrice générale a aussi l’obligation de rendre et maintenir accessible cette information par d’autres moyens qu’elle juge appropriés.

La directrice générale prête assistance à toute personne qui demande des informations concernant les pratiques et procédures encadrant la collecte et la protection des renseignements personnels incluant la durée de la détention de cette information.

Une liste sommaire de la durée de détention des informations personnelles se retrouve en annexe 3.

  • Nature des renseignements personnels collectés, détenus et utilisés

Le CPE, à titre de prestataire de services de garde éducatifs, titulaire d’un permis de garde délivré par le Ministère de la Famille, doit recueillir plusieurs renseignements personnels. Ces renseignements personnels sont consignés par écrit sur des formulaires ou des ententes, et ce, par le biais de divers moyens technologiques.

Ces renseignements sont conservés à l’établissement principal de l’entreprise.

D’une manière non limitative, le CPE doit recueillir des renseignements personnels afin de :

  • Constituer un dossier éducatif concernant chaque enfant ;
  • Convenir d’une entente de services ;
  • Compléter l’inscription des enfants ;
  • Compléter les fiches d’assiduité des enfants (présence et absences) ;
  • Être en mesure de déterminer les jours de fréquentation (attestation de services de garde) ;
  • Déterminer l’admissibilité à la contribution réduite ou l’exemption (dossier du parent) ;
  • Compléter les fiches pour l’administration de l’acétaminophène ;
  • Constituer un dossier concernant les besoins particuliers des enfants, le cas échéant ;
  • Constituer les dossiers des employées ;
  • Compléter les vérifications d’absence d’empêchements ;
  • Tenir un registre des membres de la personne morale et des administrateurs ;
  • Autres fins nécessaires à la prestation des services de garde éducatifs à l’enfance.

Une liste sommaire des informations personnelles détenues se retrouve en annexe 2.

  • Consentement à la collecte et à l’utilisation des renseignements

Les parents utilisateurs, les membres du personnel, les candidats à l’emploi ainsi que les membres de la corporation et ses administrateurs ou toute autre personne qui fournit des renseignements personnels au CPE doivent être informés et consentir par écrit à toute collecte de renseignements personnels les concernant, et ce, avant que ces données ne soient collectées et utilisées.

Le CPE doit obtenir l’autorisation écrite de la personne concernée avant ou au moment de collecter des renseignements personnels sur celle-ci ou sur son enfant et avant de communiquer quelques renseignements personnels que ce soit à un tiers.

Le formulaire d’autorisation se retrouve en annexe 1.

  • Règles de conservation des renseignements personnels (stockage et sécurité)

La directrice générale s’engage à limiter l’accès et l’utilisation des renseignements personnels que le CPE détient aux seules personnes détenant les fonctions appropriées au sein de l’entreprise, et ce, seulement lorsque ces renseignements sont nécessaires à l’exercice de leurs fonctions.

La directrice générale prend des mesures de sécurité propres à assurer la sécurité des renseignements compte tenu, notamment, de la sensibilité des renseignements, de leur finalité, de leur quantité et du support utilisé.

La directrice générale est responsable de la mise en place des mots de passe, de l’octroi des accès, et des diverses mesures informatiques, dont le système de sauvegarde « back-up » sécurisé.

La directrice générale s’assure que le CPE ne recueille que les renseignements personnels nécessaires aux fins déterminées par la Loi sur les services de garde éducatifs à l’enfance (LRRQ, chapitre S-4.1.1) de ses règlements ou par le ministère de la Famille ou en application de la Partie III de la Loi sur les compagnies (LRRQ, chapitre C-38) et de la Loi sur la publicité légale des entreprises (LRRQ, chapitre P-44.) et de ses règlements.

  • Règles de transmission à des tiers

Le CPE ne peut transmettre à des tiers des renseignements personnels sauf lorsque ceux-ci doivent être transmis en application de la Loi sur les services de garde éducatifs à l’enfance ou d’une autre loi ou d’une ordonnance d’un tribunal.

La directrice générale s’assure que les renseignements personnels collectés ou les informations qui ont été portées à leur connaissance dans le cadre des activités de l’entreprise ne sont pas utilisés ou communiqués à des fins autres que celles pour lesquelles ils ont été recueillis ou obtenus, à moins que la personne concernée n’y consente ou que la Loi ne l’exige.

La transmission d’informations personnelles à des tiers pour des fins commerciales ou philanthropiques est interdite.  En cas de réorganisation de la structure juridique du CPE (fusion ou cession), les renseignements personnels font partie des actifs et peuvent être partagées sans consentement.

Le CPE peut communiquer des informations personnelles à un prestataire de service externe ou une personne qui se voit confier un mandat, et ce, sans obtenir de consentement, mais uniquement dans la mesure où cette entreprise est nécessaire à l’exécution des tâches du CPE et qu’un contrat écrit existe entre les parties. Ce contrat doit prévoir que ce sous-traitant a prévu des mesures pour garantir la confidentialité des renseignements personnels, que l’utilisation des données ne vise que l’exécution du contrat, que les données seront détruites après la fin du contrat et qu’advenant un incident, la directrice générale pourra procéder aux vérifications requises.

  • Règles de destruction des renseignements personnels

Les renseignements personnels ne sont conservés qu’aussi longtemps que nécessaire pour la réalisation des finalités déterminées et conformément aux délais prescrits par la Loi sur les services de garde éducatifs à l’enfance (LRRQ, chapitre S-4.1.1) et ses règlements.

Il en est ainsi de toutes autres obligations législatives, dont celles à caractère fiscal et des renseignements personnels, des candidats rejetés dans le cadre des processus d’embauche.

À l’expiration de ces délais, la directrice générale doit détruire les renseignements personnels contenus dans les dossiers, et ce, de manière sécuritaire.

  • Les rôles et responsabilités des membres du personnel et des administrateurs

Les membres du personnel et les administrateurs de la personne morale peuvent avoir accès à des renseignements personnels sensibles dans le cadre de la gestion du CPE, des relations du travail et de la prestation des services de garde.

Les membres du personnel et les administrateurs de la personne morale sont tenus à la discrétion sur ce dont ils ont connaissance à l’occasion de l’exercice de leurs fonctions et doivent respecter le caractère strictement confidentiel des renseignements personnels auxquels ils ont accès.

Chacun des membres du personnel, de la direction, des administrateurs, stagiaires et bénévoles s’engage personnellement à respecter la présente politique ainsi que les procédures qui y sont énoncées et à respecter le caractère hautement confidentiel des données auxquelles ils ont accès. Cette obligation perdure en tout temps, même après l’expiration du mandat ou la fin de l’emploi.

  1. Incident de confidentialité

En cas d’accès, d’utilisation ou de communication non autorisés par la Loi ou par la personne concernée à un renseignement personnel ou la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement que le CPE sur une ou des personne(s), la directrice générale doit :

  • Aviser la Commission d’accès à l’information (CAI) si nous sommes en présence d’un risque de préjudice sérieux;
  • Aviser la personne visée par écrit;
  • les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent ;
  • Tenir un registre des incidents de confidentialité (annexe 4);
  1. Exactitude des renseignements personnels

Les renseignements personnels qui sont collectés, détenus et utilisés doivent être exacts, complets et à jour. Toute personne peut faire une demande d’accès et de rectification des renseignements personnels la concernant, conformément à la Loi.

  1. Accès aux renseignements personnels

Pour toute demande d’information ou de mise à jour concernant vos renseignements personnels ou une demande d’information sur la présente politique, veuillez communiquer avec la directrice générale. Celle-ci procédera à l’évaluation de la demande.

La directrice générale doit, dans un délai de trente (30) jours et à la demande écrite de la personne concernée, confirmer ou infirmer l’existence d’un renseignement personnel la concernant et lui donner communication de ce renseignement en lui permettant d’en obtenir une copie, conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, chapitre P-39.1).

  1. Processus de traitement des plaintes

Conformément aux articles 42 à 44 de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, chapitre P-39.1), la personne qui est insatisfaite du traitement de sa demande d’accès à l’information ou de rectification peut demander la révision de cette décision auprès de la Commission d’accès à l’information, dans les 30 jours du refus de la demande ou de l’expiration du délai pour y répondre.

La demande doit être formulée par écrit et exposer brièvement les raisons de celle-ci en plus de payer les frais exigibles. Un formulaire de demande de révision est disponible sur le site internet de la Commission d’accès à l’information à l’adresse suivante :

https://www.cai.gouv.qc.ca/documents/CAI_FO_demande_revision_et_dexamen_mesentente.pdf

Pour toute autre insatisfaction quant à la collecte, l’utilisation ou la destruction des renseignements personnels détenus par le CPE, une plainte peut être formulée conformément à la politique de traitement de plaintes en vigueur au CPE.