Politique de Confidentialité

L’ACORP s’engage à assurer la protection de la vie privée de ses membres et des étudiants.

physiotherapist in blue scrubs making notes on a clipboard while elderly man watches from his seat on exam table

L’ACORP s’engage à protéger la confidentialité et la sécurité des renseignements personnels et des renseignements personnels sur la santé des individus avec lesquels elle interagit, notamment les employés, les clients, les fournisseurs et les entrepreneurs. Cet engagement se réalise grâce à l’intégration de stratégies de confidentialité et de protection de l’information dans les services organisationnels et les unités opérationnelles.

En tant que dépositaire de renseignements personnels et de renseignements médicaux personnels, l’ACORP se conforme aux normes du Groupe CSA en matière de protection des renseignements personnels et des renseignements médicaux personnels. Cela implique tout au moins la désignation du responsable de la protection de la vie privée de l’ACORP et l’élaboration d’un Code de protection des renseignements personnels régissant la collecte, l’utilisation, la divulgation, la conservation et l’élimination des renseignements personnels et à caractère médical. Le Code de protection des renseignements personnels précisera également les mesures à prendre en cas d’atteinte à la vie privée.

Le Code de protection des renseignements personnels sera publié et mis à la disposition de toute personne ou de tout organisme qui en fera la demande. La Politique de confidentialité de l’ACORP est détenue et approuvée par le conseil d’administration par voie de recommandations du comité de la gouvernance et des nominations. Le conseil d’administration est responsable de l’établissement et du fonctionnement de contrôles prudents et efficaces des renseignements personnels et des renseignements personnels sur la santé et d’un environnement de gestion des renseignements sécuritaire associé aux activités de l’ACORP. Le conseil d’administration délègue la gestion quotidienne, y compris la gestion des renseignements et de la protection des renseignements, au chef de la protection des renseignements personnels, qui délègue les aspects opérationnels au personnel de gestion de l’ACORP.

Le chef de la protection des renseignements personnels de l’ACORP est le ou la PDG ou un représentant désigné par celui-ci ou celle-ci.

En cas d’atteinte à la vie privée, l’ACORP se conformera aux meilleures pratiques en matière de notification des personnes concernées et d’examen et de résolution des problèmes de cet ordre.

Les individus dont les renseignements personnels et renseignements personnels sur la santé ont été recueillis, utilisés, divulgués et/ou éliminés par l’ACORP peuvent porter plainte relativement aux politiques et aux pratiques de l’ACORP visant le traitement de leurs renseignements personnels et renseignements personnels sur la santé. Le chef de la protection des renseignements personnels peut recevoir des plaintes sous forme écrite, pourvu que la nature de la plainte soit indiquée, après quoi il est tenu de mener une enquête. Il transmettra une réponse par écrit au plaignant, dans laquelle il décrira les résultats de l’enquête et les mesures prises, le cas échéant, par l’ACORP pour traiter la plainte. Les appels d’une décision concernant une plainte seront adressés au conseil d’administration. Le conseil d’administration peut consulter le commissaire à la protection de la vie privée du gouvernement fédéral ou un commissaire provincial pour étayer le processus d’enquête, demander conseil et/ou valider les décisions. L’ACORP ne pénalisera, ne sanctionnera et ne défavorisera pas un individu qui a présenté une plainte ou une demande de renseignements.

Objectif

L’ACORP s’engage à protéger la confidentialité et la sécurité des renseignements personnels et des renseignements personnels sur la santé des individus avec lesquels elle interagit, notamment les employés, les clients, les fournisseurs et les entrepreneurs. Cet engagement se réalise grâce à l’intégration de stratégies de confidentialité et de protection de l’information dans les services organisationnels et les unités opérationnelles. Le Code de protection des renseignements personnels de l’ACORP comprend des stratégies, des outils, des processus et des procédures de rapport nécessaires pour appuyer cet engagement. Ce code décrit comment l’ACORP gère et surveille l’efficacité de la confidentialité et de la protection des renseignements, et en rend compte. Le Code énonce aussi les responsabilités de la direction et du conseil d’administration relativement à la gestion des renseignements personnels et des renseignements personnels sur la santé.

L’ACORP vise à assurer un leadership et un soutien afin d’aider ses membres à remplir leur mandat d’intérêt public en exécutant les activités opérationnelles fondamentales suivantes :

  • Administration et évaluation de l’examen de compétence en physiothérapie
  • Administration et évaluation du programme d’accréditation national
  • Coordination et soutien de l’élaboration d’une politique nationale de réglementation et de projets spéciaux fondée sur des intérêts mutuels et hautement prioritaires pour les organismes de réglementation membres.

L’ACORP recueille, conserve et utilise des renseignements personnels et des renseignements personnels sur la santé d’individus identifiables durant la prestation de services.

Portée

Le présent Code s’applique à tous les aspects des activités opérationnelles de l’ACORP. Dans le présent document, le « personnel de l’ACORP » désigne les administrateurs, les membres de la direction, les employés, les employés contractuels, les consultants et les représentants de l’ACORP qui recueillent, détiennent ou utilisent des renseignements personnels ou des renseignements personnels sur la santé. Le personnel de l’ACORP doit se conformer aux exigences du présent Code. La non-conformité aux pratiques relatives à la protection des renseignements personnels pourrait exposer l’ACORP à un risque juridique et entraîner des mesures disciplinaires envers le personnel de l’ACORP.

Les renseignements personnels et les renseignements personnels sur la santé désignent tous les renseignements concernant un individu identifiable, mais ne comprennent pas le nom, le titre, l’adresse professionnelle ou le numéro de téléphone d’un employé d’une organisation.

Voici des exemples de renseignements personnels recueillis par l’ACORP :

  • Pays d’origine, âge et état civil
  • Formation scolaire et expérience professionnelle
  • Correspondance de nature explicitement ou implicitement privée avec l’Alliance
  • Points de vue ou opinions concernant l’évaluation du rendement d’un employé ou d’un individu
  • Salaire
  • Renseignements bancaires
  • Image d’une personne (p. ex., photographies, vidéos)

Les renseignements personnels ne se limitent pas aux exemples susmentionnés. Les renseignements personnels peuvent être conservés sur support papier, électronique ou numérique, et comprennent les vidéos, les photographies et les enregistrements sur bande.

Voici des exemples de renseignements personnels sur la santé recueillis par l’ACORP :

  • Détails concernant l’accommodement des besoins spéciaux d’un candidat
  • Antécédents médicaux et dentaires du personnel de l’Alliance

Les renseignements personnels sur la santé ne se limitent pas aux exemples susmentionnés. Les renseignements personnels sur la santé comprennent tous les renseignements concernant l’état de santé physique ou mentale d’un individu identifiable; la prestation des soins de santé; l’admissibilité au remboursement des soins de santé; l’identité du fournisseur de soins de santé; et, si nécessaire pour une fin autorisée, le numéro de carte de santé. Les renseignements personnels sur la santé comprennent aussi les renseignements sur un individu identifiable autres que les renseignements personnels sur la santé, mais qui sont contenus dans le même dossier ou fichier à titre de renseignements personnels sur la santé d’un individu.

Exigences juridiques

Au Canada, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) régit les exigences juridiques visant la protection des renseignements personnels. Même si elle n’est pas assujettie directement à cette loi, l’Alliance a adopté la position voulant que les processus opérationnels touchant les rôles au sein de l’organisation soient conçus pour répondre aux principes inhérents de la loi.

En Ontario, la Loi sur la protection des renseignements personnels sur la santé (LPRPS) régit les exigences juridiques visant la protection des renseignements personnels sur la santé. L’ACORP est assujettie à cette loi.

Conformément aux exigences juridiques et pratiques exemplaires de l’ACORP en matière de gestion des renseignements personnels et des renseignements personnels sur la santé :

  • Le personnel de l’ACORP doit obtenir le consentement éclairé des individus avant de recueillir des renseignements personnels et des renseignements personnels sur la santé. En conséquence, l’ACORP doit adopter une approche de communication ouverte et des pratiques de gestion des renseignements transparentes.
  • Le personnel de l’ACORP doit faire preuve de sensibilité et de rigueur lorsqu’il traite les dossiers, la correspondance et d’autres documents contenant des renseignements personnels et des renseignements personnels sur la santé d’individus.
  • Le personnel de l’ACORP doit comprendre et respecter les normes de conservation des renseignements, y compris l’échange et le stockage sécurisé de tous les renseignements personnels et renseignements personnels sur la santé.

Principes de la politique

L’ACORP est responsable des renseignements personnels et des renseignements personnels sur la santé sous son contrôle et a désigné le chef de la direction à titre de chef de la protection des renseignements personnels qui, avec l’équipe de direction, doit s’assurer que l’ACORP a mis en place des processus, des procédures et des pratiques permettant d’adhérer aux principes suivants :

  • Déterminer les fins : Les fins de la collecte de renseignements personnels et de renseignements personnels sur la santé seront déterminées par l’organisme au plus tard au moment de la collecte.
  • Consentement : La connaissance et le consentement de l’individu sont requis pour recueillir, utiliser ou divulguer des renseignements personnels et des renseignements personnels sur la santé, à moins d’exceptions particulières.
  • Limitation de la collecte : La collecte de renseignements personnels et de renseignements personnels sur la santé sera limitée en fonction des fins déterminées par l’ACORP. Les renseignements seront recueillis grâce à des moyens équitables et légaux.
  • Limitation de l’utilisation, de la divulgation et de la conservation : Les renseignements personnels et renseignements personnels sur la santé ne seront ni utilisés ni divulgués à des fins autres que celles pour lesquelles ils ont été recueillis, sauf avec le consentement de l’individu ou si la loi l’exige. Les renseignements personnels et renseignements personnels sur la santé seront conservés uniquement pendant le temps nécessaire en fonction des fins précisées.
  • Exactitude : Les renseignements personnels et renseignements personnels sur la santé seront aussi exacts, complets et à jour que nécessaire aux fins de l’utilisation prévue.
  • Mesures de protection : Des mesures de protection appropriées de la sensibilité des renseignements permettront de protéger les renseignements personnels et les renseignements personnels sur la santé.
  • Ouverture : L’ACORP rendra accessibles aux individus les renseignements spécifiques relatifs à ses politiques et pratiques en matière de gestion des renseignements personnels et des renseignements personnels sur la santé. Le Code de protection des renseignements personnels et les pratiques connexes de gestion des renseignements seront publiés sur le site Web de l’ACORP.
  • Accès individuel : À sa demande, un individu sera informé de l’existence, de l’utilisation et de la divulgation de ses renseignements personnels et renseignements personnels sur la santé et aura accès à ces renseignements. Un individu pourra contester l’exactitude et l’intégralité des renseignements et les faire modifier s’il y a lieu.
  • Contestation de la conformité : Un individu pourra contester la conformité des principes susmentionnés auprès du chef de la protection des renseignements personnels/directeur général de la direction de l’ACORP. Les plaintes seront adressées au comité exécutif du conseil d’administration. Au besoin, le comité exécutif demandera conseil au commissaire à la protection de la vie privée pour le renseigner sur les processus d’enquête et/ou pour valider les décisions.

Rôles relatifs à la protection de la vie privée

Conseil d’administration

Le Code de protection des renseignements personnels de l’ACORP est détenu et approuvé par le conseil d’administration par voie de recommandations du comité de la gouvernance et des nominations. Le conseil d’administration est responsable de l’établissement et du fonctionnement de contrôles prudents et efficaces des renseignements personnels et des renseignements personnels sur la santé et d’un environnement de gestion des renseignements sécuritaire associé aux activités de l’ACORP. Le conseil d’administration délègue la gestion quotidienne, y compris la gestion des renseignements et de la protection des renseignements, au chef de la direction, qui délègue les aspects opérationnels au personnel de gestion de l’ACORP.

Chef de la protection des renseignements personnels

Le chef de la direction de l’ACORP ou un représentant agit à titre de chef de la protection des renseignements personnels. Le chef de la protection des renseignements personnels est chargé de surveiller l’application du Code de protection des renseignements personnels au sein de l’ACORP et les changements apportés à la législation. Le chef de la protection des renseignements personnels agit aussi à titre de spécialiste auprès de la direction et peut coordonner et soutenir les initiatives de formation et de sensibilisation du personnel de l’ACORP mises en œuvre par la direction. Le chef de la protection des renseignements personnels aidera à élaborer des processus et des procédures opérationnelles dans les programmes. Le chef de la protection des renseignements personnels gère aussi toutes les plaintes et répond au nom de l’ACORP aux demandes internes et externes de renseignements personnels et de renseignements personnels sur la santé et aux questions concernant le Code de protection des renseignements personnels de l’ACORP en matière de gestion des renseignements personnels et des renseignements personnels sur la santé.

Personnel de l’ACORP

Les gestionnaires et le personnel désigné de l’ACORP sont les gardiens des renseignements personnels et des renseignements personnels sur la santé qui sont recueillis, conservés et utilisés dans leurs unités et fonctions respectives au sein de l’organisation. Le personnel de l’ACORP doit s’assurer que :

  1. le consentement a été obtenu avant la collecte des renseignements et que les processus de gestion des exceptions sont en place;
  2. seuls les renseignements personnels et renseignements personnels sur la santé nécessaires à des fins opérationnelles sont recueillis, conservés et utilisés;
  3. les contrôles appropriés sont en place afin de protéger physiquement les copies papier (y compris les médias lisibles sur des ordinateurs externes) et les renseignements personnels et renseignements personnels sur la santé stockés électroniquement;
  4. les fichiers électroniques qui contiennent des renseignements personnels et/ou des renseignements personnels sur la santé ne seront pas stockés dans les fichiers, les répertoires ou les bases de données électroniques accessibles à tous;
  5. des contrôles d’accès au système appropriés sont en place et à jour, y compris les restrictions à connaître concernant les activités;
  6. les renseignements personnels et renseignements personnels sur la santé sont exacts et mis à jour de façon adéquate, étant donné l’objet de ces renseignements;
  7. les renseignements personnels et renseignements personnels sur la santé sont détruits ou rendus anonymes lorsqu’il est raisonnable de conclure qu’ils ne sont plus requis aux fins auxquelles ils ont été recueillis. La direction et le personnel respecteront en tout temps les normes de conservation des dossiers de l’Alliance;
  8. les contrats conclus avec des tiers pour traiter, utiliser ou stocker les renseignements personnels et les renseignements personnels sur la santé contiendront des clauses appropriées garantissant que les tiers respecteront le Code de protection des renseignements personnels de l’ACORP et la loi connexe sur la protection des renseignements personnels, protégeront les renseignements et n’utiliseront les renseignements fournis qu’aux fins contractuelles. Des clauses de confidentialité similaires seront aussi incluses dans toutes les ententes que le tiers a conclues avec des sous-traitants qu’il peut engager pour exécuter le travail au nom de l’ACORP;
  9. les contrats avec les tiers qui fournissent des renseignements personnels et des renseignements personnels sur la santé à l’ACORP contiendront des clauses appropriées garantissant qu’ils ont obtenu le consentement requis de leurs employés;
  10. les ressources appropriées seront affectées afin de récupérer les renseignements demandés par un individu.

La direction de l’ACORP doit s’assurer que le personnel de l’ACORP a reçu la formation et le soutien appropriés pour comprendre et respecter le Code de protection des renseignements personnels de l’ACORP et les lois de protection des renseignements personnels applicables.

La direction de l’ACORP doit aussi s’assurer que les mesures de protection appropriées sont en place pour garantir la sécurité physique des renseignements personnels et des renseignements personnels sur la santé stockés dans des sites d’archivage extérieurs, et que ces renseignements personnels et renseignements personnels sur la santé sont détruits adéquatement dans un délai raisonnable après la date de destruction fixée par le propriétaire des documents.

Le personnel des Services d’information de l’organisation doit s’assurer que des mesures de protection appropriées sont en place pour protéger les renseignements personnels et les renseignements personnels sur la santé stockés électroniquement par l’ACORP, et que tout le personnel de l’ACORP a une connaissance suffisante de l’accessibilité et de l’application de ces mesures afin de les utiliser adéquatement pour se conformer à le Code de protection des renseignements personnels

Au besoin, l’ACORP engagera un conseiller juridique afin d’offrir des conseils et du soutien en lien avec les cas découlant du Code de protection des renseignements personnels de l’ACORP.

Tous les employés de l’ACORP sont responsables individuellement des renseignements personnels et des renseignements personnels sur la santé d’autres personnes qu’ils recueillent, utilisent, conservent ou divulguent. Dans le cadre de leurs fonctions pour l’ACORP, les employés s’assureront que leurs activités liées à ces renseignements ne sont exécutées que conformément au Code de protection des renseignements personnels de l’ACORP.

Consentement

Avant de recueillir des renseignements sur des individus, le personnel de l’ACORP expliquera le but de la collecte. Les formulaires de consentement ou les explications verbales contiendront suffisamment d’information sur l’utilisation de ces renseignements. « Suffisamment » signifie qu’une personne ordinaire doit être capable d’établir le lien entre les données demandées et leur rapport avec le processus. Lorsque le consentement d’un individu est requis, ce consentement doit être éclairé. Cela signifie que l’individu doit comprendre pourquoi les renseignements sont recueillis et comment l’ACORP envisage de les utiliser. Par conséquent, le personnel de l’ACORP responsable d’obtenir le consentement doit connaître suffisamment les processus pour les expliquer.

Le consentement peut être implicite (par exemple, si les renseignements sont demandés dans un but précis, et qu’ils sont fournis, cela constitue généralement un consentement implicite) ou explicite, selon les circonstances et la nature des renseignements recueillis. Le consentement explicite peut être obtenu par écrit ou verbalement. Toutefois, lorsqu’un consentement verbal est obtenu, il doit être documenté par ceux qui l’ont recueilli et conservé dans un dossier pertinent à titre de référence. Il doit aussi contenir un résumé de l’information qui a été communiquée à l’individu afin que son consentement soit éclairé. Lorsque la collecte, l’utilisation et/ou la divulgation de renseignements personnels ou de renseignements personnels sur la santé sensibles (p. ex. des renseignements médicaux ou des renseignements financiers personnels comme le salaire), le consentement doit être explicite. Des conseils sur la classification des données selon le niveau de sécurité peuvent être obtenus auprès du chef de la protection des renseignements personnels.

Consentement explicite

Le personnel de l’ACORP responsable d’obtenir le consentement doit connaître le type de renseignements recueillis et la façon dont ils sont utilisés, afin d’être en mesure de donner des explications et de répondre aux questions de l’individu. Voici des exemples de situations courantes de consentement explicite :

  • Les Ressources humaines recueillent une série de consentements auprès des employés qui commencent dans l’organisation.
  • L’ACORP obtient le consentement des candidats à l’examen demandant des accommodements spécifiques avant de communiquer les plans d’accommodement aux lieux d’examen aux fins de mise en place.
  • L’ACORP demande le consentement explicite aux candidats à l’accréditation et aux examens afin de communiquer des renseignements personnels à ses organismes de réglementation membres si, dans le cadre de ses activités, l’ACORP est informée de circonstances ou d’actions liées à des questions de réglementation. Toutes les communications de ce type seront effectuées à la connaissance du candidat concerné.

Consentement implicite

Voici des exemples de situations courantes de consentement implicite :

  • Les individus qui présentent leur curriculum vitae sont censés avoir consenti à ce que l’ACORP utilise leurs renseignements personnels à des fins d’emploi et de contrat. L’ACORP a comme pratique de conserver et d’utiliser les curriculum vitae pendant six mois suivant leur réception. Pour diffuser ou utiliser les renseignements contenus dans le curriculum vitae d’un candidat refusé, le consentement de ce dernier est requis. L’ACORP met en place des mesures afin de satisfaire à cette obligation.
  • L’ACORP fournit de l’information sur son site Web externe au regard de la collecte de renseignements lorsqu’un utilisateur accède à une page Web de l’ACORP. Les utilisateurs du site Web de l’ACORP sont censés avoir consenti à ce que ces renseignements soient recueillis et utilisés aux fins de surveillance des activités du site Web.
  • L’ACORP publie des données globales dans des rapports de rendement écrits et des données individuelles aux fins d’inscription. Les candidats sont censés avoir consenti à l’utilisation de ces renseignements à des fins de production de rapports organisationnels et d’inscription professionnelle.

Exceptions au processus de consentement

Certaines parties externes, comme les organismes d’application de la loi, doivent en vertu de la loi ou dans le cadre d’une enquête recueillir, utiliser et divulguer des renseignements personnels sans avoir à obtenir le consentement des individus concernés.

Retrait du consentement

Les individus ont le droit de retirer leur consentement à la collecte, l’utilisation ou la divulgation de renseignements personnels ou de renseignements personnels sur la santé en tout ou en partie, en tout temps, sur présentation d’un avis écrit dans un délai raisonnable. L’individu doit être informé de toutes les conséquences éventuelles pouvant découler du retrait du consentement avant de prendre cette décision (p. ex., fermeture des dossiers de candidature, frais administratifs associés). Si un individu retire son consentement, ce dernier n’est pas rétroactif et ne s’applique pas aux renseignements personnels et renseignements personnels sur la santé déjà recueillis, utilisés ou divulgués par l’ACORP.

Collecte et utilisation des renseignements personnels et des renseignements personnels sur la santé

Les renseignements personnels et renseignements personnels sur la santé ne peuvent être recueillis que s’ils sont liés aux programmes ou aux activités de l’ACORP, s’ils sont raisonnablement nécessaires à l’exécution de ces programmes et activités, et si le consentement approprié a été obtenu. Les renseignements personnels et renseignements personnels sur la santé ne peuvent être utilisés qu’aux fins auxquelles ils ont été recueillis et l’accès à ces renseignements doit être limité au personnel de l’ACORP qui en a besoin pour gérer les programmes ou les activités de l’ACORP. Tout le personnel de l’Alliance autorisé à accéder aux renseignements personnels et renseignements personnels sur la santé est tenu de respecter la confidentialité de ces renseignements conformément au Code de protection des renseignements personnels.

L’ACORP peut utiliser des renseignements personnels et des renseignements personnels sur la santé à l’insu et sans le consentement d’un individu uniquement :

  • À des fins de réglementation spécifiques.
  • S’il y a des motifs raisonnables de croire que ces renseignements pourraient être utiles pour enquêter sur une contravention à une loi fédérale, provinciale ou étrangère et que les renseignements servent à cette enquête.
  • En cas d’urgence menaçant la vie, la santé ou la sécurité d’un individu.
  • Si ces renseignements sont accessibles au public.

Divulgation des renseignements personnels et des renseignements personnels sur la santé

Les renseignements personnels et renseignements personnels sur la santé concernant un individu ne peuvent être divulgués à d’autres que si les fins de la divulgation respectent les fins auxquelles les renseignements ont été recueillis. Cela comprend la divulgation interne visant à répondre à un besoin de l’organisation. Cela comprend aussi la divulgation externe si les renseignements sont communiqués à des tiers fournisseurs de services afin d’aider l’ACORP et/ou les organismes de réglementation à exécuter leurs programmes ou leurs activités.

Exceptions au processus de divulgation

Des exceptions aux processus de divulgation sont permises dans les situations suivantes :

  1. Aux fins d’une transaction commerciale entre deux ou plusieurs organisations (p. ex. une co-entreprise ou un partenariat), les parties à la transaction peuvent recueillir, utiliser ou divulguer des renseignements sur les employés sans leur consentement, dans certaines circonstances.
  2. L’ACORP peut divulguer des renseignements personnels à l’insu et sans le consentement de l’individu uniquement :
    • À un avocat représentant l’ACORP.
    • Pour recouvrer une dette que l’individu doit à l’ACORP.
    • Pour se conformer à une assignation à témoigner, à un mandat ou à une ordonnance de la cour ou d’un autre organisme compétent.
    • À un organisme de réglementation ou une institution gouvernementale qui a demandé les renseignements, identifié ses pouvoirs légaux et indiqué que la divulgation a pour but de mener une enquête, ou de recueillir des renseignements relatifs à une loi fédérale, provinciale ou étrangère, ou qui soupçonne que les renseignements concernent la sécurité nationale ou la conduite d’affaires internationales, ou servent à l’administration d’une loi fédérale ou provinciale.
    • En cas d’urgence menaçant la vie, la santé ou la sécurité d’un individu. (L’ACORP doit alors informer l’individu.)
    • S’ils sont accessibles au public.
    • Si la loi l’exige.

Toutes les autres exceptions aux processus de divulgation nécessitent l’autorisation du chef de la protection des renseignements personnels.

Communication/échange de renseignements personnels et de renseignements personnels sur la santé

Le personnel de l’ACORP fera preuve d’une extrême prudence pour communiquer des renseignements personnels et des renseignements personnels sur la santé en interne ou en externe afin de s’assurer que :

  • Les personnes qui ont demandé les renseignements et celles à qui le personnel de l’ACORP les envoie ont été authentifiées.
  • La méthode de communication (téléphone, courrier, télécopieur, courriel ou autre) est appropriée pour protéger la confidentialité des renseignements en fonction de leur sensibilité.

S’ils sont postés, les renseignements seront envoyés sous pli scellé portant la mention « Privé et confidentiel ». Dans tous les cas, le nom du destinataire doit être identifié clairement. Des indicateurs seront ajoutés aux courriels pour indiquer qu’il s’agit de renseignements personnels ou confidentiels. Compte tenu de la facilité de transmission des courriels et des problèmes liés au contrôle du stockage de copies multiples de courriels, l’utilisation du courrier électronique pour communiquer des renseignements personnels et des renseignements personnels sur la santé est déconseillée lorsqu’une autre option raisonnable est disponible, sauf avec le consentement exprès de l’individu.

Conservation et élimination des renseignements personnels et des renseignements personnels sur la santé

La conservation et l’élimination des renseignements personnels et des renseignements personnels sur la santé doivent être conformes à la Politique de gestion des documents de l’ACORP. Les renseignements personnels et renseignements personnels sur la santé qui ne sont plus requis pour réaliser les fins auxquelles ils ont été recueillis seront détruits, effacés ou rendus anonymes. L’ACORP exploitera un système d’archivage centralisé offrant un accès approprié et des contrôles de récupération des renseignements sur les employés et les clients. On veillera à éviter que des parties non autorisées aient accès aux renseignements personnels et aux renseignements personnels sur la santé lors de leur élimination ou de leur destruction. Lorsque l’élimination de renseignements sur copie papier est autorisée, le déchiquetage sera le moyen employé pour préserver la confidentialité des renseignements.

Exactitude – mise à jour des renseignements personnels et des renseignements personnels sur la santé

Les renseignements personnels et renseignements personnels sur la santé seront mis à jour pour servir les fins auxquelles ils ont été recueillis. Les processus de gestion des renseignements de l’ACORP permettront de réduire au minimum la possibilité d’utiliser de mauvais renseignements pour prendre des décisions concernant l’individu ou pour divulguer des renseignements à des tiers.

Protection des renseignements personnels et des renseignements personnels sur la santé

Les normes de pratique organisationnelles et opérationnelles de l’ACORP comprennent des procédures qui permettent de protéger les renseignements personnels et les renseignements personnels sur la santé stockés électroniquement. La sécurité physique de ces renseignements sera gérée grâce à des pratiques administratives et des méthodes de gestion des documents, et en faisant preuve de discrétion individuelle, selon la sensibilité de l’information. Dans le cadre de l’élaboration de mesures de protection des renseignements personnels et des renseignements personnels sur la santé, l’ACORP prendra en considération la perte, le vol, l’altération, l’accès non autorisé, la copie et l’utilisation. Advenant que des renseignements personnels ou des renseignements personnels sur la santé soient divulgués, perdus, altérés ou transmis par inadvertance contrairement aux normes de l’ACORP, le personnel de l’ACORP communiquera avec le chef de la protection des renseignements personnels immédiatement afin de signaler l’incident et d’élaborer un plan de mesures correctives.

Pratiques ouvertes et transparentes

L’ACORP informera les clients, les employés et d’autres individus concernés au sujet du Code de protection des renseignements personnels et de ses pratiques de gestion de l’information sur son site Web et ses sites intranet. L’ACORP publiera également les coordonnées du chef de la protection des renseignements personnels.

Accès des individus à leurs renseignements personnels et renseignements personnels sur la santé

Tous les individus ont le droit de demander accès à leurs renseignements. L’accès à des renseignements précis est accordé en permettant à un individu de consulter la documentation de l’ACORP ou en lui remettant une copie des renseignements demandés. En aucune circonstance, des documents appartenant à l’ACORP ne pourront être remis au demandeur.

Les demandes d’accès peuvent être verbales ou écrites. Les documents ou les fichiers fournis à un individu seront examinés afin de s’assurer qu’aucun renseignement personnel ou renseignement personnel sur la santé d’un autre individu n’est divulgué. Le cas échéant, ces renseignements doivent être masqués ou rendus anonymes avant que la personne présentant la demande ne voie le document. Les renseignements personnels ou les renseignements personnels sur la santé auxquels un individu a demandé accès ne peuvent être retirés ni détruits en aucune circonstance.

L’ACORP a le droit de facturer à un individu un montant raisonnable pour rembourser le coût de production et de livraison des documents demandés par l’individu. Le chef de la protection des renseignements personnels, en consultation avec les gestionnaires, sera chargé d’évaluer les coûts conformément à la politique de l’ACORP, et de déterminer la pertinence de facturer l’individu. Si l’ACORP envisage de facturer des frais, l’individu doit en être informé et il doit accepter les frais avant que les documents soient produits.

Exceptions au processus d’accès

L’accès est assujetti aux interdictions, exceptions ou exemptions prévues dans les lois applicables sur la protection des renseignements personnels. Si l’accès est refusé, le demandeur doit alors être informé par écrit de la raison du refus. L’ACORP doit refuser l’accès aux renseignements personnels et aux renseignements personnels sur la santé qu’elle a divulgués à une institution gouvernementale pour des motifs de sécurité nationale ou d’application de la loi. De plus, dans certains cas, il ne faut pas révéler que ces renseignements ont été divulgués. Le chef de la protection des renseignements personnels doit être contacté si le personnel de l’ACORP a besoin de directives relativement au refus d’accès. De plus, l’ACORP a comme politique de refuser l’accès aux renseignements, conformément à la loi applicable, dans les cas suivants :

  • Les renseignements sont assujettis au secret professionnel liant l’avocat à son client.
  • Les renseignements contiennent des renseignements commerciaux confidentiels.
  • La divulgation peut menacer la vie, la santé ou la sécurité d’un individu.
  • Les renseignements ont été recueillis pour enquêter sur une violation d’accord ou une infraction à la loi.
  • Ils ont été produits dans le cadre d’une procédure officielle de règlement des différends, et ne peuvent être divulgués à moins que le chef de la protection des renseignements personnels n’autorise expressément la consultation de l’un ou l’autre des renseignements susmentionnés.

Processus de plainte

Les individus dont les renseignements personnels et renseignements personnels sur la santé ont été recueillis, utilisés, divulgués et/ou éliminés par l’ACORP peuvent porter plainte relativement aux politiques et aux pratiques de l’ACORP visant le traitement de leurs renseignements personnels et renseignements personnels sur la santé. Une plainte peut être présentée par écrit au chef de la protection des renseignements personnels, en précisant la nature de celle-ci. Dans le cas d’une plainte, le chef de la protection des renseignements personnels mènera une enquête. Il transmettra une réponse par écrit au plaignant, dans laquelle il décrira les résultats de l’enquête et les mesures prises, le cas échéant, par l’ACORP pour traiter la plainte. Les appels d’une décision concernant une plainte seront adressés au comité exécutif. Le comité exécutif peut consulter le commissaire à la protection de la vie privée du gouvernement fédéral ou un commissaire provincial pour étayer le processus d’enquête, demander conseil et/ou valider les décisions. L’ACORP ne pénalisera, ne sanctionnera et ne défavorisera pas un individu qui a présenté une plainte ou une demande de renseignements.

Tiers fournisseurs de services

Occasionnellement, l’ACORP engage des tiers fournisseurs de services pour l’aider à gérer ses programmes ou à exercer ses activités (p. ex., fournisseurs tenant les dossiers relatifs à nos régimes d’assurance et d’avantages sociaux). Dans certains cas, aux fins d’exécution de ces services, l’ACORP doit divulguer des renseignements personnels et des renseignements personnels sur la santé de ses employés. Le personnel de l’ACORP qui conclut des contrats avec des tiers fournisseurs de services doit s’assurer de ce qui suit :

  • L’utilisation des renseignements personnels et renseignements personnels sur la santé par un tiers fournisseur de services est limitée aux fins précisées pour exécuter le contrat.
  • Toutes les utilisations des renseignements personnels et renseignements personnels sur la santé seront conformes au Code de protection des renseignements personnels.
  • Le tiers fournisseur de services adresse tous les individus demandant accès à leurs renseignements personnels et renseignements personnels sur la santé à l’ACORP.
  • Le tiers fournisseur de services applique les mesures de protection appropriées pour protéger les renseignements personnels et renseignements personnels sur la santé.
  • Les renseignements personnels et renseignements personnels sur la santé sont détruits ou retournés à l’ACORP à la fin du contrat.
  • L’ACORP a le droit de vérifier la conformité du tiers fournisseur au contrat.