À Propos de Nous

Politique de Confidentialité

L’ACORP s’engage à veiller sur la confidentialité des renseignements concernant ses membres et ses étudiants..

physiotherapist in blue scrubs making notes on a clipboard while elderly man watches from his seat on exam table

L’ACORP s’engage à sécuriser et protéger la confidentialité des renseignements personnels et des renseignements personnels sur la santé des personnes avec lesquelles elle interagit, comme ses employés, ses clients, ses prestataires de services et ses sous-traitants. Pour ce faire, elle applique des stratégies rigoureuses et cohérentes de protection de la vie privée et de l’information, et ce, dans l’ensemble de ses services et de ses divisions.

En tant que gardienne de renseignements personnels et de renseignements personnels sur la santé, l’ACORP se conforme aux normes CSA en matière de protection des renseignements personnels et des renseignements personnels sur la santé. Ces normes comprennent au moins la désignation au sein de l’ACORP d’un responsable de la protection de la vie privée, de même que l’élaboration d’un code à cette fin régissant la collecte, l’utilisation, la divulgation, la conservation et l’élimination des renseignements personnels et des renseignements personnels sur la santé. Le code de protection de la vie privée précise également les mesures à prendre en cas d’atteinte à la vie privée.

Ce code de protection de la vie privée est accessible au public et à toute personne ou tout organisme qui en fera la demande. La politique de protection de la vie privée de l’ACORP appartient à son conseil d’administration qui l’a adoptée en fonction des recommandations de son comité de gestion interne et des mises en candidature. C’est le conseil d’administration qui conçoit et applique des mesures prudentes et efficaces de surveillance en matière de protection des renseignements personnels et des renseignements personnels sur la santé, ainsi qu’un cadre sécurisé de gestion de l’information associé aux activités de l’ACORP. Le conseil d’administration délègue au responsable de la protection de la vie privée la gestion « quotidienne » de la protection de confidentialité et des renseignements personnels. À son tour, ce dernier délègue les aspects pratiques de celle-ci au personnel-cadre de l’ACORP.

information controls and a secure information management environment associated with CAPR operations. The Board delegates ‘day-to-day’ management including privacy and information management to the Chief Privacy Officer, who delegates operational aspects to management personnel within CAPR.

Le responsable de l’ACORP pour la protection de la vie privée est le PDG ou son délégué nommé par lui.

En cas d’atteinte à la vie privée, l’ACORP se conformera aux pratiques exemplaires en matière de notification à la personne lésée. Elle fera enquête sur la situation et apportera des mesures correctives.

Les personnes dont l’ACORP a recueilli, utilisé, divulgué ou détruit les renseignements personnels ou les renseignements personnels sur la santé peuvent déposer une plainte en vertu de la politique et des pratiques de l’ACORP quant au traitement de leurs renseignements personnels et renseignements personnels sur la santé. Celles-ci peuvent déposer leur plainte par écrit auprès du responsable de la protection de la vie privée, en précisant la nature de la plainte. Le responsable doit alors procéder à une enquête. Le responsable de la protection de la vie privée répondra par écrit au plaignant, en lui rapportant les résultats de l’enquête et les mesures prises ou à prendre par l’ACORP, le cas échéant, au regard de sa plainte. Les appels d’une décision consécutive à une plainte sont transmis au conseil d’administration. Le conseil d’administration peut consulter le commissaire fédéral à la protection de la vie privée ou son homologue provincial, afin de se renseigner sur la procédure d’enquête, de demander conseil ou de valider les décisions. L’auteur d’une plainte ou d’une demande de renseignements ne fera l’objet d’aucune pénalité, sanction ou discrimination de la part de l’ACORP.

Objectif

L’ACORP s’engage à sécuriser et protéger la confidentialité des renseignements personnels et des renseignements personnels sur la santé des personnes avec lesquelles elle interagit, comme ses employés, ses clients, ses prestataires de services et ses sous-traitants. Pour ce faire, elle applique des stratégies rigoureuses et cohérentes de protection de la vie privée et de l’information, et ce, dans l’ensemble de ses services de ses divisions. Le code de protection de la vie privée de l’ACORP comporte les stratégies, outils, procédures et règles de présentation de rapports requis à cette fin. Ce code précise comment l’ACORP administre cet engagement, s’acquitte du suivi et rend des comptes sur sa capacité à protéger la vie privée et les renseignements. Il définit également les responsabilités de la direction et du conseil d’administration en ce qui a trait à la gestion des renseignements personnels et des renseignements personnels sur la santé.

L’ACORP a pour objectif d’indiquer la voie à suivre et de soutenir ses membres dans leur mandat de protéger l’intérêt public par le biais de ses principales activités suivantes :

  • Administration et évaluation de l’examen national de validation des compétences en physiothérapie
  • Administration et évaluation du programme national d’évaluation des titres de compétence
  • Coordination et soutien de l’élaboration d’une politique de réglementation à l’échelle nationale et de projets particuliers visant l’intérêt commun et hautement prioritaire des organismes.

L’ACORP recueille, conserve et utilise les renseignements personnels et les renseignements personnels sur la santé de personnes identifiables dans le cadre de son offre de services.

Portée

Ce code s’applique à tous les aspects des activités propres à l’ACORP. Dans le présent document, l’expression « personnel de l’ACORP » désigne les directeurs, les cadres, les employés, les contractuels, les experts et les représentants de l’ACORP qui recueillent, conservent ou utilisent des renseignements personnels ou des renseignements personnels sur la santé. Le personnel de l’ACORP se conforme aux exigences du présent code. Le non-respect des pratiques en matière de protection de la vie privée pourrait exposer l’ACORP à des risques juridiques et entraîner des mesures disciplinaires à l’encontre du personnel de l’ACORP.

Les renseignements personnels et les renseignements personnels sur la santé désignent toute information concernant une personne identifiable, à l’exclusion du nom, du titre, de l’adresse professionnelle et du numéro de téléphone d’un employé d’un organisme.

Voici quelques exemples de renseignements personnels recueillis par l’ACORP :

  • Nationalité d’origine, âge ou état matrimonial
  • Antécédents en matière d’études et d’emploi
  • Correspondance avec l’ACORP, explicitement ou implicitement de nature privée
  • Points de vue ou opinions relatifs à l’évaluation du rendement d’un employé ou d’une personne
  • Salaire
  • Renseignements bancaires
  • Représentations visuelles d’une personne (p. ex., photographies, vidéos)

Les renseignements personnels ne se limitent pas aux exemples énumérés ci-dessus. Ils peuvent figurer sur un document papier, électronique ou numérique, dont les vidéos, les photographies et les enregistrements.

Voici quelques exemples de renseignements personnels sur la santé recueillis par l’ACORP :

  • Détails relatifs aux besoins particuliers d’un candidat
  • Antécédents médicaux et dentaires du personnel de l’ACORP

Les renseignements personnels sur la santé ne se limitent pas aux exemples énumérés ci-dessus. Les renseignements personnels sur la santé comprennent tout renseignement concernant l’état de santé physique ou mentale d’une personne identifiable; la prestation de ses soins de santé, l’admissibilité au paiement de ses soins de santé; l’identité du prestataire de ses soins de santé; le numéro de téléphone du prestataire de soins s’il est requis à des fins autorisées. Les renseignements personnels sur la santé comprennent également les renseignements sur une personne identifiable qui ne sont pas des renseignements personnels sur la santé, mais qui se trouvent dans le même registre ou le même dossier que les renseignements personnels sur la santé de la personne.

Aspect légal

Au Canada, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) régit les exigences légales en matière de protection des renseignements personnels. Bien qu’elle ne soit pas directement soumise à cette loi, l’ACOPR a adopté une position selon laquelle elle fera appliquer à tous ses paliers d’intervention des procédures administratives qui respecteront les principes sur lesquels la Loi prend appui.

En Ontario, c’est la Loi sur la protection des renseignements personnels sur la santé (LPRPS) qui s’applique au chapitre des exigences légales en matière de protection des renseignements personnels sur la santé. L’ACORP est soumise à cette loi.

En vertu de ses obligations légales et des pratiques exemplaires en matière de gestion des renseignements personnels et des renseignements personnels sur la santé, l’ACORP doit respecter ce qui suit :

  • Les membres du personnel de l’ACORP doivent obtenir le consentement éclairé des personnes avant de recueillir leurs renseignements personnels et leurs renseignements personnels sur la santé. Cela suppose une communication ouverte et la transparence au chapitre des pratiques de gestion de ces renseignements par l’ACORP.
  • Le personnel de l’ACORP doit faire preuve de sensibilité et de rigueur dans le traitement des dossiers, de la correspondance et d’autres documents sur lesquels figurent des renseignements personnels et des renseignements personnels sur la santé des personnes.
  • Le personnel de l’ACORP doit comprendre et respecter les normes de conservation des renseignements, en ce qui a trait notamment à la divulgation et au stockage sécurisés de tous les renseignements personnels et les renseignements personnels sur la santé.

Principes de la politique

L’ACORP est responsable de la confidentialité des renseignements personnels et des renseignements personnels sur la santé dont elle a la garde, et a désigné le PDG comme responsable de la protection de la vie privée. De concert avec l’équipe de gestion, ce dernier doit veiller à ce que l’ACORP mette en œuvre des marches à suivre, des procédures et des pratiques permettant à l’organisme de se conformer aux principes suivants :

  • Détermination des fins de la collecte de renseignements : C’est l’organisme qui déterminera à quelles fins recueillir les renseignements personnels et les renseignements personnels sur la santé, et ce, au plus tard au moment de recueillir ces renseignements.
  • Consentement : Avant de recueillir, utiliser ou divulguer des renseignements personnels et des renseignements personnels sur la santé, la personne concernée devra être mise au courant et y consentir, à moins que des exceptions ne s’appliquent.
  • Limites de la collecte de renseignements : La collecte de renseignements personnels et de renseignements personnels sur la santé se limitera à ce qui est nécessaire aux fins déterminées par l’ACORP. On recueillera ces renseignements de façon équitable et légale.
  • Limites de l’utilisation, de la divulgation et de la conservation des renseignements : Les renseignements personnels et les renseignements personnels sur la santé ne seront utilisés ou divulgués qu’aux fins pour lesquelles ils ont été recueillis, à moins que la personne concernée n’y consente ou que la Loi ne l’exige. Les renseignements personnels et les renseignements personnels sur la santé ne seront conservés que pendant la durée nécessaire à ces fins.
  • Exactitude : Les renseignements personnels et les renseignements personnels sur la santé seront aussi exacts, complets et à jour que l’exigeront les fins auxquelles ils sont destinés.
  • Mesures de protection : Des mesures de sécurité adaptées au caractère délicat des renseignements protégeront les renseignements personnels et les renseignements personnels sur la santé.
  • Ouverture : L’ACORP mettra à la disposition des personnes concernées des renseignements précis sur sa politique et ses pratiques en matière de gestion des renseignements personnels et des renseignements personnels sur la santé. Le code de protection de la vie privée et les pratiques de gestion seront affichés sur le site Web de l’ACORP.
  • Accès personnel : Sur demande, on informera l’auteur de la demande de l’existence, de l’utilisation et de la divulgation de ses renseignements personnels et de ses renseignements personnels sur la santé, et celui-ci aura accès à ces renseignements. Il pourra contester l’exactitude et l’exhaustivité des renseignements et les faire modifier au besoin.
  • Contestation de la conformité : Une personne pourra contester le respect des principes susmentionnés auprès du responsable de la protection de la vie privée ou du PDG de l’ACORP. Les appels seront transmis au comité exécutif du conseil d’administration. Au besoin, le comité exécutif consultera le ou les commissaires à la protection de la vie privée, afin de se renseigner sur les procédures d’enquête ou de valider les décisions.

Rôles en matière de protection de la vie privée

Conseil d’administration

Le code de protection de la vie privée de l’ACORP appartient à son conseil d’administration qui l’a adopté en fonction des recommandations de son comité sur la gestion interne et les mises en candidature. C’est le conseil d’administration qui conçoitet applique des mesures de surveillance prudentes et efficaces des renseignements personnels et des renseignements personnels sur la santé, ainsi qu’un cadre sécurisé de gestion de l’information associé aux activités de l’ACORP. Le conseil d’administration délègue au responsable de la protection de la vie privée la gestion « quotidienne » de la protection de la vie privée et des renseignements personnels. À son tour, ce dernier délègue les aspects pratiques de celle-ci au personnel-cadre de l’ACORP.

Responsable de la protection de la vie privée

Le PDG de l’ACORP ou son délégué exerce les fonctions de responsable de la protection de la vie privée. Le responsable de la protection de la vie privée surveille l’application du code de protection de la vie privée à l’échelle de l’ACORP et s’acquitte du suivi des modifications apportées à la législation pertinente. Le responsable de la protection de la vie privée fait également office de ressource à la disposition des cadres dirigeants, et peut coordonner et soutenir les efforts de la direction en matière de formation et de sensibilisation du personnel de l’ACORP. Le responsable de la protection de la vie privée contribue à l’élaboration des marches à suivre et des procédures de l’Alliance dans l’ensemble des programmes. Le responsable de la protection de la vie privée traite également toutes les plaintes et, au nom de l’ACORP, s’occupe de répondre aux demandes internes et externes de renseignements personnels et de renseignements personnels sur la santé, ainsi qu’aux demandes d’information sur le code de protection de la vie privée de l’ACORP au chapitre de la gestion des renseignements personnels et des renseignements personnels sur la santé.

Personnel de l’ACORP

Les cadres dirigeants et le personnel désigné de l’ACORP sont les gardiens des renseignements personnels et des renseignements personnels sur la santé recueillis, conservés et utilisés dans leur division et dans le cadre de leur rôle au sein de l’ACORP. Le personnel de l’ACORP doit veiller à ce qui suit :

  1. Obtenir le consentement éclairé des personnes avant de recueillir leurs renseignements, et mettre en œuvre des procédures de gestion des exceptions.
  2. Ne recueillir, conserver et utiliser que les renseignements personnels et les renseignements personnels sur la santé nécessaires aux fins de l’organisme.
  3. Mettre en œuvre des mesures physiques appropriées à la protection des versions en format papier (dont les supports lisibles par des ordinateurs externes) et électronique de renseignements personnels et de renseignements personnels sur la santé conservés.
  4. Ranger ailleurs que dans les bases de données ou répertoires généralement accessibles du réseau de dépôt électronique les fichiers contenant des renseignements personnels ou renseignements personnels sur la santé.
  5. Mettre en place et tenir à jour des mesures de contrôle appropriées de l’accès au réseau, qui tiennent compte des restrictions liées au « besoin de savoir de l’organisme ».
  6. Consigner avec exactitude et mettre à jour correctement les renseignements personnels et les renseignements personnels sur la santé en tenant compte des fins pour lesquelles ils sont conservés.
  7. Détruire ou anonymiser les renseignements personnels et les renseignements personnels sur la santé lorsqu’on a des raisons de croire qu’elles ne sont plus nécessaires aux fins pour lesquelles ils ont été recueillis. Les cadres dirigeants et les membres du personnel se conformeront systématiquement aux normes de conservation des renseignements conservés par l’ACORP.
  8. Prévoir des clauses aux contrats conclus avec des tiers pour le traitement, l’utilisation ou la conservation des renseignements personnels et des renseignements personnels sur la santé. Ces clauses viseront à s’assurer que la tierce partie se conformera au code de protection de la vie privée de l’ACORP et à la législation qui s’y rapporte en matière de protection de la vie privée; qu’elle protégera les renseignements et qu’elle ne les utilisera qu’aux fins prévues par le contrat. Des clauses du même genre relatives à la protection de la vie privée feront également partie de tout accord conclu par cette tierce partie avec des sous-traitants dont elle pourrait retenir les services pour effectuer des travaux en son nom pour le compte de l’ACORP.
  9. Prévoir des clauses aux contrats conclus avec des tiers qui fournissent à l’ACORP des renseignements personnels et des renseignements personnels sur la santé par lesquelles ces fournisseurs affirment avoir obtenu le consentement requis par l’entremise de leur personnel.
  10. Affecter des ressources appropriées à la recherche des renseignements demandés par un particulier.

La direction de l’ACORP doit veiller à ce que tout le personnel de l’ACORP ait reçu la formation et l’aide nécessaires pour comprendre et respecter le code de protection de la vie privée de l’ACORP, de même que les lois applicables en matière de protection de la vie privée.

La direction de l’ACORP se doit également de veiller à l’adoption de mesures de protection permettant d’assurer la sécurité physique des renseignements personnels et des renseignements personnels sur la santé stockés dans des installations d’archivage hors site. Elle doit aussi veiller à faire détruire ces renseignements personnels et ces renseignements personnels sur la santé de façon appropriée dans un délai raisonnable après la date fixée à cette fin par le propriétaire du document.

Le personnel du service d’information de l’ACORP doit veiller à l’adoption de mesures appropriées à la protection des renseignements personnels et des renseignements personnels sur la santé qu’elle a stockés sur des supports électroniques, et veiller à ce que tout le personnel de l’ACORP connaisse suffisamment l’existence et l’application de ces mesures de protection pour en faire un usage approprié dans le cadre du respect du code de protection de la vie privée.

Au besoin, l’ACORP fera appel à un conseiller juridique pour obtenir de l’aide et des avis juridiques à propos des enjeux se rapportant au code de protection de la vie privée de l’ACORP.

Tous les membres du personnel de l’ACORP sont personnellement responsables des renseignements personnels et des renseignements personnels sur la santé d’autrui qu’ils ont recueillis, utilisés, conservés ou divulgués. Dans le cadre de leurs fonctions au sein de l’ACORP, les membres du personnel veilleront à ce que leurs activités qui font intervenir ces renseignements respectent le code de protection de la vie privée de l’ACORP.

Consentement

Chaque membre du personnel de l’ACORP expliquera aux gens pour quelle raison il recueille des renseignements à leur sujet avant de les leur demander. Les formulaires de consentement ou les explications verbales doivent véhiculer suffisamment d’information sur l’utilisation de ces renseignements. Le terme « suffisamment » signifie qu’une personne ordinaire doit pouvoir faire le lien entre les renseignements demandés et leur relation avec la procédure. Lorsque le consentement d’une personne est requis, il doit s’agir d’un consentement éclairé. Cela signifie que la personne doit comprendre pour quelles raisons on lui demande les renseignements, et comment l’ACORP a l’intention de les utiliser. Par conséquent, le membre du personnel de l’ACORP doit être lui-même suffisamment au courant pour être capable d’expliquer les procédures.

Le consentement peut être implicite (par exemple, si on demande des renseignements dans une intention précise et que la personne les fournit, cela constitue généralement un consentement implicite) ou explicite, en fonction des circonstances et de la nature des renseignements recueillis. On peut obtenir un consentement explicite par écrit ou verbalement. Dans le cas d’un consentement verbal, toutefois, c’est la personne qui l’a obtenu qui doit le consigner par écrit et le ranger dans un dossier pertinent, afin qu’il soit possible de le consulter ultérieurement. Il faut y joindre un résumé de l’information fournie à la personne, afin de faire la preuve que la personne a donné son consentement verbal en connaissance de cause. Si on recueille, utilise ou divulgue des renseignements personnels ou des renseignements personnels sur la santé de nature délicate(par exemple, des renseignements médicaux ou financiers sur la personne, comme son salaire), il faut que le consentement soit explicite. On peut demander conseil au responsable de la protection de la vie privée pour la classification des données selon le degré de protection requis.

Consentement explicite

Le personnel de l’ACORP chargé d’obtenir le consentement doit être au courant des renseignements à recueillir et de leur utilisation prévue, afin de pouvoir donner des explications à la personne concernée, et répondre à ses questions. Voici quelques exemples de situations courantes nécessitant un consentement explicite :

  • Le service des ressources humaines recueille toute une gamme de consentements auprès des nouveaux employés.
  • L’ACORP obtient le consentement d’un candidat à l’examen qui demande des mesures d’accommodement particulières, avant d’envoyer le plan de réaménagement en vue d’en tester la mise en œuvre.
  • L’ACORP obtient le consentement explicite d’un candidat à l’examen et à la vérification de ses titres de compétence, en vue de transmettre des renseignements personnels à ses organismes de réglementation membres, advenant le cas où, dans le cadre de ses activités, l’ACORP découvre des circonstances ou des comportements liés à des enjeux relatifs à la réglementation. Le candidat ou la candidate faisant l’objet de toute divulgation de ce type sera mis au courant de la démarche.

Consentement implicite

Voici quelques exemples de situations courantes faisant intervenir un consentement implicite :

  • Quand une personne remet son curriculum vitæ, on tient pour acquis qu’elle consent à ce que l’ACORP utilise ses renseignements personnels en vue de l’employer ou de lui attribuer un contrat. L’ACORP a l’habitude de conserver et d’utiliser les curriculum vitæ pendant une période de six mois après les avoir reçus. L’ACORP doit toutefois demander l’autorisation d’un candidat non retenu pour divulguer ou utiliser les renseignements véhiculés par son curriculum vitæ. L’ACORP applique des mesures visant à garantir le respect de cette obligation.
  • Sur son site Web externe, l’ACORP dévoile quels renseignements sont recueillis quand l’utilisateur accède à sa page d’accueil. On tient pour acquis que les utilisateurs du site Web de l’ACORP consentent à la collecte et l’utilisation de ces renseignements aux fins du suivi de l’activité sur le site Web.
  • L’ACORP publie par écrit des données cumulatives sous forme de rapports de rendement, ainsi que des données personnelles aux fins de l’inscription. On tient pour acquis que les auteurs d’une demande et les candidats consentent à l’utilisation de ces renseignements aux fins de la rédaction de rapports par l’organisme et de l’inscription des professionnels.

Exceptions à la procédure de consentement  

Il arrive que certaines parties externes, comme les entités chargées de l’application de la loi, aient le droit de recueillir, utiliser et divulguer des renseignements personnels pour des raisons légales ou en aient besoin pour des enquêtes, sans avoir à obtenir le consentement des personnes concernées.

Retrait du consentement

En tout temps, une personne a le droit de retirer son consentement à la collecte, l’utilisation ou la divulgation de ses renseignements personnels ou de ses renseignements personnels sur la santé, ou d’une partie de ces renseignements, du moment qu’elle en avise l’ACORP dans un délai raisonnable. Il faut informer cette personne des conséquences potentielles du retrait de son consentement avant qu’elle ne prenne une telle décision (par exemple, arrêt du traitement des demandes, frais administratifs associés). Le retrait du consentement d’une personne n’est pas rétroactif et ne s’applique pas aux renseignements personnels et renseignements personnels sur la santé déjà recueillis, utilisés ou divulgués par l’ACORP.

Collecte et utilisation des renseignements personnels et des renseignements personnels sur la santé

L’ACORP ne peut recueillir de renseignements personnels ou de renseignements personnels sur la santé qu’en lien avec ses propres programmes ou activités, si elle a des raisons de considérer ces renseignements comme nécessaires à l’application de ces programmes ou de ces activités, et seulement si la personne y a dûment consenti. Les renseignements personnels et les renseignements personnels sur la santé ne peuvent servir qu’aux fins pour lesquelles ils ont été recueillis. En outre, l’accès à ces renseignements doit se limiter au personnel de l’ACORP qui en a besoin pour administrer les programmes ou les activités de l’ACORP. Tous les membres du personnel de l’ACORP autorisés à accéder aux renseignements personnels et aux renseignements personnels sur la santé sont tenus de respecter la confidentialité de ces renseignements en vertu du code de protection de la vie privée.

L’ACORP peut utiliser des renseignements personnels et des renseignements personnels sur la santé à l’insu et sans le consentement de la personne concernée, mais uniquement dans les cas suivants :

  • À des fins réglementaires bien précises.S’il existe des motifs raisonnables de croire que les renseignements pourraient servir à une enquête sur une infraction à une loi fédérale, provinciale ou étrangère, et si les renseignements sont effectivement utilisés dans le cadre de cette enquête.
  • En cas d’urgence menaçant la vie, la santé ou la sécurité d’une personne.
  • S’il s’agit de renseignements accessibles au grand public.

Divulgation de renseignements personnels et de renseignements personnels sur la santé

Les renseignements personnels et les renseignements personnels sur la santé d’un particulier ne peuvent être divulgués à d’autres personnes que si l’objectif de la divulgation est compatible avec l’objectif pour lequel les renseignements ont été recueillis. Cela s’applique aussi à la divulgation interne si l’activité de l’organisme le nécessite. Cela s’applique également à une divulgation externe dans les cas où on divulguerait les renseignements à des prestataires de services tiers de l’ACORP, en vue d’aider celle-ci ou les organismes de réglementation à appliquer comme il se doit leurs propres programmes ou effectuer leurs activités.

Exceptions à la procédure de divulgation

Il existe des situations bien précises dans lesquelles des exceptions aux procédures de divulgation sont autorisées :

  1. Aux fins d’une transaction d’affaires entre deux ou plusieurs organismes (p. ex., dans le cas d’une coentreprise ou d’un partenariat), les parties peuvent recueillir, utiliser ou divulguer des renseignements sur les employés sans leur consentement, dans certaines circonstances.
  2. L’ACORP peut divulguer des renseignements personnels à l’insu de l’intéressé, et sans son consentement, uniquement dans les situations suivantes :
    • Pour renseigner un avocat qui représente l’ACORP.
    • Pour recouvrer une dette que la personne a contractée envers l’ACORP.
    • Pour se conformer à une citation à comparaître, à un mandat ou à une ordonnance émanant d’un tribunal ou d’une autre juridiction compétente.
    • Pour informer un organisme de réglementation ou une institution gouvernementale qui a demandé l’information, mentionnant la source de l’autorité légitime étayant son droit et indiquant que la divulgation a pour objectif de mener une enquête ou de recueillir des renseignements relatifs à une loi fédérale, provinciale ou étrangère, ou qui soupçonne que l’information est liée à la sécurité nationale ou à la conduite des affaires internationales, ou qui a pour objectif d’administrer une loi fédérale ou provinciale.
    • Pour faciliter les interventions en cas d’urgence menaçant la vie, la santé ou la sécurité d’une personne. (L’ACORP doit alors informer l’intéressé de la divulgation.)
    • S’ils sont accessibles au public.
    • Si la loi l’exige.

Toutes les autres exceptions à la procédure de divulgation doivent être autorisées par le responsable de la protection de la vie privée.

Transmission ou dévoilement de renseignements personnels et de renseignements personnels sur la santé

Le personnel de l’ACORP fera preuve d’une extrême prudence en transmettant des renseignements personnels et des renseignements personnels sur la santé à l’interne ou à l’externe, afin de s’assurer de ce qui suit :

  • On a vérifié l’identité des personnes qui ont demandé les renseignements et de celles à qui le personnel de l’ACORP va les transmettre.
  • La méthode de transmission des renseignements (par téléphone, par courrier, par télécopieur, par voie électronique ou autre) convient à la protection de la confidentialité des renseignements, compte tenu de leur caractère délicat.

Dans le cas d’un envoi postal. On insérera les renseignements dans une enveloppe soigneusement scellée et portant la mention « Privé et confidentiel ». Dans tous les cas, le nom du destinataire sera inscrit clairement. Dans les courriels, des drapeaux serviront à indiquer que les renseignements sont personnels ou confidentiels. En raison de la facilité avec laquelle les courriels se transmettent, et des problèmes liés au contrôle du stockage d’exemplaires multiples de courriels. On déconseille le recours au courrier électronique pour la transmission de renseignements personnels et de renseignements personnels sur la santé lorsqu’il est possible de faire autrement, sauf si on a obtenu le consentement explicite de la personne concernée à cet égard.

Conservation et élimination des renseignements personnels et des renseignements personnels sur la santé

La conservation et l’élimination des renseignements personnels et des renseignements personnels sur la santé doivent respecter la politique de gestion des dossiers de l’ACORP. Les renseignements personnels et les renseignements personnels sur la santé qui ne sont plus nécessaires aux fins pour lesquelles ils ont été recueillis seront détruits, effacés ou anonymisés. L’Alliance maintiendra un système de classement centralisé et sécurisé doté de mesures de contrôle appropriées de l’accès aux données et de l’extraction de ces données relatives aux employés et aux clients. Il faudra appliquer des mesures de précaution au moment d’éliminer ou de détruire des renseignements personnels et des renseignements personnels sur la santé, afin d’éviter que des tiers non autorisés aient accès à ces renseignements. Si l’élimination de renseignements sur papier est autorisée, il faudra les déchiqueter, afin d’en préserver la confidentialité.

Exactitude – Mise à jour des renseignements personnels et des renseignements personnels sur la santé

On effectuera des mises à jour des renseignements personnels et des renseignements personnels sur la santé, de manière à respecter l’objectif pour lequel ils ont été recueillis. Les procédures de gestion de l’information de l’ACORP réduiront au minimum la possibilité de consulter des renseignements erronés au moment de prendre des décisions relatives à la personne ou de divulguer des renseignements à des tiers.

Protection des renseignements personnels et des renseignements personnels sur la santé

Les normes de pratique organisationnelle et commerciale de l’ACORP précisent les procédures de fonctionnement qui protègent les renseignements personnels et les renseignements personnels sur la santé stockés en format électronique. La gestion de la sécurité physique de ces renseignements prendra appui sur les pratiques du bureau en matière de sécurité, les pratiques de gestion des dossiers et la discrétion de chacun, en fonction du caractère délicat des renseignements. Au moment d’adopter des mesures de protection des renseignements personnels et des renseignements personnels sur la santé, l’ACORP tiendra compte des possibilités suivantes : perte, vol, modification, accès non autorisé, copie et utilisation de ces renseignements. En cas d’incident au cours duquel des renseignements personnels ou des renseignements personnels sur la santé sont divulgués, perdus, modifiés ou transmis par erreur, en violation aux normes de l’ACORP, le personnel de l’ACORP contactera immédiatement le responsable de la protection de la vie privée, afin de signaler l’incident et d’élaborer un plan visant à corriger la situation.

Pratiques ouvertes et transparentes

L’ACORP informera les clients et les employés, entre autres, du code de protection de la vie privée et de ses pratiques de gestion de l’information sur le site Web et les sites intranet de l’ACORP. L’ACORP publiera également les coordonnées du responsable de la protection de la vie privée.

Accès d’une personne à ses renseignements personnels et à ses renseignements personnels sur la santé

Toute personne a le droit de demander l’accès à ses renseignements. On lui accorde alors l’accès aux renseignements demandés en lui permettant de consulter la documentation de l’ACORP ou en lui procurant un exemplaire du document original contenant ces renseignements. En aucun cas l’ACORP ne remettra les documents dont elle a la garde à la personne qui demande l’accès à des renseignements.

Les demandes d’accès peuvent se faire verbalement ou par écrit. On examinera les documents ou dossiers remis à une personne de façon à s’assurer qu’aucun renseignement personnel ou renseignement personnel sur la santé d’une autre personne ne s’y trouve également. Si tel est le cas, il faudra masquer ces renseignements ou les anonymiser avant que l’auteur de la demande ne consulte le document. Les renseignements personnels ou renseignements personnels sur la santé qu’une personne a demandé à consulter ne peuvent en aucun cas être supprimés ou détruits.

L’ACORP a le droit de demander à une personne de payer un montant raisonnable pour couvrir les frais de production et de livraison des documents qu’elle a demandés. Après avoir consulté les cadres dirigeants, c’est le responsable de la protection de la vie privée qui s’occupe de déterminer ce montant en vertu de la politique de l’ACORP et de voir s’il s’avère raisonnable de facturer des frais à l’auteur de la demande. Si l’ACORP prévoit lui envoyer une facture, cette personne doit en être informée, et doit avoir accepté d’honorer cette facture avant qu’on commence à reproduire des documents.

Exceptions à la procédure d’accès

L’accès est assujetti à toute interdiction, exception ou exemption prévue par les lois applicables sur la protection de la vie privée. Si l’accès lui est refusé, l’auteur de la demande est informé par écrit du motif du refus. L’ACORP doit refuser l’accès aux renseignements personnels et aux renseignements personnels sur la santé qu’elle a divulgués à une institution gouvernementale en vertu d’une loi ou pour des raisons de sécurité nationale. Dans certains cas, il est également interdit de dévoiler le fait que ces renseignements ont été divulgués. Si le personnel de l’ACORP a besoin de directives à propos du refus de l’accès, il doit les demander au responsable de la protection de la vie privée. En vertu de la loi applicable, la politique de l’ACORP prévoit aussi le refus de l’accès dans les cas suivant :

  • Les renseignements relèvent du secret professionnel de l’avocat envers son client.
  • Les renseignements contiennent une information confidentielle de nature commerciale.
  • La divulgation risquerait de porter atteinte à la sécurité ou à la santé physique ou mentale d’une personne.
  • La collecte de ces renseignements visait à enquêter sur la violation d’un accord ou sur une infraction à la loi.
  • La collecte de ces renseignements a pris place dans le cadre d’une procédure officielle de résolution de litiges, à moins que le responsable de la protection de la vie privée n’autorise expressément l’accès à l’un des renseignements.

Procédure de traitement des plaintes

Un particulier dont l’ACORP a recueilli, utilisé, divulgué ou détruit les renseignements personnels ou les renseignements personnels sur la santé peut déposer une plainte en vertu de la politique et des pratiques de l’ACORP quant au traitement de ses renseignements personnels et renseignements personnels sur la santé. Cette personne peut déposer sa plainte par écrit auprès du responsable de la protection de la vie privée, en précisant la nature de sa plainte. Le responsable doit alors procéder à une enquête. Le responsable de la protection de la vie privée répondra par écrit au plaignant en lui rapportant les résultats de l’enquête et les mesures prises ou à prendre par l’ACORP, le cas échéant, pour remédier au problème. Les appels d’une décision consécutive à une plainte sont transmis au comité exécutif. Le comité exécutif peut consulter le commissaire fédéral à la protection de la vie privée ou son homologue provincial, afin de se renseigner sur la procédure d’enquête, de demander conseil ou de valider les décisions. L’auteur d’une plainte ou d’une demande de renseignements ne fera l’objet d’aucune pénalité, sanction ou discrimination de la part de l’ACORP.

Tiers fournisseur de services

Dans certains cas, il arrive que l’ACORP fasse appel à des tiers fournisseurs de services pour l’aider à administrer ses programmes et mener ses activités à bien (p. ex., des fournisseurs de services qui s’occupent des dossiers relatifs aux assurances et aux avantages sociaux des employés). Dans certains cas, il arrive que l’ACORP doive divulguer des renseignements personnels et des renseignements personnels sur la santé de ses employés pour pouvoir leur offrir ces services. Le personnel de l’ACORP qui conclut de tels contrats avec des tiers fournisseurs de services veillera à ce qui suit :

  • L’utilisation des renseignements personnels et des renseignements personnels sur la santé par le tiers prestataire de services se limite aux fins précisées dans le contrat.
  • Toute utilisation de renseignements personnels et de renseignements personnels sur la santé doit se conformer au code de protection de la vie privée.
  • Le tiers fournisseur de services renvoie à l’ACORP toute personne souhaitant accéder à ses renseignements personnels et ses renseignements personnels sur la santé.
  • Le tiers fournisseur de services applique des mesures de sécurité permettant d’assurer la protection des renseignements personnels et des renseignements personnels sur la santé.
  • Le tiers fournisseur de services doit détruire les renseignements personnels et les renseignements personnels sur la santé ou les retourner à l’ACORP à la résiliation ou au terme du contrat.
  • L’ACORP a le droit de vérifier si le tiers fournisseur de services respecte le contrat.