Politique relative à la protection de la vie privée et à la confidentialité

Justifications et liens avec notre mission, nos principes et nos valeurs

La Société canadienne de la sclérose en plaques (Société de la SP) reconnaît le droit de quiconque à la vie privée et s’engage à préserver l’exactitude, la confidentialité et la sécurité des renseignements personnels qu’elle détient. Dans la poursuite de sa mission, la Société de la SP a également pris l’engagement de traiter les gens avec respect et dignité et de protéger leur vie privée.

Adhérant aux normes les plus élevées de qualité, de transparence et de reddition de comptes, la Société de la SP s’est munie de politiques et de procédures relatives à la collecte, à l’utilisation et à la communication des renseignements personnels, conformes aux lois fédérales et provinciales pertinentes ainsi qu’aux normes de l’industrie applicables en la matière.

Objectif

La Politique relative à la protection de la vie privée et à la confidentialité a pour objectif d’exposer de façon cohérente les pratiques et les normes auxquelles adhère la Société de la SP relativement à la collecte, à l’utilisation et à la communication de renseignements personnels dans le cadre de ses activités. Cette politique vise à guider l’ensemble des personnes – employés, bénévoles et tiers – qui ont accès aux renseignements personnels détenus par la Société de la SP.

Tel qu’il est utilisé dans la présente politique, le terme « renseignements personnels » fait également référence au terme « renseignements personnels sur la santé », sauf si ce dernier est utilisé de façon exclusive. Dans ce cas, il ne désigne que les renseignements personnels relatifs à la santé.

Champ d’application

La Politique relative à la protection de la vie privée et à la confidentialité s’applique aux employés et aux bénévoles de tous les échelons et de tous les bureaux de la Société de la SP, à savoir le Bureau national, les divisions et les sections locales.

De plus, la Société de la SP exige que les personnes et les tiers qui recueillent, utilisent ou communiquent des renseignements personnels en son nom se conforment aux modalités de la présente politique dans le cadre de leurs fonctions respectives.

Approbation

La Politique relative à la protection de la vie privée et à la confidentialité a été approuvée pour la première fois le 4 mai 2002 par le conseil d’administration de la Société de la SP. Elle remplaçait alors la précédente politique sur la confidentialité, approuvée en 1989 par le conseil d’administration, dont elle englobait et étendait les dispositions.

Détails

A. Propriété de la Société de la SP

Toute information considérée dans le présent document comme un renseignement personnel ou un renseignement personnel sur la santé est et demeurera la propriété la Société de la SP. Les bénévoles et les employés de l’organisme sont tenus d’assurer la protection et la confidentialité de tous les renseignements personnels, quelle que soit la présentation de ces derniers, non seulement lorsqu’ils travaillent pour la Société de la SP, mais également après leur départ.

B. Conformité aux lois pertinentes

La Société de la SP se conformera à toutes les règles prescrites par les lois en vigueur au chapitre de la protection de la vie privée.

Lois fédérales et provinciales applicables en matière de protection de la vie privée

La Société de la SP considère la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) – adoptée par le gouvernement fédéral – comme la norme en matière de protection des renseignements personnels dans le secteur privé. La LPRPDE établit les règles qui régissent la manière dont les entreprises doivent traiter les renseignements personnels dans le cadre de leurs activités commerciales. Bien que la plupart des activités de la Société de la SP ne puissent être qualifiées de « commerciales » selon les critères de la LPRPDE, les dispositions de cette loi s’appliquent aux activités de l’organisme qui consistent en « la vente, le troc ou la location de listes de donateurs, de membres ou de participants à des activités de collecte de fonds ». Il arrive, en effet, que la Société de la SP échange ses listes de donateurs (noms et adresses uniquement) avec des organismes ayant des objectifs semblables aux siens.

Dans les provinces et les territoires où les politiques de protection de la vie privée sont plus strictes que la réglementation fédérale applicable en la matière, les activités de la Société de la SP devraient satisfaire à la fois aux exigences des lois provinciales ou territoriales et à celles de la LPRPDE.

Lois relatives aux renseignements personnels sur la santé

La Société de la SP considère comme un renseignement personnel sur la santé tout renseignement indiquant qu’une personne est atteinte ou non de sclérose en plaques. Plusieurs provinces du Canada disposent d’une loi sur la protection des renseignements personnels sur la santé. Les lois provinciales en cette matière ont été jugées essentiellement semblables à la LPRPDE en ce qui a trait aux dispositions de celle‐ci applicables aux dépositaires de renseignements sur la santé. Bien que n’étant pas un dépositaire de renseignements sur la santé selon la loi, la Société de la SP a volontairement adopté des éléments issus de la législation relative à cette catégorie de renseignements personnels.

Loi canadienne anti‐pourriel (LCAP)

La présente politique vise notamment à appuyer la conformité des activités de la Société de la SP à la Loi canadienne anti‐pourriel.

C. Renseignements personnels et sur la santé recueillis par la Société de la SP

Pour accomplir sa mission, la Société de la SP collecte certains renseignements personnels relatifs à ses membres, donateurs, clients, employés et bénévoles ainsi qu’aux personnes participant à ses événements, et ce, conformément à ses obligations légales et comme la loi l’exige ou le permet. Grâce à ces renseignements, la Société de la SP est en mesure d’assurer ses services et ses programmes, de poursuivre ses activités en matière de défense des droits et des intérêts, de relations avec les gouvernements et de diffusion d’information sur la SP destinée au public, de collecter des fonds, de traiter les dons qu’elle reçoit, d’administrer l’adhésion de ses membres, de mener ses activités de marketing, de produire des rapports statistiques, etc.

La Société de la SP recueille le minimum de renseignements requis pour pouvoir établir et maintenir des liens avec les personnes qui utilisent les services et les programmes qu’elle offre, les bénévoles, les donateurs et les participants à ses événements. Subordonnés au respect du principe de consentement énoncé dans la section 3 du présent document, les renseignements personnels collectés par la Société de la SP comprennent, sans toutefois s’y limiter, les types d’information suivants :

  •  coordonnées d’une personne (nom, adresse, numéro de téléphone et courriel);
  •  renseignements indiquant un diagnostic de SP;
  •  brève description d’un service demandé ou reçu (description figurant dans la base de données des programmes et services de l’organisme);

  •  information sur le statut de membre ou l’historique d’une adhésion (date d’adhésion, statut de membre actuel, affiliation à une section, etc.);

  • participation à une campagne de défense des droits et des intérêts menée en ligne par la Société de la SP où à un événement de collecte de fonds organisé par celle‐ci;

  • information relative à un don, comme la date de ce dernier, son montant et le nom de la campagne dans le cadre de laquelle ce don a été effectué;

  • information de nature financière comme la méthode et les préférences de paiement, renseignements de facturation et information bancaire fournie en vue du traitement d’un don (numéro et date d’expiration d’une carte de crédit ou numéro transitaire d’un compte de chèques). Il arrive qu’à des fins administratives, la Société de la SP fournisse de l’information à diffusion restreinte (nom, adresse, numéro partiel de carte de crédit) à des fournisseurs localisés aux États‐Unis;

  • autres renseignements personnels utilisés pour des motifs qu’une personne raisonnable jugerait justifiés dans les circonstances.

D. Principes relatifs à la protection de la vie privée et à la confidentialité

La Société de la SP adhère aux dix principes suivants relativement à la collecte, à l’utilisation et à la divulgation de renseignements personnels :

1. Reddition de comptes

La Société de la SP est responsable des renseignements personnels qu’elle détient.

1.1 Suivant les modalités énoncées ci‐après, la Société de la SP désignera une personne ou des personnes chargées de s’assurer du respect de la présente politique :

  • a)  Un responsable de la protection de la vie privée est nommé à l’échelon national par le maître d’œuvre de cette politique, et cette nomination doit être approuvée par le conseil d’administration de la Société de la SP.
  • b)  Le président ou directeur général de chaque division est responsable du respect de la politique en question au sein de sa division, en consultation avec le responsable de la protection de la vie privée à l’œuvre à l’échelon national.
  • c)  Le président ou directeur général de chaque division nomme un responsable de la protection de la vie privée qui sera chargé de superviser la mise en œuvre du programme de protection de la vie privée au sein de sa division.
  • d)  Dans chaque section, une personne peut être désignée pour assurer le respect de la présente politique, en consultation avec le membre du personnel le plus haut placé au sein de la division concernée. Les divisions ont l’obligation de superviser l’application de cette politique par les sections établies sur leur territoire.

1.2 La Société de la SP mettra en œuvre des pratiques et des procédures d’application de la Politique relative à la protection de la vie privée et à la confidentialité. Elle verra notamment à :

  • a)  la mise en œuvre de procédures de protection des renseignements
  • personnels;
  • b)  l’établissement de procédures non seulement pour l’enregistrement des
  • plaintes et des demandes de particuliers au sujet des renseignements
  • personnels les concernant, mais aussi pour les réponses à celles‐ci;
  • c)  la formation des bénévoles et des employés ainsi que la communication
  • d’information à ces personnes au sujet de la présente politique et des
  • pratiques qui s’y rattachent;
  • d)  l’élaboration d’outils d’information visant à expliquer cette politique et les
  • pratiques qui s’y rattachent.

2. Détermination des fins de la collecte

La Société de la SP déterminera les fins pour lesquelles un renseignement personnel donné est recueilli. Ces fins sont à indiquer à la personne auprès de laquelle des renseignements personnels sont recueillis, au moment de la collecte de renseignements ou avant. Si la Société de la SP envisage d’utiliser des renseignements personnels à des fins non préalablement déterminées, elle est dans l’obligation de communiquer ces nouvelles fins à chacune des personnes concernées et d’obtenir son consentement quant à l’utilisation de ces renseignements.

3. Obtention d’un consentement

La collecte, l’utilisation et la communication de renseignements personnels nécessitent l’obtention du consentement éclairé de la personne intéressée, sauf quand cela n’est pas requis pour des raisons particulières. Les cas où le consentement éclairé d’une personne n’est pas requis devraient être exceptionnels et motivés par des raisons d’ordre juridique ou médical ou des raisons de sécurité très bien documentées.

Un consentement est considéré comme valide seulement si on peut raisonnablement penser que la personne avec qui la Société de la SP est en contact ou fait affaire comprend la nature, les fins et les conséquences de la collecte, de l’utilisation et de la communication de renseignements personnels auxquelles elle consent.

  • 3.1. En temps normal, les employés et les bénévoles de la Société de la SP chercheront à obtenir, au moment de la collecte, le consentement des personnes intéressées quant à l’utilisation ou à la communication des renseignements concernant celles‐ci. La forme de consentement recherchée par la Société de la SP peut être soit explicite soit tacite, selon les circonstances et la nature des renseignements personnels.
  • 3.2.  Avant de communiquer des renseignements personnels sur la santé à un organisme extérieur ou à quiconque, la Société de la SP doit obtenir, par écrit ou verbalement, le consentement explicite de la personne concernée.
  • 3.3.  Le fait qu’une personne procure ses renseignements personnels à la Société de la SP signifie que cette personne consent de façon tacite à ce que l’organisme recueille, utilise et communique ces renseignements en vertu de la présente politique, à moins que la personne en question n’indique expressément qu’elle s’y oppose.

Le consentement tacite d’une personne peut également être déduit de l’existence de relations d’affaires ou privées en cours (soit durant les deux dernières années écoulées) entre cette personne et la Société de la SP. Cette personne peut notamment être un donateur, un bénévole ou un membre de la Société de la SP, un participant à un événement organisé par celle‐ci, un chercheur ayant soumis une demande de subvention à la Société de la SP, ou encore quiconque ayant communiqué avec l’organisme relativement à des services.

Le consentement tacite est considéré comme suffisant à des fins de collecte de fonds pour permettre la communication de renseignements personnels limités concernant un donateur (nom et adresse seulement) à un autre organisme de bienfaisance, si le donateur en question a été informé de l’éventualité d’une telle utilisation de renseignements personnels le concernant et si on lui a donné, de façon claire et compréhensible, la possibilité de refuser une telle utilisation.

Le consentement tacite est aussi considéré comme suffisant en vertu de la Loi canadienne anti‐pourriel (LCAP) relativement aux messages électroniques commerciaux (MÉC) pertinents, à condition que les destinataires de tels messages aient interagi avec la Société de la SP au cours des deux années précédant la date d’envoi des MÉC, que l’expéditeur fournisse clairement son identité et que l’organisme procure aux destinataires, de façon claire et compréhensible, la possibilité de retirer leur consentement. La LCAP ne s’applique pas aux MÉC que la Société de la SP envoie principalement en vue de collecter des fonds.

  • 3.4.  Consentement non requis – Dans certaines situations, il n’est pas nécessaire d’obtenir de consentement pour utiliser ou communiquer des renseignements personnels comme le permet ou l’exige la loi. Par exemple, il n’est pas nécessaire d’obtenir de consentement pour fournir des renseignements dans le cadre d’une action en justice, pour se conformer à des obligations légales en matière de déclaration ou pour répondre à toute exigence de la loi en lien avec une enquête, la détection et la prévention de fraudes, un témoignage lié à une demande d’indemnisation d’assurance, un délit financier, la production de renseignements personnels dans le cadre d’activités commerciales ou professionnelles, etc.
  • 3.5. Refus et retrait de consentement – Lorsque le consentement d’une personne est sollicité, cette dernière peut décider de ne pas l’accorder (on parle alors de « refus de consentement »). Si cette personne donne son consentement, elle pourra le retirer ultérieurement à n’importe quel moment, sous réserve des restrictions légales ou contractuelles applicables et d’un préavis raisonnable. Toutefois, ce

« retrait de consentement » ne sera pas rétroactif.

4. Limitation de la collecte

La collecte de renseignements personnels sera limitée aux renseignements nécessaires pour les fins déterminées par la Société de la SP. Les renseignements seront recueillis par des moyens équitables et licites.

5. Limitation de l'utilisation, de la communication et de la conservation des renseignements personnels

Les renseignements personnels ne seront pas utilisés ni communiqués à des fins autres que celles pour lesquelles ils ont été recueillis, sauf si l’intéressé a donné son consentement à cet égard ou si la loi l’exige. Les renseignements personnels ne seront conservés que le temps nécessaire à la poursuite de ces fins.

Dans la mesure du possible, l’accès à des renseignements personnels sera limité aux utilisateurs autorisés. De tels renseignements peuvent uniquement être utilisés dans le cadre des fonctions des employés et des bénévoles concernés. Ces derniers ne peuvent pas lire, consulter ou recevoir des renseignements personnels ou en faire un tout autre usage à moins d’avoir une raison valable et légitime d’en prendre connaissance dans le cadre de leurs fonctions.

Les employés et les bénévoles désignés sont autorisés à communiquer des renseignements personnels uniquement dans les limites de ce que prévoient leurs fonctions. Ils ne peuvent transmettre ou envoyer ce type d’information ni en discuter ou en faire un tout autre usage, à moins d’en être autorisés dans le cadre de leurs fonctions.

Les renseignements personnels sur la santé qui ne sont plus requis aux fins des buts définis seront détruits, effacés ou rendus anonymes en toute sécurité.

Lorsque la Société de la SP transmet des renseignements personnels à des tiers fournisseurs de services avec qui elle fait affaire, ces derniers ont accès uniquement aux renseignements personnels dont ils ont besoin pour accomplir leurs fonctions et ne peuvent les utiliser à aucune autre fin.

6. Exactitude

La Société de la SP prendra des mesures raisonnables pour s’assurer que les renseignements personnels qu’elle détient demeurent aussi exacts, complets et actualisés qu’il est nécessaire aux fins de leur utilisation. Les renseignements personnels utilisés de façon récurrente, y compris les renseignements communiqués à un tiers, seront généralement exacts et actualisés, à moins que des limitations quant aux exigences d’exactitude ne soient clairement établies. Toute personne aura en tout temps la possibilité de communiquer avec la Société de la SP pour faire mettre à jour les renseignements personnels la concernant.

7. Mesures de sécurité

La Société de la SP mettra en œuvre des mesures de sécurité appropriées (en fonction du degré de sensibilité des renseignements concernés) pour assurer la protection des renseignements personnels contre les pertes ou le vol, contre l’accès non autorisé à ceux‐ci et contre la communication, la copie, l’utilisation ou la modification non permises de ces renseignements. Parmi ces mesures de sécurité figurent les moyens suivants : mesures de protection matérielle (p. ex. verrouillage des classeurs et des pièces où sont conservés des renseignements personnels); mesures organisationnelles (p. ex. autorisation pour les employés d’accéder aux renseignements personnels sur la santé uniquement si cette information est nécessaire à l’exercice de leurs fonctions); mesures techniques (usage de mots de passe, recours au cryptage, application de procédures de vérification).

La Société de la SP exige que toute personne ou tout tiers qui recueille, utilise ou communique des renseignements personnels en son nom se conforme aux modalités de la présente politique. Pour assurer cette conformité, la Société de la SP aura recours aux mesures suivantes : signature d’accords de confidentialité, séances de formation sur la confidentialité et la protection de la vie privée, recours à divers moyens d’ordre contractuel.

Les documents relatifs aux renseignements personnels doivent être jetés ou détruits avec soin afin d’éviter que des personnes non autorisées aient accès à cette information.

8. Facilité d’accès

La Société de la SP tiendra à la disposition de tous de l’information sur ses politiques en matière de protection de la vie privée et de confidentialité, et sur ses pratiques au chapitre de la gestion des renseignements personnels. Parmi l’information ainsi fournie figurent les éléments suivants :

  • a)  les coordonnées des personnes responsables de la protection de la vie privée, à qui les plaintes et les demandes de vérification peuvent être acheminées;
  • b)  la procédure à suivre pour avoir accès à des renseignements personnels détenus par la Société de la SP ou pour formuler une demande de correction de tels renseignements;
  • c) une description du type de renseignements personnels détenus par la Société de la SP, ainsi qu’un rapport général relatif à leur utilisation et à leur communication;
  • d)  une description de la manière dont une personne peut soumettre une plainte à la Société de la SP;
  • e)  une copie de toute brochure ou de tout autre document expliquant les politiques, normes ou codes utilisés à la Société de la SP.

9. Accès d’une personne aux renseignements qui la concernent

Toute personne peut exiger d’être informée de la détention, de l’utilisation ou de la communication par la Société de la SP de renseignements personnels la concernant. Cette personne aura accès à ces renseignements et pourra les faire corriger s’ils sont inexacts ou incomplets.

Dans certaines situations, la Société de la SP peut ne pas être en mesure de donner accès à tous les renseignements personnels qu’elle détient sur une personne. Les exceptions aux conditions d’accès seront limitées et spécifiques. Les raisons de refus d’accès seront fournies à l’intéressé sur demande. Parmi ces exceptions figurent les renseignements dont la transmission coûterait extrêmement cher, les renseignements qui concernent plus d’une personne à la fois, les renseignements qui ne peuvent être communiqués pour des motifs juridiques ou des raisons de sécurité ou de propriété commerciale, ainsi que les renseignements assujettis au secret professionnel ou au secret liant un avocat à son client.

10. Possibilité de déposer une plainte

Une personne pourra déposer une plainte de non‐respect par la Société de la SP de sa propre Politique relative à la protection de la vie privée et à la confidentialité auprès du responsable de la protection de la vie privée à l’échelon d’une division ou du Bureau national.

Les responsables de la protection de la vie privée reçoivent et traitent les plaintes et les demandes de vérification sur les politiques et pratiques de la Société de la SP applicables aux renseignements personnels en suivant les directives fournies dans le document intitulé
« Procédures relatives à la gestion des cas d’atteinte à la vie privée ». Ils informeront les personnes à l’origine de demandes de vérification ou de plaintes des diverses façons de déposer une plainte.

La Société de la SP vérifie toutes les plaintes ainsi formulées et prend des mesures appropriées en réponse à celles qui s’avèrent justifiées.

Maître d’œuvre

Le président et chef de la direction de la Société de la SP est le maître d’œuvre de la Politique relative à la protection de la vie privée et à la confidentialité.

Surveillance et conformité

Il incombe au président et chef de la direction de la Société de la SP, conjointement avec les autres membres de la haute direction, de s’assurer de l’application et du respect de la présente politique et des procédures connexes.

Les vice‐présidents à l’échelle nationale et les présidents des divisions doivent confirmer l’observation de la présente politique et des procédures connexes tous les trois mois.

La présente politique peut être modifiée en raison d’exigences légales et réglementaires, de l’adoption de nouvelles technologies, de l’évolution des pratiques organisationnelles et de l’adaptation nécessaire aux besoins des parties prenantes de l’organisme.

Politiques et lois connexes

Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du gouvernement fédéral
Lois provinciales sur la vie privée
Loi canadienne anti‐pourriel (LCAP)

Guide de mise en œuvre de la politique de protection de la vie privée et de la confidentialité

Procédure relative à la gestion des cas d’atteinte à la vie privée
Procédure de conservation des dossiers
Politique relative au code de conduite et de comportements éthiques

Politique relative à la sécurité des technologies de l’information et procédures connexes

Politique en matière de résolution des situations préoccupantes signalées par les parties prenantes
LCAP : ce que vous devez savoir et faire

Révision

La présente politique doit être passée en revue au moins tous les cinq ans à compter de la date à laquelle elle a été approuvée.

DÉFINITIONS :

Droit à la vie privée – Droit fondamental pour une personne d’exercer un contrôle sur les renseignements qui la concernent (s’applique à la collecte, à l’utilisation et à la communication de ces renseignements ainsi qu’à l’accès à ces derniers).

 

Protection de la confidentialité – Obligation de protéger les renseignements personnels, de maintenir leur caractère secret, de ne pas les communiquer à tort et de ne pas en faire une mauvaise utilisation.

Renseignements personnels – Toute information portant sur une personne identifiable, autre que les coordonnées (adresse et numéro de téléphone) ou le titre professionnels de cette personne. Voici des exemples de renseignements personnels : le nom, l’adresse domiciliaire, l’âge, l’information sur la santé ou les finances d’une personne. Les renseignements personnels n’incluent pas l’information qui ne permet pas d’identifier une personne précise. De plus, les renseignements affichés publiquement, comme ceux qui figurent dans un annuaire téléphonique, ne sont pas considérés comme des renseignements personnels. Les renseignements concernant les dons effectués par une personne à la Société de la SP constituent des renseignements personnels.

Renseignements personnels sur la santé – Les renseignements personnels sur la santé d’une personne vivante ou décédée sont les suivants :

  • a)  tout renseignement ayant trait à la santé physique ou mentale de la personne;
  • b)  tout renseignement relatif aux services de santé fournis à la personne;
  • c)  tout renseignement relatif aux dons de parties du corps ou de substances corporelles
  • faits par la personne, ou tout renseignement provenant des résultats de tests ou d'examens effectués sur une partie du corps ou une substance corporelle de cette personne;
  • d)  tout renseignement recueilli lors la prestation de services de santé à la personne;
  • e)  tout renseignement recueilli fortuitement lors de la prestation de services de santé à la
  • personne.

Équipe de la haute direction – Groupe d’employés occupant les postes de direction les plus élevés de la Société de la SP, soit le président et chef de la direction, les présidents des divisions ainsi que les vice‐présidents des compétences, de la recherche, du marketing et du développement, des programmes et des services, des relations avec les gouvernements, des technologies de l’information et des services partagés. Ces personnes peuvent cumuler plusieurs postes. Le président et chef de la direction peut modifier la composition de l’équipe de la haute direction, au besoin.