La protection des renseignements personnels par le PAMQ

Le PAMQ protège les renseignements personnels recueillis dans l’ensemble de ses activités.

Pour ce faire, le PAMQ s’est doté d’une politique encadrant sa gouvernance à l’égard de la sécurité et de la gestion des renseignements personnels conformément aux lois et règlements ainsi qu’aux bonnes pratiques en la matière.

La politique du PAMQ vise l’ensemble des phases de possession des renseignements personnels, soit leur collecte, utilisation, traitement, entreposage, communication et destruction.

L’application, le respect et le suivi de cette politique sont assurés par le responsable de la protection des renseignements personnels du PAMQ. Ses coordonnées sont les suivantes :

Nicolas Ledoux, Directeur général
1 800 387.4166 ou 514 397.0888
nledoux@pamq.org

1. LES RENSEIGNEMENTS PERSONNELS DÉTENUS PAR LE PAMQ


Un renseignement personnel est un renseignement qui concerne une personne physique et qui permet de l’identifier directement ou indirectement.

Dans le cas du PAMQ, constitue notamment des renseignements personnels le fait d’avoir consulté le PAMQ, les informations partagées par les personnes faisant appel à ses services de même que leur identité, ainsi que l’entièreté du dossier relatif à la consultation.

Le PAMQ détient également des renseignements personnels en lien avec l’administration de ses activités, incluant la gestion de ses ressources humaines et de ses activités philanthropiques.

2. COLLECTE DES RENSEIGNEMENTS PERSONNELS


La collecte des renseignements personnels par les médecins-conseil et les employé(e)s du PAMQ se limite à ce qui est nécessaire à la prestation des services d’accompagnement offerts par le PAMQ ou à l’administration des activités du PAMQ.

L’employé(e) ou le médecin-conseil qui recueille directement des renseignements personnels auprès d’une personne physique et qui concernent cette même personne va l’informer :

  • des fins auxquelles ces renseignements sont recueillis;
  • des moyens par lesquels les renseignements sont recueillis;
  • des droits d’accès et de rectification prévus par la loi;
  • de son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis

Cette obligation de divulgation est exécutée par l’entremise des formulaires standards du PAMQ.

La personne physique auprès de qui sont recueillis des renseignements personnels la visant doit y consentir par écrit au moyen du formulaire standard du PAMQ. Lorsque celle-ci le requiert :

  • Il lui est prêté assistance afin de l’aider à comprendre la portée du consentement demandé;
  • Elle sera informée des renseignements personnels recueillis auprès d’elle, des catégories de personnes qui ont accès à ses renseignements personnels au sein du PAMQ, de la durée de conservation de ses renseignements personnels, ainsi que des coordonnées du responsable de la protection des renseignements personnels

3. ACCÈS ET COMMUNICATION DES RENSEIGNEMENTS PERSONNELS


3.1. Demande d’accès

Des renseignements personnels peuvent être rendus disponibles par le responsable de la protection des renseignements personnels dans le cadre d’une demande d’accès respectant la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1. ou du Code civil du Québec. Une demande d’accès ne sera considérée que si elle est faite par écrit et par la personne titulaire du droit d’accès ou de rectification.

Une réponse écrite à pareille demande sera fournie dans un délai maximum de trente jours à compter de sa réception par le responsable de la protection des renseignements personnels. Tout rejet de la demande sera motivé, indiquera la disposition législative sur laquelle ce refus est basé et informera la personne concernée des recours légaux qui s’offrent à elle et le délai dans lequel ils peuvent être exercés. Le responsable de la protection des renseignements personnels prêtera également assistance à la personne concernée qui le demande pour l’aider à comprendre le refus.

3.2. Droit d’accès minimal au sein du PAMQ

Les droits d’accès à un renseignement personnel sont attribués aux employé(e)s et médecins-conseils en fonction de ce qui leur est nécessaire dans l’exécution de leur fonction. Les droits d’accès aux différentes catégories d’informations reposent sur les principes du « besoin de savoir » et du « moindre privilège d’accès ».

Le PAMQ s’engage à faire signer à tou(te)s ses employé(e)s et médecins-conseils une entente de confidentialité dans laquelle sont réitérées leurs principales obligations en matière de confidentialité de l’information et de protection des renseignements personnels

3.3. Communication

Lorsqu’un renseignement personnel est transmis par voie informatique à l’externe par un employé(e) ou un médecin-conseil, la communication doit s’effectuer par courriel chiffré ou lien d’accès sécurisé au système informatique du PAMQ. Si cette communication par voie informatique n’est pas possible en raison de la nature ou du format de l’information, elle peut s’effectuer par courrier prioritaire ou messager, mais avec l’accord exprès de la personne concernée. En cas de communication d’un renseignement personnel à l’extérieur du Québec, le PAMQ procède à une évaluation des facteurs relatifs à la vie privée conforme aux exigences de la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1.

4. UTILISATION ET TRAITEMENT DES RENSEIGNEMENTS PERSONNELS


4.1. Principe général d’utilisation

Un renseignement personnel ne peut être utilisé au sein du PAMQ ou par un médecin-conseil qu’aux fins pour lesquelles il a été recueilli, à moins du consentement de la personne physique concernée ou d’un cas prévu par la loi. Ce consentement doit être manifesté de façon expresse dès qu’il s’agit d’un renseignement personnel sensible.

Un renseignement personnel peut toutefois être utilisé à une autre fin sans le consentement de la personne physique concernée dans les seuls cas suivants :

  • lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il a été recueilli. Ce lien doit être pertinent et direct avec les fins pour lesquelles le renseignement personnel a été recueilli. La prospection commerciale ou philanthropique ne peut être considérée comme une fin compatible;
  • lorsque son utilisation est manifestement au bénéfice de la personne physique concernée;
  • lorsque son utilisation est nécessaire à des fins de prévention et de détection de la fraude ou d’évaluation et d’amélioration des mesures de protection et de sécurité;
  • lorsque son utilisation est nécessaire aux des fins de la prestation d’un service demandé par la personne physique concernée;
  • lorsque son utilisation est nécessaire à des fins d’étude, de recherche, de production de statistiques et qu’il est dépersonnalisé;

4.2. Utilisation des Outils technologiques et télétravail

Les outils technologiques utilisés par les employé(e)s et par les médecins-conseils permettent d’assurer la conservation, l’intégrité et la sécurité des renseignements personnels détenus par le PAMQ.

Le PAMQ se réserve le droit d’effectuer toute vérification relative à la protection de la confidentialité des renseignements personnels, notamment en menant des vérifications sur ces outils technologiques. Lorsqu’il mène pareille vérification, le PAMQ prend les mesures raisonnables qui s’imposent afin de minimiser l’atteinte à la vie privée des employé(e)s et des médecins-conseils concernés.

Quand les employé(e)s et les médecins-conseils accèdent à distance à la base de données sécurisée du PAMQ à des fins de télétravail, la protection de la confidentialité de l’information est maintenue, notamment en privilégiant les connexions internet personnelles sécurisées et privées ou les réseaux privés virtuels (VPN).

4.3. Traitement et entreposage de l’information

Les Employé(e)s et les Médecins-conseils enregistrent sur la base de données sécurisée du PAMQ toute information nécessaire de conserver sur support numérique à des fins de réalisation d’une consultation d’accompagnement (et son suivi) ou d’un mandat administratif.

Si ce n’est pas possible, une note à cet effet est enregistrée dans la base de données sécurisée du PAMQ et la manutention et la conservation de l’information originale sur support papier sont réduites à ce qui est absolument nécessaire. Dès que possible, l’information originale sur support papier est numérisée, enregistrée sur la base de données et retournée à son propriétaire de façon sécuritaire.

Tout enregistrement sur un disque local doit être réduit au minimum nécessaire. Advenant qu’un tel enregistrement soit nécessaire, celui-ci doit être supprimé du disque local dès que cesse cette nécessité.

L’impression par les employé(e)s et les médecins-conseils de documents est réduite au minimum et à ce qui est nécessaire. Ceci dit, il est interdit pour les employé(e)s et les médecins-conseils d’imprimer de l’information provenant d’un dossier de consultation, sauf en cas d’autorisation écrite de la direction générale ou du DIPR (directeur ou directrice de l’intervention, la prévention et la recherche du PAMQ). Toute information hébergée sur support physique est entreposée selon des exigences de protection qui permettent d’en assurer la confidentialité.

4.4. Innovation technologique

Avant tout acquisition, développement ou refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels, le PAMQ procède à une évaluation des facteurs relatifs à la vie privée conforme aux exigences de la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1.

5. DESTRUCTION DE L’INFORMATION


Lorsque les fins auxquelles un Renseignement personnel a été recueilli ou utilisé sont accomplies, le PAMQ doit le détruire ou l’anonymiser pour l’utiliser à des fins sérieuses et légitimes, sous réserve d’un délai de conservation prévu par une loi ou un règlement. La fermeture des dossiers de consultation et la destruction sécuritaire des informations qui y sont contenues sont effectuées selon la Politique relative à la fermeture, la conservation et la destruction de dossiers du PAMQ.

Aucun Renseignement personnel ne sera détruit s’il fait l’objet d’une demande d’accès ou de rectification en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1. ou du Code civil du Québec, et ce, tant et aussi longtemps que la personne physique concernée n’a pas épuisé les recours légaux applicables.

6. INCIDENTS DE CONFIDENTIALITÉ


6.1. Prévention

Le PAMQ met en place les mesures suivantes afin de prévenir les incidents de confidentialité :

  • Dispenser aux employé(e)s et médecins-conseils des formations obligatoires de sensibilisation aux enjeux de sécurité et de confidentialité;
  • Se réserver le droit de vérifier les antécédents judiciaires et de crédit d’un employé(e)s ou Médecin-conseil;
  • Mettre en place des mesures de prévention, détection et récupération eu égard aux logiciels malveillants;
  • Procéder à une journalisation des événements portant atteinte à la sécurité informatique du PAMQ;
  • Mettre en place un système de surveillance continu (24h/7j) de son système informatique;
  • Mettre en place un système de monitorage de la robustesse de ses systèmes de sécurité de l’information en recourant à des tests de sécurité;
  • Mettre en place un registre des incidents de confidentialité conforme aux exigences de la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1. et de tout règlement applicable;

6.2. Gestion des Incidents de confidentialité

Un incident de confidentialité consiste en toute situation dans le cadre de laquelle le PAMQ a des motifs raisonnables de croire qu’un des incidents suivants est survenu : (1) accès non autorisé par la loi à un renseignement personnel; (2) utilisation non autorisée par la loi d’un renseignement personnel; (3) communication non autorisée par la loi d’un renseignement personnel et (4) perte d’un renseignement personnel.

En cas d’incident de confidentialité, le PAMQ va :

  • Prendre toutes mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent;
  • Aviser toute personne physique concernée par l’incident de confidentialité conformément aux lois et règlements applicables;
  • Aviser la Commission d’accès à l’information du Québec si l’incident de confidentialité présente un risque qu’un préjudice sérieux soit causé;
  • Aviser toute personne ou tout organisme susceptible de diminuer le risque posé par l’incident de confidentialité en ne lui communiquant que les Renseignements personnels nécessaires à cette fin sans le consentement de la personne physique concernée. Cette communication doit être enregistrée.

Le PAMQ est dispensé d’aviser la personne concernée si le fait de le faire est susceptible d’entraver une enquête faite par une personne ou un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois. Le PAMQ s’engage à mener une enquête en lien avec l’Incident de confidentialité afin d’identifier la nature de l’Incident de confidentialité et ses causes. Le PAMQ s’engage également à mettre en place des plans d’action ciblés à la suite de la survenance d’un Incident de confidentialité, et ce, afin d’éviter l’avènement ultérieur d’un incident de même nature.