Règles encadrant la gouvernance des renseignements personnels de l’Ordre des agronomes du Québec
Entrées en vigueur le 12 décembre 2023
- Contexte et Champ d’application
- Rôles et responsabilités organisationnelles
2.1. Conseil d’administration et Comité exécutif
2.2. Direction générale
2.3. Comités statutaires et ad hoc
Les membres de ces comités doivent agir dans le respect des Règles de gouvernance adoptées par l’Ordre
2.4. Responsable de la protection des renseignements personnels
2.5. Comité sur l’accès à l’information et la protection des renseignements personnels
2.6. Personnel administratif
2.7. Bureau du Syndic
- Protection des renseignements personnels
- Demande d’accès ou de rectification des renseignements personnels
- Plainte relative à la protection des renseignements personnels
- Formation et sensibilisation
- Sondage
- Mise à jour des Règles de gouvernance
Des questions ?
1. Contexte et Champ d’application
En vertu du cadre juridique applicable à la protection des renseignements personnels, l’Ordre des agronomes du Québec (ci-après « Ordre », « nous ») a adopté des règles encadrant la gouvernance à l’égard des renseignements personnels que nous collectons auprès de nos membres, des candidats à la profession, de nos employés ou de toute autre personne auprès de qui nous recueillons de tels renseignements. (« Règles de gouvernance »)
Par « renseignement personnel », nous entendons tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier. Il en va ainsi, par exemple :
- Renseignements d’identification : adresse, numéro de téléphone, sexe, âge, numéro d’assurance sociale, numéro d’assurance maladie, etc.
- Renseignements de santé : dossier médical, diagnostic, ordonnance, etc.
- Renseignements financiers : numéro de compte bancaire ou de carte de crédit, revenu, etc.
- Renseignements en lien avec l’emploi : dossier disciplinaire, absence, salaire, dates de vacances, évaluation de rendement, etc.
- Renseignements scolaires : curriculum vitae, diplômes, inscription à des cours, résultats scolaires, etc.
- Renseignements liés à la situation familiale : état civil, personne(s) à charge, etc.
Il convient de préciser que certains renseignements ont un caractère public en vertu des articles 108.6 à 108.8 du Code des professions et, par conséquent ne sont pas confidentiels.
Les présentes Règles de gouvernance décrivent la manière dont nous protégeons les renseignements personnels que nous détenons, et ce, tout au long de leur cycle de vie. Elles doivent s’interpréter à la lumière des lois et règlements applicables en la matière, lesquels ont préséance en cas de conflits.
Elles s’appliquent aux différentes composantes de l’Ordre, soit notamment ses administrateurs, les membres de comité et autres titulaires de fonctions et son personnel.
Les Règles de gouvernance n’ont pas pour effet de compromettre :
- l’exercice, par un syndic de l’Ordre, des responsabilités spécifiques qu’il lui appartient d’exercer en matière d’accès aux documents et de protection des renseignements personnels en vertu de l’article 108.5 du Code des professions;
- l’exercice des différentes responsabilités de l’Ordre en matière de protection du public, notamment en ce qui concerne celles du Conseil d’administration, d’un syndic, du comité de révision, du conseil d’arbitrage des comptes, du comité d’inspection professionnelle, etc.;
- l’exercice du droit de gérance de l’Ordre à l’égard de ses ressources humaines, matérielles et financières.
Elles ne sont pas applicables à toute assignation, à tout mandat ou à toute ordonnance que pourraient notamment émettre le conseil de discipline de l’Ordre, le Tribunal des professions ou une autre autorité juridictionnelle relativement à la communication de documents ou de renseignements détenus par l’Ordre.
- Charte des droits et libertés de la personne, RLRQ, c. C-12
- Code des professions, RLRQ, c. C-26
- Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ, c. A-2.1
- Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1
- Code civil du Québec, RLRQ, c. C-1991
2. Rôles et responsabilités organisationnelles
Comme tous les ordres professionnels, l’Ordre a pour principale fonction d’assurer la protection du public. Pour réaliser cette mission, l’Ordre se compose de plusieurs instances qui veillent, eu égard à leurs rôles et responsabilités, à assurer la protection des renseignements personnels détenus par l’Ordre.
2.1. Conseil d’administration
Le Conseil d’administration est chargé de la surveillance générale de l’Ordre ainsi que de l’encadrement et de la supervision de la conduite des affaires de l’Ordre. À cette fin, il voit à l’intégrité des règles de contrôle interne, dont celles de gestion des risques, et assure la viabilité et la pérennité de l’Ordre notamment en imposant à ses membres et aux employés de l’Ordre l’obligation de prêter le serment de discrétion, de suivre une formation en matière de gouvernance et d’éthique.
2.2. Direction générale
Afin de remplir sa mission, l’administration générale et courante des affaires de l’Ordre est assurée par la Direction générale qui planifie, organise, dirige, contrôle et coordonne les ressources humaines, financières, matérielles et informationnelles de l’Ordre.
2.3. Comités statutaires et ad hoc
Conformément au Code des professions, l’Ordre a mis en place plusieurs comités qui l’accompagne dans la réalisation de ses activités, dont notamment :
- Comité de gouvernance
- Comité d’admission et d’équivalence
- Comité d’inspection professionnelle
- Conseil de discipline
- Comité d’enquête à l’éthique et à la déontologie
- Comité de révision
- Comité des finances, d’audit et des ressources humaines
Les membres de ces comités doivent agir dans le respect des Règles de gouvernance adoptées par l’Ordre, mais aussi du cadre juridique applicable à la protection des renseignements personnels.
2.4. Responsable de la protection des renseignements personnels
En vertu du Code des professions, le président de l’Ordre exerce les fonctions de responsable de la protection des renseignements personnels. Il peut néanmoins déléguer, en tout ou en partie, cette fonction au secrétaire de l’Ordre ou un membre de son personnel de direction.
Au sein de l’Ordre, la fonction de responsable de la protection des renseignements personnels est assurée par la secrétaire.
Le responsable de la protection des renseignements personnels a pour responsabilité de veiller au respect et à la mise en œuvre des politiques et pratiques encadrant la gouvernance de l’Ordre à l’égard des renseignements personnels qu’il détient, et ce, afin de répondre aux exigences découlant du cadre juridique applicable en la matière.
À ce titre, avec le Comité sur l’accès à l’information et la protection des renseignements personnels, il conseille la direction de l’Ordre en matière de protection des renseignements personnels. Il doit également, entre autres,
- Être consulté à toute étape d’une évaluation des facteurs relatifs à la vie privée d’un projet visant un système d’exploitation ou de prestation électronique de services impliquant des renseignements personnels ;
- Être consulté lors de l’évaluation du risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de confidentialité ;
- Tenir les registres de communications de renseignements personnels, incluant en cas d’incident de confidentialité ;
- Répondre aux demandes d’accès aux renseignements personnels et, le cas échéant, aux demandes de rectification et, il doit aussi prêter assistance au demandeur à comprendre la décision de lui refuser – en tout ou en partie – l’accès ou la rectification d’un renseignement personnel ;
- Mettre en place des formations, des mécanismes de sensibilisation à la protection des renseignements personnels au sein de l’Ordre ;
- Répondre aux demandes de la Commission d’accès à l’information
2.5. Comité sur l’accès à l’information et la protection des renseignements personnels (si applicable)
L’Ordre a mis en place un Comité sur l’accès à l’information et la protection des renseignements personnels (« Comité AIPRP ») pour le soutenir dans l’exercice de ses responsabilités et dans l’exécution des obligations auxquelles il est assujetti en vertu du cadre juridique applicable à la protection des renseignements personnels.
Le Comité AIPRP doit notamment :
- Approuver les règles de gouvernance;
- Être consulté, dès le début du projet et aux fins de l’évaluation des facteurs relatifs à la vie privée, pour tous projets visant un système d’exploitation ou de prestation électronique de services impliquant des renseignements personnels.
2.6. Personnel administratif
Le personnel administratif de l’Ordre peut, dans l’exercice de ses fonctions, avoir accès aux renseignements personnels détenus par l’Ordre. À ce titre, le personnel de l’Ordre doit
- Respecter les règles que nous avons adoptées quant à la protection des renseignements personnels, et ce, tout au long de leur cycle de vie;
- Prêter un serment de discrétion aux fins de l’exercice de leurs fonctions;
- Participer aux activités de formation et de sensibilisation mises à leur disposition par l’Ordre.
2.7. Bureau du Syndic
Le Bureau du syndic veille à ce que les membres de l’Ordre respectent le Code des professions, mais aussi les lois et règlements applicables à la profession. À ce titre, il peut enquêter sur toute allégation d’inconduite professionnelle. Il offre également au public et aux membres de l’Ordre des services d’information et de prévention visant à favoriser la bonne conduite professionnelle des membres.
3. Protection des renseignements personnels
La protection des renseignements personnels tient une place importante au sein de l’Ordre et nous prenons les mesures nécessaires pour faire en sorte que l’ensemble des membres du personnel de l’Ordre, incluant les administrateurs et la direction, adopte une attitude responsable tout au long du cycle de vie des renseignements personnels.
À ce titre, l’Ordre s’assure :
- De ne collecter que les renseignements personnels nécessaires à la réalisation de ses activités;
- D’informer les personnes auprès de qui des renseignements personnels sont collectés des finalités de la collecte;
- D’obtenir le consentement des personnes concernées quant à l’utilisation et la communication à des tiers de leurs renseignements personnels;
- D’utiliser et de communiquer les renseignements personnels que dans limites prescrites par le cadre juridique applicable en la matière;
- De prendre les mesures de sécurité propres à assurer la protection des renseignements personnels compte tenu de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. Pour ce faire, l’Ordre veille avec l’aide de fournisseurs de services à mettre en place des normes de sécurité généralement reconnues dans le domaine et celles-ci sont révisées périodiquement pour s’assurer qu’elles sont bien appliquées, qu’elles sont encore pleinement efficaces et qu’elles conviennent toujours compte tenu de l’évolution de nos systèmes et des technologies de l’information;
- De prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé aux personnes dont les renseignements personnels sont visés par un incident de confidentialité et éviter qu’un incident de même nature ne se produise. Pour ce faire l’Ordre a adopté un plan de gestion pour répondre à ce type d’incident, incluant un registre de ceux-ci;
- De prendre des mesures raisonnables afin de respecter les exigences en matière de conservation des renseignements personnels, incluant la destruction, l’anonymisation et la dépersonnalisation de ceux-ci conformément aux exigences du Code des professions et du cadre juridique applicable en la matière.
- D’ajouter une référence à la politique de gestion documentaire, au plan de classification et au calendrier de conservation.
4. Demande d’accès ou de rectification des renseignements personnels
Si une personne souhaite connaître les renseignements personnels que l’Ordre détient sur elle ou encore si elle veut procéder à une rectification de ceux-ci, elle doit s’adresser par écrit au responsable de la protection des renseignements personnels à l’adresse suivante : acces-information@oaq.qc.ca.
Ordre des agronomes du Québec
450-1200, avenue Papineau
Montréal (Québec) H2K 4R5
5. Plainte relative à la protection des renseignements personnels
Advenant le cas où une personne souhaite déposer une plainte quant à la protection que l’Ordre accorde aux renseignements personnels qu’il détient, celle-ci peut le faire en contactant le responsable de la protection des renseignements personnels par courriel à l’adresse acces-information@oaq.qc.ca et joindre le formulaire dûment rempli à cet effet. Cliquez ici pour télécharger le formulaire.
La plainte doit contenir les éléments suivants :
- Identification du plaignant : nom, coordonnées postale, électronique et téléphonique ;
- Objet et motif de la plainte – la plainte doit suffisamment être précise, dans le cas contraire le responsable de la protection des renseignements personnels pourra communiquer avec le plaignant pour obtenir toute information supplémentaire afin d’être en mesure d’évaluer la plainte.
Le responsable de la protection des renseignements personnels doit, avec diligence et au plus tard dans les 30 jours qui suivent la réception de la plainte :
- Envoyer, par écrit, un accusé de réception au plaignant ;
- Analyser la recevabilité de la plainte :
- Si la plainte vise un membre de l’Ordre, transmettre la plainte aux comités appropriés (discipline, inspection professionnelle, pratique illégale, par ex.) ou au Bureau du syndic ;
- Si la plainte vise un administrateur, un membre de la direction ou du personnel administratif de l’Ordre tenir compte des processus pouvant résulter notamment du Code des professions, du Règlement sur les normes d’éthique et de déontologie des administrateurs du Conseil d’administration d’un ordre professionnel (RLRQ, chapitre C-26, r. 6.1) ou de tout autre règlement ou code applicables à la personne visée par la plainte.
- Obtenir la collaboration des administrateurs, membres de la direction ou du personnel administratif de l’Ordre pour traiter la plainte et, le cas échéant, faire appel à des ressources externes ;
- Répondre, par écrit, au plaignant. La réponse doit :
- Être motivée ;
- Indiquer, le cas échéant, les mesures correctives prises pour modifier les pratiques et procédures visées par la plainte si celle-ci est jugée recevable ;
- Indiquer le recours qui s’offre au plaignant si celui-ci entend contester la décision prise et les délais dans lesquels ils peuvent être exercés.
- Le recours doit être transmis à l’adresse suivante : acces-information@oaq.qc.ca
Le responsable de la protection des renseignements personnels doit tenir un dossier pour chacune des plaintes reçues. Ce dossier doit contenir la plainte, l’analyse qui a été réalisée, la réponse transmise au plaignant et, le cas échéant, les mesures correctives qui ont été prises et les documents au soutien de la plainte.
6. Formation et sensibilisation
L’Ordre s’est doté d’une stratégie de formation et de sensibilisation en matière de protection des renseignements personnels afin que les membres du personnel de l’Ordre, mais aussi les administrateurs et la direction acquièrent et développent les connaissances et les réflexes en ce domaine. À ce titre, l’Ordre rend disponible à tous, notamment :
- des activités de formation et de sensibilisation;
- de la documentation produite à l’interne ou par des instances externes comme le Conseil interprofessionnel du Québec.
7. Sondage
Lorsque l’Ordre réalise lui-même ou lorsqu’il confie un mandat à l’externe pour réaliser un sondage impliquant des renseignements personnels, il procède au préalable, avec le concours du Comité d’accès à l’information et la protection des renseignements personnels responsable de la protection des renseignements personnels, à une évaluation :
- de la nécessité de recourir à un sondage;
- des mesures à prendre pour assurer la sécurité des renseignements personnels recueillis ou utilisés lors du sondage, incluant le fait :
- de conclure une entente avec l’entité externe qui réalise le sondage pour le compte de l’Ordre;
- de prévoir les informations à transmettre aux personnes sondées, par exemple, indiquer que le sondage est réalisé par ou pour le compte de l’Ordre, des objectifs du sondage, des fins pour lesquelles des renseignements personnels sont recueillis, des catégories de personnes qui y auront accès, du caractère facultatif de participer au sondage, des recours offerts aux répondants et de la personne auprès de qui ils peuvent être exercés;
- de mettre en place des mécanismes pour s’assurer que les renseignements personnels recueillis dans le cadre du sondage soient détruits ou anonymisés dès que les finalités du sondage sont réalisées;
- de l’aspect éthique du sondage compte tenu, notamment, de la nature du sondage, des personnes visées, de la sensibilité des renseignements personnels recueillis et de la finalité de leur utilisation.
8. Mise à jour des Règles de gouvernance
L’Ordre, par le biais de son Comité d’accès à l’information et la protection des renseignements personnels, le responsable de la protection des renseignements personnels, veille à réviser les présentes Règles de gouvernance tous les ans ou plus rapidement lors de modifications législatives.
La prochaine révision aura lieu en février 2025.
Des questions ?
On peut communiquer avec le responsable de la protection des renseignements personnels à l’adresse suivante : acces-information@oaq.qc.ca.