Politique de confidentialité et conditions d’utilisation

Table des matières

1. Préambule
2. Définitions
3. Responsabilités
4. Renseignements personnels recueillis
5. Utilisation
6. Communication
7. Site internet
8. Protection et conservation
9. Destruction
10. Évaluation des facteurs relatifs à la vie privée
11. Incidents de confidentialité
12. Plaintes
13. Demandes d'accès ou de rectification
14. ANNEXE 1

1. Préambule
   1. La Loi sur la protection des renseignements personnels dans le secteur privé établit des règles particulières applicables à l'égard des renseignements personnels et leur gestion.
   2. En conformité avec cette Loi, la présente Politique précise le cadre de gouvernance applicable en ce qui concerne la gestion des renseignements personnels tout au long de leur cycle de vie.
   3. Elle vise à assurer le respect des obligations légales auxquelles doit se conformer le SPIHQ et elle décrit les engagements et les mesures qu'il met en place pour encadrer la confidentialité et la disponibilité des renseignements personnels qu'il traite.
2. Définitions
   1. Employé(e) : Toute personne couverte par une accréditation syndicale ou non, travaillant pour l'employeur (SPIHQ) moyennant rémunération.
   2. Renseignement personnel : Tout renseignement qui concerne une personne physique et qui permet de l'identifier, directement ou indirectement, au sens de la Loi sur la protection des renseignements personnels dans le secteur privé
   3. Toutefois, sauf en ce qui a trait au droit d'accès et de rectification d'une personne, cela n'inclut pas les renseignements concernant l'exercice d'une fonction par une personne au sein d'une entreprise ou d'un organisme public tel que son nom, sa fonction, de même que l'adresse, l'adresse de courrier électronique et le numéro de téléphone de son lieu de travail.
3. Responsabilités
   1. Le SPIHQ est responsable de protéger les renseignements personnels qu'il collecte, utilise, communique ou détruit, quel qu'en soit le support.
   2. Pour ce faire, il met en œuvre des politiques et des pratiques pour respecter ses obligations en matière de protection des renseignements personnels.
   3. Le SPIHQ s'assure de bien encadrer et de bien expliquer l'importance et la portée de la présente Politique à ses employé(e)s et à ses militant(e)s.
   4. La personne responsable de la protection des renseignements personnels est chargée du respect et de la mise en œuvre de la présente Politique. Au SPIHQ, cette fonction est déléguée au secrétaire du SPIHQ.
   5. Elle veille aussi à assurer le suivi des changements législatifs et à suggérer des mises à jour des politiques et pratiques du SPIHQ, au besoin.
   6. Cette personne propose le contenu des politiques et pratiques relatives à la protection des renseignements personnels.
   7. Au besoin, la personne responsable de la protection des renseignements personnels peut faire rapport à l'assemblée générale annuelle des efforts déployés pour se conformer à la présente Politique et assurer la protection des renseignements personnels.
   8. Tout(e) employé(e), comme condition d'emploi, doit signer la Convention relative à la confidentialité (en annexe) dans leur documentation initiale au moment de l'embauche et à tout moment, par la suite, lorsqu'une version mise à jour exige une signature.
   9. Tout(e) militant(e), comme condition d'implication syndicale, doit signer la Convention relative à la confidentialité (en annexe) dans la documentation initiale au moment de son implication syndicale et à tout moment, par la suite, lorsqu'une version mise à jour exige une signature. Cette Convention vient s'ajouter à l'engagement en vertu du Code d'éthique du SPIHQ que tout(e) militant(e) doit signer.
   10. Le non-respect de cette Convention signée peut conduire à des mesures disciplinaires que le SPIHQ se réserve le droit d'appliquer, en fonction de la situation et pouvant aller jusqu'à la fin immédiate du mandat d'un(e) militant(e).
   11. Les responsabilités se rattachant à la confidentialité des renseignements personnels demeurent en vigueur même lorsque l'emploi ou le mandat a pris fin.
   12. Le SPIHQ, ses employé(e)s et ses militant(e)s veillent à ce qu'un renseignement personnel soit uniquement accessible à une personne si les renseignements sont nécessaires à l'exercice de ses fonctions.
4. Renseignements personnels recueillis
   1. Le SPIHQ collecte et détient des renseignements personnels nécessaires à l'accomplissement de sa mission et de ses activités.
   2. À cet effet, il collecte et détient notamment des renseignements personnels :
      • Afin de communiquer avec les ingénieurs(e)s qu'il représente ou afin de les représenter dans leur relation de travail avec l'employeur, lors de l'arbitrage d'un grief ou lors de la négociation d'une entente;
      • Afin de communiquer ou représenter, dans certains cas, un(e) ingénieur(e) qui n'est plus à l'emploi d'Hydro-Québec, tel un(e) retraité(e);
      • Afin de donner un avis officiel aux membres sur l'applicabilité, l'administration ou l'interprétation de la Convention collective;
      • À des fins fiscales et pécuniaires, telles que remboursement de dépenses, indemnités, jetons de présence ou autres;
      • Pour toute autre activité, dans l'intérêt des membres.
   3. Le SPIHQ collecte et détient des renseignements personnels sur ses employé(e)s dans le cadre de ses activités organisationnelles et afin de remplir ses obligations à titre d'employeur, entre autres :
      • Afin d'évaluer une personne sur son expérience, ses antécédents professionnels (CV) et ses références;
      • Afin de communiquer avec un(e) employé(e);
      • Afin de procéder aux traitements individuels de la rémunération, les impôts, les avantages sociaux, les dépôts automatisés, les remboursements de dépenses, etc.;
      • Pour toute autre activité, dans l'intérêt de ses employé(e)s.
   4. Le SPIHQ collecte et détient aussi des renseignements personnels d'autres personnes, tel que des personnes qui pourraient volontairement fournir des informations et agir à titre de témoin dans le cadre d'un arbitrage de grief ou un recours auprès des tribunaux.
   5. Le SPIHQ recueille les renseignements personnels auprès de la personne concernée à moins que la personne consente à la cueillette auprès de tiers ou que la Loi permette la collecte auprès de tiers.
   6. Le SPIHQ collecte auprès d'Hydro-Québec les renseignements personnels qui sont nécessaires pour l'application de la Convention collective.
   7. Le SPIHQ, avant de collecter un renseignement personnel, doit déterminer les fins de la collecte. La personne qui effectue la collecte ne recueille que les renseignements nécessaires aux fins déterminées.
5. Utilisation
   1. Le SPIHQ n'utilisera les renseignements personnels obtenus que pour les fins pour lesquelles ils ont été collectés, sauf lorsque la personne consent ou que la Loi l'oblige ou l'autorise à utiliser les renseignements personnels pour une autre fin.
   2. La Loi sur la protection des renseignements personnels dans le secteur privé permet notamment au SPIHQ d'utiliser un renseignement personnel à d'autres fins que celles prévues et sans le consentement de la personne concernée, dans les cas suivants :
      1. L'utilisation est à des fins compatibles avec celles pour lesquelles le renseignement a été recueilli;
      2. L'utilisation est manifestement au bénéfice de la personne concernée;
      3. L'utilisation est nécessaire à des fins de prévention et de détection de la fraude ou d'évaluation et d'amélioration des mesures de protection et de sécurité;
      4. L'utilisation est nécessaire à des fins de prestation d'un service demandé par la personne concernée;
      5. L'utilisation est nécessaire à des fins d'étude, de recherche ou de production de statistiques et il est dépersonnalisé. À cet effet, un renseignement est dépersonnalisé lorsqu'il ne permet plus d'identifier directement la personne concernée.
6. Communication
   1. Les renseignements personnels recueillis par le SPIHQ peuvent être communiqués au personnel œuvrant pour le SPIHQ et aux militant(e)s à qui il est nécessaire d'y avoir accès pour l'exercice de leurs fonctions.
   2. Le SPIHQ ne communique pas les renseignements personnels qu'il détient à un tiers à moins que la personne visée n'y consente ou qu'une des situations d'exceptions prévues par la Loi s'applique.
   3. À cet effet, certaines dispositions législatives permettent une communication d'un renseignement personnel, sans consentement de la personne visée, par exemple :
      • Si la communication permet de prévenir un acte de violence (suicide, mort ou blessures graves), qui menace une personne ou un groupe de personnes identifiable;
      • Si la communication est nécessaire dans le cadre d'une loi applicable au Québec ou pour l'application d'une convention collective.
   4. Si la cause requiert la présence d'un procureur, les renseignements personnels leur seront également fournis afin d'établir et de fournir la meilleure représentation possible.
   5. Le SPIHQ peut communiquer des renseignements personnels à un tiers prestataire de service, notamment pour exécuter certaines tâches ou fournir des services, tels des services de stockage et des services de gestion de bases de données.
   6. Pour réaliser son rôle, le SPIHQ peut également communiquer certains renseignements à d'autres parties tierces, notamment :
      • Renseignements communiqués à une institution financière afin de permettre le versement de fonds (paie, remboursement de dépenses, etc.) à un(e) militant(e) ou employé(e);
      • Renseignements financiers communiqués à une autorité gouvernementale afin de permettre l'émission de relevés pour fins d'impôts.
7. Site internet
   1. Toute navigation sur le site internet du SPIHQ est suivie par le biais de témoins de connexion (cookies). De plus, lorsqu'un membre se connecte dans la section restreinte du site internet, des informations sont suivies pour le Système de gestion des membres du SPIHQ (SGMS). Les utilisateurs peuvent télécharger un module complémentaire pour désactiver les témoins. L'accès à la section réservée aux membres du site internet du SPIHQ nécessite toutefois que les témoins soient activés.
   2. Une fenêtre informe les visiteurs du site web du SPIHQ de l'utilisation des témoins avec un lien vers la Politique de confidentialité du SPIHQ ainsi qu'un bouton permettant d'accepter celle-ci. Une fois acceptée, la fenêtre d'avertissement ne sera plus affichée. Les visiteurs qui n'acceptent pas explicitement la politique mais qui continuent de naviguer sur le site acceptent de façon implicite celle-ci.
   3. Pour accéder à la section restreinte du site internet, le membre doit accepter la politique par l'activation d'une case à cocher.
   4. Les informations recueillies incluent :
      • Les heures d'accès ;
      • Les pages consultées ;
      • Les liens qui ont été cliqués ;
      • Les téléchargements effectués ;
      • Les termes de recherche saisis ;
      • Les actions que effectuées en relation avec les pages visitées ;
      • Les informations relatives aux appareils, telles que l'adresse IP, l'emplacement, le type de navigateur et la langue ;
      • L'URL (Uniform Resource Locator) du site Web qui a renvoyé le visiteur vers le site Web du SPIHQ ;
      • L'URL visité en dehors de nos pages si un lien externe est cliqué.
   5. Nous pouvons également recueillir des informations lors de l'ouverture des courriels de notre part ou en cliquant sur des liens contenus dans ces courriels.
   6. Nous pouvons combiner les informations recueillies lors des interactions directes avec le SPIHQ avec des informations obtenues à partir d'autres sources tierces, telles que les données sur les appareils et l'utilisation provenant de tiers, y compris des fournisseurs d'analyse tels que Microsoft.
   7. Toutes les données recueillies sur notre site peuvent être utilisées de manière globale pour la recherche et le développement liés au site du SPIHQ et/ou pour son développement futur. Plus précisément, nous pouvons utiliser les informations recueillies à des fins telles que surveiller l'intérêt porté à nos services et adapter le contenu de notre site aux besoins des membres en collectant des informations sur leurs préférences à partir de l'analyse des modèles de pages consultées sur notre site ;
   8. Nous ne vendons pas les données personnelles à des tiers.
   9. Nous collaborons avec des tiers pour nous aider à fournir nos services. Ils peuvent avoir accès aux données personnelles telles qu'elles sont collectées par le site internet ou l'application, dans la mesure où cela est raisonnablement nécessaire pour effectuer les tâches contractuelles en notre nom. Nous signons des ententes contractuelles les obligeant à protéger les données personnelles, à ne les utiliser que pour nous fournir les services convenus, à ne pas les vendre et à ne pas les divulguer sans notre autorisation.
      • Nom du fournisseur de services : Microsoft Corp.
      • Objectif de l'entreprise : Fournisseur de services infonuagiques (Cloud)
      • Informations recueillies par le prestataire : Tout type de données
      • Emplacement des données : Canada
   10. Nous nous engageons à prendre les moyens raisonnables et conformes aux bonnes pratiques afin de protéger la sécurité de toutes les données personnelles que nous collectons et utilisons.
8. Protection et conservation
   1. Le SPIHQ prend des mesures de protection physiques, techniques ou administratives raisonnables afin de protéger les renseignements personnels contre toute forme illégale de traitement des renseignements personnels, tout au long de leur cycle de vie.
9. Destruction
   1. Sous réserve des délais de conservation prévus par la Loi, le SPIHQ détruit les renseignements personnels qu'il détient lorsque les fins pour lesquelles ils ont été recueillis ou utilisés sont accomplies.
   2. Le SPIHQ peut devoir conserver des renseignements personnels sur une longue période, selon le cas. À titre d'exemple, les dossiers disciplinaires, de griefs, de retraite ou d'invalidité doivent être conservés pour des durées suffisamment longues afin de s'assurer qu'il n'y ait pas de perte de droits pour la personne touchée.
   3. Lorsqu'un dossier contenant des renseignements personnels est prêt à être détruit, le SPIHQ s'engage à détruire ce dossier de façon sécuritaire.
   4. Au lieu de détruire un document, le SPIHQ peut aussi anonymiser les renseignements personnels qui y sont contenus en retirant les mentions permettant d'identifier une personne, s'il souhaite conserver certains éléments pour d'autres fins sérieuses et légitimes.
10. Évaluation des facteurs relatifs à la vie privée
    1. Le SPIHQ réalisera une évaluation des facteurs relatifs à la vie privée lorsque la Loi sur la protection des renseignements personnels dans le secteur privé l'exige, notamment :
       • Avant d'entreprendre un projet d'acquisition, de développement et de refonte de système d'information ou de prestation électronique de services impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels;
       • Avant de communiquer des renseignements personnels sans le consentement des personnes concernées à une personne qui souhaite utiliser ces renseignements à des fins d'étude, de recherche ou de statistique;
       • Avant de communiquer à l'extérieur du Québec un renseignement personnel.
    2. La personne responsable de la protection des renseignements personnels doit être consultée dans le cadre de ces évaluations.
    3. La réalisation d'une évaluation doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.
    4. La conclusion de l'évaluation doit être positive, sinon le SPIHQ ne doit pas procéder à la communication, à l'acquisition, au développement ou à la refonte qui a mené à l'évaluation.
    5. Le SPIHQ doit s'assurer que ce projet permette qu'un renseignement personnel informatisé recueilli auprès de la personne concernée soit communiqué à cette dernière, lorsqu'applicable, dans un format technologique structuré et couramment utilisé.
11. Incidents de confidentialité
    1. Tout incident touchant la confidentialité des renseignements qui sont confiés au SPIHQ doit être rapporté au bureau exécutif du SPIHQ et à la personne responsable de la protection des renseignements personnels dans les plus brefs délais afin de prendre les mesures qui s'imposent.
    2. Un incident de confidentialité survient lors de :
       • L'accès non autorisé par la Loi à un renseignement personnel;
       • L'utilisation non autorisée par la Loi d'un renseignement personnel;
       • La communication non autorisée par la Loi d'un renseignement personnel;
       • La perte d'un renseignement personnel ou toute autre atteinte à la protection d'un tel renseignement.
    3. Le SPIHQ tient un registre des incidents de confidentialité conformément à la Loi sur la protection des renseignements personnels dans le secteur privé et au Règlement sur les incidents de confidentialité. Une copie de ce registre sera transmise à la Commission d'accès à l'information à sa demande.
    4. Lorsque le SPIHQ a des motifs de croire qu'un incident de confidentialité impliquant un ou des renseignements personnels qu'il détient s'est produit, il doit prendre les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature se produisent.
    5. Si l'incident présente un risque qu'un préjudice sérieux soit causé, le SPIHQ doit, avec diligence, aviser la Commission d'accès à l'information ainsi que la personne concernée par l'incident, dans la mesure prévue à la Loi sur la protection des renseignements personnels et à ses règlements. Toutefois, la personne concernée n'a pas à être avisée tant que cela serait susceptible d'entraver une enquête par un organisme ou une personne qui, en vertu de la Loi, est chargée de prévenir, détecter ou réprimer le crime ou les infractions aux lois.
    6. Le cas échéant, le SPIHQ peut aussi aviser toute personne ou tout organisme susceptibles de diminuer ce risque, en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. Dans ce dernier cas, le responsable de la protection des renseignements personnels doit consigner la communication.
    7. L'évaluation du risque de préjudice prend en compte la sensibilité du ou des renseignements concernés, les conséquences appréhendées de son utilisation et la probabilité qu'il soit utilisé à des fins préjudiciables. La personne responsable de la protection des renseignements personnels doit être consultée pour cette évaluation.
12. Plaintes
    1. Les plaintes relatives à la protection des renseignements personnels doivent être soumises, par écrit, à la personne responsable de la protection des renseignements personnels.
    2. Lorsqu'une telle plainte est déposée, la personne responsable de la protection des renseignements personnels peut déléguer l'enquête sur les circonstances. Suite à l'enquête, la personne plaignante est informée des conclusions de l'enquête. Le cas échéant, la personne responsable de la protection des renseignements personnels peut formuler des recommandations au bureau exécutif permettant d'améliorer la protection des renseignements personnels.
    3. Selon les résultats de l'enquête et analyse, le SPIHQ s'engage, le cas échéant, à :
       • Rectifier ou retirer des accès;
       • Modifier les politiques et processus concernés et en informer les employé(e)s et militant(e)s;
       • Réaliser toute autre mesure jugée nécessaire.
13. Demandes d'accès ou de rectification
    1. Une personne peut effectuer une demande d'accès ou de rectification de ses renseignements personnels détenus par le SPIHQ.
    2. Une personne peut également effectuer une demande de rectification concernant un renseignement personnel détenu par le SPIHQ qui est inexact, incomplet, équivoque ou dont la conservation n'est pas autorisée.
    3. La demande d'accès ou de rectification doit être faite par écrit et transmise à la personne responsable de la protection des renseignements personnels du SPIHQ.
    4. Pour protéger les renseignements personnels qu'il détient, le SPIHQ peut demander à la personne soumettant une demande de fournir des preuves d'identité précises avant de procéder.
    5. La personne responsable de la protection des renseignements personnels doit répondre par écrit à la demande au plus tard dans les 30 jours suivants la date de réception de la demande. À défaut de répondre dans les 30 jours, la demande est réputée avoir été refusée.
    6. L'accès peut être refusé pour un des motifs prévus par la Loi, notamment si les renseignements personnels sont couverts par le secret professionnel ou encore si leur divulgation est susceptible de compromettre la santé ou la sécurité d'une personne.
    7. En matière d'accès, le SPIHQ se réserve le droit d'exiger des frais raisonnables au requérant pour la transcription, la reproduction ou la transmission des renseignements, selon les modalités prévues par la Loi.