Loi 25 – Protection des renseignements personnels
L'affaire de toutes et tous!
Pour accomplir leur mission, les centres de services scolaires collectent des renseignements personnels des élèves, des parents et des membres du personnel.
Selon la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, les centres de services scolaires ont l’obligation de protéger les renseignements personnels qu’ils collectent. C’est une question de respect de la vie privée!
Ces 10 capsules vidéo interactives servent d’introduction à la protection des renseignements personnels au sein des centres de services scolaires.
Cette documentation interne plus détaillée vous permet de mieux connaitre les bonnes pratiques suivies au CSSC :
- Politique de confidentialité
- Politique d’utilisation des technologies de l’information au CSSC
- Politique sur la sécurité de l’information
La personne-ressource à contacter pour toute question concernant les renseignements personnels est Érick Parent, par courriel à sg@cssc.gouv.qc.ca
Qu'est-ce qu'un renseignement personnel?
Un renseignement personnel est défini très largement : C’est un renseignement qui permet d’identifier une personne physique directement ou indirectement.
Les renseignements personnels sont notamment liés à la formation, à la situation sociale et familiale, à la santé, aux finances et au travail.
En voici quelques exemples :
- Adresse courriel
- Numéro de téléphone
- Résultats scolaires
- Motifs d’absence
- Photographies
- Numéro d’assurance sociale
- Code permanent
- Renseignements médicaux
- Date de naissance
- Images de caméras de surveillance
Pour plus d’exemples de renseignements personnels, consultez le site Web de la Commission d’accès à l’information du Québec et l’article Web d’Éducaloi à ce sujet.
Des principes à chaque étape du cycle de vie
Le renseignement personnel a un cycle de vie qui commence au moment où il est collecté par le centre de services scolaire, jusqu’à ce qu’il soit détruit.
À chaque étape du cycle de vie, les membres du personnel du CSSC ont des obligations à respecter et de bonnes pratiques à suivre pour protéger les renseignements personnels. Ils doivent notamment :
- agir avec prudence;
- être attentif / attentive aux risques;
- se rappeler que les renseignements personnels qu’ils manipulent sont précieux.
Collecter les renseignements nécessaires seulement
L’objectif de la collecte
Avant de collecter des renseignements personnels, les membres du personnel doivent déterminer pourquoi ils en ont besoin. En d’autres mots, ils doivent identifier l’objectif de la collecte. Cet objectif doit être légitime et sérieux, considérant la mission du Centre de services scolaire.
Les renseignements réellement nécessaires
Les membres du personnel doivent par la suite identifier les renseignements qui sont réellement nécessaires pour atteindre leurs objectifs.
Attention! Plus il y a de renseignements qui circulent sur une personne, plus le risque est élevé de ne pas respecter sa vie privée.
Limiter l'accès aux renseignements personnels
Les renseignements personnels ne doivent pas circuler librement au Centre de services scolaire. Les membres du personnel devraient avoir accès à un renseignement personnel uniquement si ce renseignement personnel est pertinent dans le cadre de leur travail.
Les renseignements personnels doivent être conservés en lieu sûr, par exemple, dans un dossier sécurisé.
Obtenir un consentement valide
Pour collecter, utiliser et communiquer des renseignements personnels d’une personne, il faut obtenir son consentement valide.
Pour être valide, le consentement doit notamment être éclairé, c’est-à-dire donné en toute connaissance de cause. Quand un renseignement personnel est collecté par un membre du personnel, ce dernier doit entre autres dire à la personne pour quel objectif ce renseignement personnel est demandé.
Si le renseignement personnel doit être utilisé pour un autre objectif que celui qui a été annoncé, le membre du personnel doit généralement obtenir un nouveau consentement de la personne pour ce autre objectif.
Exemple: Lors de l’inscription d’un élève, le Centre de services scolaire recueille l’adresse courriel personnelle du parent pour lui transmettre des communications en lien avec la scolarité de son enfant. Pour envoyer à ce parent de la publicité sur les programmes de formation professionnelle du Centre de services scolaire, il faudrait obtenir un nouveau consentement pour cet autre objectif.
C’est la même chose pour la communication de renseignements personnels à des tiers, c’est-à-dire des personnes en dehors du Centre de services scolaire. Sauf exception prévue par la loi, il faut obtenir le consentement de la personne concernée.
Exemple: Il faudra en principe obtenir le consentement du membre du personnel concerné pour lui transmettre ses renseignements sur sa paie à une firme chargée d’évaluer sa qualification pour un prêt.
Les renseignements des personnes mineures
Les renseignements personnels doivent être recueillis directement auprès de la personne concernée. Il y a toutefois des exceptions, notamment pour les personnes mineures.
Pour les moins de 14 ans
En principe, le consentement peut être donné par le titulaire de l’autorité parentale (généralement, les parents) ou le tuteur. Dans certaines circonstances exceptionnelles, les renseignements personnels peuvent être recueillis directement auprès de la personne mineure de moins de 14 ans.
Pour les 14 ans et plus
Le consentement peut être donné par la personne mineure elle-même, le titulaire de l’autorité parentale (généralement, les parents) ou le tuteur. Le titulaire de l’autorité parentale ou le tuteur d’une personne mineure peut aussi consulter le dossier scolaire de la personne mineure.
Les incidents de confidentialité
Malgré les précautions prises, il se peut que des incidents de confidentialité surviennent, par exemple :
- Envoyer un courriel avec des informations sur un élève à la mauvaise personne;
- Perdre des données à la suite d’une cyberattaque;
- Laisser un dossier ouvert à la vue de tout le monde.
Si un membre du personnel a connaissance d’un tel incident, il doit le signaler rapidement en :
- Déclarant immédiatement l’incident au centre de soutien informatique (CSI) au moyen du système de billets C2 Atom
- Informer son supérieur immédiat, lequel contactera les personnes responsables de la protection des renseignements personnels qui effectueront les démarches requises. Au Centre de services scolaire de la Capitale, ces personnes sont :
- Érick Parent, secrétaire général, directeur de la gouvernance de l’information et des communications et Responsable de la protection des renseignements personnels
- Francis Bélanger, directeur des Services de l’informatique et Chef de la sécurité de l’information organisationnelle
Les membres du personnel doivent signaler tous les incidents de confidentialité, qu’il s’agisse d’un courriel qui semble inoffensif ou bien de renseignements très sensibles.
Droits et recours
Toute personne dont les renseignements personnels sont manipulés peut poser des limites et faire valoir ses droits. Par exemple, elle peut demander au Centre de service scolaire de lui transmettre les renseignements détenus à son sujet ou encore de mettre à jour ou de corriger des renseignements à son dossier.
Pour faire valoir ses droits, il faut s’adresser à la personne responsable de la protection des renseignements personnels au sein du CSSC, Érick Parent, via le formulaire suivant, en cochant l’option « Demande de rectification ».
Les coordonnées des personnes responsables se retrouvent sur le site Web de la Commission d’accès à l’information et sur le site Web du CSS.
Si une personne soupçonne que le CSSC ne se conforme pas à la loi, elle peut lui faire part de ses préoccupations.
Elle peut aussi porter plainte à la Commission d’accès à l’information.