1 Introduction
La présente politique de gouvernance des données définit les principes et les pratiques qui guident la collecte, l’utilisation et la gestion des données personnelles par le Réseau de milieux naturels protégés. Elle comprend les normes et les directives techniques et comportementales pour la qualité, l’intégrité, la sécurité, la confidentialité, la conformité, la conservation et l’archivage des données personnelles, peu importe l’emplacement ou le format des données.
2 Références et documents externes
- Aide-Mémoire : Résumé des nouvelles dispositions de la Loi 25 visant à protéger la vie privée des Québécois
- Le site internet de la commission d’accès à l’information
- La Loi fédérale sur la protection des renseignements personnels et les documents électroniques (LPRPDE)
3 Définitions
- Gouvernance des données personnelles: Ensemble des politiques, des normes, des procédures et des rôles pour gérer les données personnelles de manière responsable et éthique.
- Données : Ensemble des données détenues et utilisées par l’organisation, incluant sans s’y limiter, les données personnelles et professionnelles.
- Données personnelles : renseignements personnels qui portent sur une personne physique et permettent de l’identifier. Ils sont confidentiels. Sauf exception, ils ne peuvent être communiqués sans le consentement de la personne concernée. Cette définition exclut les données professionnelles.
- Données professionnelles : renseignements et coordonnées relatifs aux contacts d’affaires : employeur, fonction, coordonnées professionnelles (adresse courriel, adresse de l’entreprise, numéro de téléphone professionnel, etc.)
4 Rôles et responsabilités
4.1 Le conseil d’administration
Le conseil d’administration a la responsabilité de superviser la gouvernance des données et de s’assurer que l’organisation utilise les données de manière responsable, éthique et sécurisée.
Responsabilités :
4.1.1 Le conseil d’administration doit s’assurer que des politiques encadrant la gestion des données personnelles sont mises en place au sein de l’organisme et doit s’assurer que les ressources nécessaires sont allouées à leur mise en œuvre.
4.1.2 Évaluer les risques liés aux données personnelles : Le conseil d’administration doit comprendre les risques liés à la collecte, au stockage et à l’utilisation des données de l’organisation et s’assurer que des mesures adéquates sont mises en place pour les atténuer.
4.1.3 Surveiller la conformité réglementaire : Le conseil d’administration doit s’assurer que l’organisation est en conformité avec les lois et les règlements en matière de protection des données. Il doit également surveiller les développements réglementaires et s’assurer que l’organisation s’adapte en conséquence.
4.1.4 Assurer la transparence et la responsabilité : Le conseil d’administration doit s’assurer que les politiques de gouvernance des données personnelles de l’organisation sont clairement communiquées à tous les employés, parties prenantes et autres personnes concernées. Il doit également s’assurer que l’organisation est responsable de la gestion de ses données et est transparente dans ses activités liées aux données personnelles.
4.2 Responsable de la gouvernance des données
Le responsable de la gouvernance des données est chargé de superviser et de garantir que l’organisme se conforme aux lois et réglementations applicables en matière de protection des données personnelles. Il est également responsable de sensibiliser les employés de l’organisation à l’importance de la protection des données et de mettre en place des politiques et des procédures pour assurer une saine gestion des données au sein de l’organisme.
Par défaut, le responsable de la gouvernance des données est la personne occupant la direction générale de l’organisation. Ce pouvoir peut être délégué par écrit à une personne disposant des compétences requises et un pouvoir décisionnel important.
Responsabilités :
4.2.1 Surveiller la conformité réglementaire de l’OBNL aux lois et réglementations applicables en matière de protection des données, notamment la Loi 25 du Québec qui vise la protection des renseignements personnels.
4.2.2 Élaborer des politiques et des procédures pour assurer la protection des données personnelles de l’organisation. Ces politiques et procédures peuvent inclure des politiques de confidentialité, des procédures de contrôle d’accès et des protocoles de gestion des incidents.
4.2.3 Évaluer les risques liés à la collecte, au stockage et à l’utilisation des données de l’organisation et mettre en place des mesures pour les atténuer.
4.2.4 S’assurer que les mesures de sécurité appropriées sont en place pour protéger les données contre les accès non autorisés, les pertes ou les altérations.
4.2.5 Sensibiliser le personnel de l’organisation à l’importance de la protection des données personnelles et leur fournir des formations régulières pour s’assurer que les employés comprennent leur rôle dans la protection de la vie privée des personnes concernées.
4.2.6 Gérer les demandes d’exercice de droits des personnes concernées, telles que le droit d’accès, de rectification ou de suppression de leurs données personnelles.
4.3 Créateurs de données personnelles
Les créateurs de données sont responsables de la collecte de données en utilisant des méthodes valides et fiables. Ils doivent s’assurer que les données collectées sont pertinentes pour les objectifs de l’organisation.
Les responsables de la création de données sont les chargés de projets pour les projets où la collecte des données est nécessaire.
Responsabilités :
4.3.1 S’assurer du respect des normes de confidentialité en matière de données et garantir que les données sont stockées et gérées de manière sécurisée.
4.3.2 Documenter les données de manière complète et précise.
4.3.3 Respecter les politiques de l’OBNL en matière de données, en veillant à ce que les données soient utilisées de manière responsable et appropriée et en garantissant que les données sont partagées de manière responsable et conforme aux lois et règlements applicables.
4.4 Utilisateur de données
Les utilisateurs doivent utiliser les données personnelles de manière responsable et appropriée, conformément aux lois et règlements applicables et aux politiques de l’OBNL en matière de données. Ils doivent également respecter les droits de confidentialité des personnes dont les données sont collectées.
Responsabilités :
4.4.1 Protéger les données contre l’accès non autorisé, la divulgation ou la perte en utilisant des mesures de sécurité appropriées.
4.4.2 Signaler tout problème lié aux données, y compris les violations de données ou les préoccupations de sécurité, au responsable de la gouvernance des données de l’organisme.
4.4.3 Respecter les politiques de l’OBNL en matière de données, en veillant à ce que les données soient utilisées de manière responsable et appropriée et en garantissant que les données sont partagées de manière responsable et conforme aux lois et règlements applicables.
5 Directives
Cette section énonce les principes qui guident la gestion des données personnelles par le Réseau de milieux naturels protégés. Lors du développement de nouveaux projets ou de la collecte de nouvelles données, il est indispensable de s’y référer.
5.1 Sécurité
L’utilisation personnelle des données du Réseau de milieux naturels protégés, y compris les données dérivées, dans n’importe quel format et à n’importe quel endroit, est interdite.
Les dossiers stockés dans un format électronique doivent être protégés par des mesures de protection électroniques appropriées et/ou des contrôles d’accès physique qui restreignent l’accès uniquement aux utilisateurs autorisés. De même, les données de l’entreprise (bases de données, etc.) doivent être stockées d’une manière qui limitera l’accès uniquement aux utilisateurs autorisés.
Par exemple, les données du Répertoire des sites de conservation volontaire doivent être accessibles aux seuls employés travaillant sur ce projet.
Cette politique s’applique aux documents de tous formats (papier, numérique ou audiovisuel), qu’ils soient des fichiers enregistrés, des documents de travail, des documents électroniques, des courriels, des transactions en ligne, des données conservées dans des bases de données, sur bande, sur disque, des cartes, des plans, des photographies, des enregistrements sonores et vidéos.
5.2 Rétention des données personnelles
Toutes les données personnelles sont conservées conformément à nos obligations légales ou aussi longtemps que nécessaire pour parvenir aux fins pour lesquelles elles ont été recueillies et pour respecter les obligations légales de l’organisme. Le délai de rétention est calculé à partir de la date de la dernière mise à jour.
5.3 Sauvegarde et restauration
La fréquence, l’étendue et la conservation des sauvegardes doivent être conformes à l’importance de l’information et au risque acceptable déterminé par le responsable de la gouvernance des données. Les activités de sauvegarde et de restauration des données doivent respecter les bonnes pratiques de gestion des données.
5.4 Classification
La classification des données s’applique à toutes les données personnelles de l’organisation, quel que soit leur format (papier, électronique, etc.) ou leur emplacement (serveurs internes, services cloud, etc.). La classification des données se trouve dans le dictionnaire de données de l’organisme.
Le Réseau de milieux naturels protégés adopte les niveaux de classification de données suivants :
5.4.1 Données confidentielles : Toute donnée qui, si elle était divulguée, pourrait causer un préjudice à l’organisme, à ses membres ou à ses parties prenantes. Les données confidentielles doivent être stockées dans des systèmes sécurisés et ne doivent être accessibles qu’aux personnes autorisées.
5.4.2 Données internes : Informations accessibles aux employés et aux non-employés autorisés (administrateurs, bénévoles, consultants et sous-traitants) qui ont besoin de les connaître à des fins professionnelles.
5.4.3 Données publiques : Toute donnée qui peut être librement partagée avec le public sans risque de préjudice pour l’organisation, ses membres ou ses parties prenantes. Les données publiques peuvent être diffusées librement.
5.5 Dictionnaire de données personnelles
Le Réseau de milieux naturels protégés centralise l’ensemble des données personnelles de l’organisme dans le dictionnaire de données. Ce registre décrit toutes les données personnelles utilisées dans l’organisation, y compris leur définition, leur source, leur format, leur usage et leur classification.
5.6 Accès aux données personnelles
Le Réseau de milieux naturels protégés protège ses actifs de données personnelles grâce à des mesures de sécurité qui assurent un accès approprié aux données lorsqu’elles sont consultées. Chaque élément de données personnelles est classifié et approuvé par le responsable de la gouvernance des données pour avoir un niveau d’accès approprié. L’accès aux données sera effectué conformément aux politiques de sécurité.
5.7 Utilisation des données personnelles
Les administrateurs, employés, les contractuels et les bénévoles doivent accéder aux données personnelles et les utiliser uniquement dans la mesure requise pour l’exécution de leurs fonctions, et non à des fins personnelles ou à d’autres fins inappropriées. Ils doivent également accéder aux données et les utiliser selon les niveaux de sécurité attribués aux données. L’utilisation des données est classée dans les catégories suivantes : mise à jour, lecture seule et diffusion externe.
5.7.1 Mise à jour : l’autorisation de mettre à jour les données doit être accordée par le responsable de la gouvernance des données de l’organisme (ou une personne responsable désignée) aux personnes dont les tâches spécifient et exigent la responsabilité de la mise à jour des données.
5.7.2 Lecture seule : l’accès en lecture seule doit être autorisé par le responsable de la gouvernance des données de l’organisme (ou une personne responsable désignée) aux personnes dont les tâches nécessitent l’accès aux données.
5.7.3 Diffusion externe : Toute divulgation des données doit être approuvée par le responsable de la gouvernance des données de l’organisme (ou une personne responsable désignée) et doit être guidée par la nécessité de respecter la vie privée individuelle et de protéger l’intégrité des données.
5.8 Application
Cette politique doit être respectée par tous les administrateurs, employés, contractuels et bénévoles du Réseau de milieux naturels protégés. La vérification de la conformité à cette politique est la responsabilité du responsable de la gouvernance des données de l’organisme. Les conséquences de la violation de cette politique dépendront des faits du cas, y compris la nature de la violation, l’existence de violations antérieures de cette politique ou d’autres politiques de l’organisme, la gravité de la violation et les lois applicables.
Date d’entrée en vigueur : 22 septembre 2023
