LOI 25 SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS : L’OBTENTION DU CONSENTEMENT -COLLECTE ET À L’UTILISATION DE DONNÉES- EXPLICATIONS ET MODÈLE À CONSIDÉRER
Nous publions sur ce site des chroniques vulgarisées qui visent à répondre aux préoccupations juridiques fréquentes des organismes sans but lucratif. Toutefois, l’information contenue dans ces chroniques est de nature générale et ne constitue d’aucune façon une opinion ou un conseil juridique. Pour répondre à vos questions spécifiques, nous vous recommandons de rejoindre nos avocats au (514) 252-3137, qui vous proposeront les solutions les mieux adaptées à votre situation précise et à vos besoins.
Le contenu du présent site est protégé par le droit d’auteur et peut être reproduit uniquement dans sa forme intégrale et originale avec mention obligatoire de la source.
Par l’équipe du Service juridique du Regroupement Loisir et Sport du Québec et son Centre québécois de services aux associations.
Le modèle fourni dans le présent communiqué tient compte des modifications ayant été apportées à la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après, la « Loi »), dont l’entrée en vigueur a débuté le 22 septembre 2022. Pour leur part, les modifications en lien avec l’obtention du consentement à la collecte et à l’utilisation des renseignements personnels entreront en vigueur le 22 septembre 2023[1].
Dans le présent document, nous utilisons le terme « palier » afin d’identifier la hiérarchisation des organismes, par exemple :
Fédération nationale ↔ Fédération provinciale ↔ Associations régionales ↔ Clubs locaux
DÉVELOPPEMENT :
Pour permettre la communication des renseignements personnels entre les différents paliers, il faut tout d’abord identifier à qui doivent être communiqués les renseignements personnels et pour quelles fins. Par exemple, en vertu des règlements généraux d’une fédération provinciale, il est fort possible que ses associations régionales, ses clubs locaux ou les personnes physiques concernées doivent transmettre leurs renseignements personnels à la fédération provinciale pour des fins d’adhésion comme membre. Ce faisant, si la fédération provinciale n’est pas en contact direct avec la personne physique concernée, soit, le membre en question, les renseignements personnels doivent alors parvenir de l’association régionale ou même du club local.
Dans le but de respecter les obligations découlant des modifications apportées à la Loi et d’éviter que chacun des paliers qui se doit de recevoir lesdits renseignements personnels n’ait à communiquer directement avec les personnes physiques concernées, nous proposons le modèle suivant de Consentement à la collecte et à la communication des renseignements personnels.
Ce modèle devrait être ajouté à tout formulaire d’adhésion ou d’inscription, peu importe le palier ayant la responsabilité d’effectuer la collecte des renseignements personnels directement auprès des personnes physiques concernées.
Il importe de souligner que le modèle ici proposé devra nécessairement être adapté en fonction de la situation propre à chaque organisme et qu’il demeure donc pour lui un outil de travail, un modèle de base utile à sa réflexion.
Finalement, nous avisons tout organisme que l’intégration de ce modèle à sa méthode de fonctionnement ne permet pas de répondre à l’ensemble des obligations découlant des modifications apportées à la Loi qui sont ou entreront en vigueur. À cet effet, nous recommandons également de :
1- Nommer une personne responsable de la protection des renseignements personnels;
2- Mettre en place un registre des incidents de confidentialité dont le contenu est conforme au Règlement sur les incidents de confidentialité;
3- Adopter une Politique de protection des renseignements personnels ou de confidentialité dont le contenu prévoit :
a. Les fins pour lesquelles l’organisme collecte et utilise les renseignements personnels;
b. L’endroit où sont conservés lesdits renseignements personnels et s’ils sont communiqués à des tiers;
c. L’utilisation de technologies permettant à l’organisme d’identifier les personnes ou de collecter des renseignements personnels (ex : témoins de connexion);
d. Les coordonnées de la personne responsable de la protection des renseignements personnels;
e. Un processus de traitement des plaintes.
4- Adopter un cadre de gestion interne des renseignements personnels, lequel prévoit :
a. Le rôle et les responsabilités des employés de l’organisme au cours du traitement desdits renseignements;
b. Le délai de conservation des renseignements personnels;
c. Les mesures de sécurité adoptées pour protéger les renseignements personnels qui sont en possession de l’organisme;
d. Le processus interne en cas de plainte relative à la protection des renseignements personnels.
5- Mettre en place une procédure en cas d’incident de confidentialité afin de prévoir avec le personnel de l’organisme quel sera le rôle de chacun des intervenants/employés dans une telle situation.
Afin d’être en mesure de compléter l’ensemble de la documentation ci-dessus indiquée, nous recommandons finalement d’effectuer un inventaire des renseignements personnels détenus par l’organisme, les raisons pour lesquelles il les détient, d’identifier leur provenance, identifier les tiers à qui les renseignements personnels sont communiqués et quel est le délai de conservation.
Tout organisme utilisant des modèles au moment de procéder à la modification ou à la rédaction de documentation liée à la protection des renseignements personnels doit évidemment s’assurer que ceux-ci tiennent compte des récentes modifications apportées à la Loi.
CONSENTEMENT À LA COLLECTE DE RENSEIGNEMENTS PERSONNELS
Par la présente, je reconnais avoir pris connaissance de la Politique de protection des renseignements personnels de [Organisme A] et j’autorise [Organisme A] à recueillir mes renseignements personnels aux fins suivantes :
o Nom;
o Adresse postale;
o Numéro de téléphone;
o Date de naissance;
o Etc.
Je comprends qu’en adhérant comme membre de [Organisme A], je deviens automatiquement membre de [Organisme B] et de [Organisme C] et que [Organisme A] devra communiquer mes renseignements personnels à ces organisations.
Par la présente, je consens donc également à ce que mes renseignements personnels identifiés ci-dessous puissent être communiqués aux tiers suivants :
o Nom;
o Numéro de téléphone;
o Date de naissance;
o Etc.
o Nom;
o Numéro de téléphone;
o Date de naissance;
o Etc.
Si les renseignements personnels recueillis concernent une personne de moins de quatorze (14) ans, l’autorisation du titulaire de l’autorité parentale ou du tuteur est nécessaire à la présente collecte des renseignements personnels.
Nom du membre : _______________________________________________________
Nom du titulaire de l’autorité parentale ou du tuteur :
__________________________________________
Signé ce _______________________, à _____________________________________
Signature : _____________________________________________________________
[1] Nous faisons ici référence aux nouveaux libellés des articles 8, 13, 14 et 18.3 de la Loi.
Publication août 2023