Énoncé de politique et de procédure
|
Politique no :
|
|
Direction de :
|
|
Date d’émission ou d’entrée en vigueur
|
|
[Modèle] Première Nation
|
Politique sur la confidentialité de l’information
|
Approuvée par le Conseil le __________________________
|
Modèle de politique: no 30
Date d’émission: 1er avril 2015
TBD
Note sur la mise en œuvre :
Visitez notre site Web au http://www.fnfmb.com pour vous assurer que la date d’émission de l’ÉPP ci-dessus représente la version la plus récente.
AVIS AUX UTILISATEURS
Le présent document est destiné à être utilisé par les Premières Nations du Canada. Il présente un modèle d'énoncé de politique et de procédures (« ÉPP ») qui est conforme aux exigences contenues dans les Normes relatives aux systèmes de gestion financière et dans les Normes relatives à la loi sur l’administration financière établies par le Conseil de gestion financière des Premières Nations (« le CGFPN ») conformément à la Loi sur la gestion financière des Premières nations (« la Loi »). La politique et les procédures sont également conformes aux dispositions du Modèle de loi sur l'administration financière (« Modèle de LAF ») publié par le CGFPN. Il devrait être adapté aux circonstances particulières de votre Première Nation afin d'avoir la portée et la flexibilité nécessaires à sa mise en œuvre. Pour cette raison, nous vous recommandons d'obtenir les conseils ou l'aide de professionnels afin de vous conformer à la loi sur l'administration financière, à la culture et à l'environnement opérationnel de votre Première Nation.
Le présent ÉPP fait partie d'une série de modèles de politiques élaborés par le CGFPN afin d'aider les Premières Nations à se conformer à la loi sur l'administration financière. Le présent modèle et d'autres peuvent être téléchargés sans frais à partir du site Web du CGFPN. Pour y avoir accès et recevoir de plus amples renseignements, visitez la page « Documents de base » à l'adresse http://www.fnfmb.com/fr/core-documents/.
FORMAT ET STRUCTURE
Les modèles de politiques et procédures élaborés par le CGFPN sont basés sur un format normalisé. Les utilisateurs doivent personnaliser ce contenu en utilisant un libellé et des procédures qui conviennent aux besoins de leur Première Nation et soient conformes à sa Loi sur l’administration financière.
Politique – Un énoncé clair indiquant un protocole ou une règle de la Première Nation qui touche un domaine précis.
Objectif – La raison ou la justification sous-tendant la politique et les procédures.
Portée – Les domaines, fonctions, personnes ou secteurs touchés par la politique.
Définitions – Tous les termes spécialisés qui ne sont pas définis autrement.
Responsabilités – À l'aide de titres ou positions génériques utilisés dans les Normes du CGFPN, décrivent qui est responsable de la mise en œuvre ou de la mise à jour de la politique et des procédures.
Procédures – Décrivent les étapes, les détails ou les méthodes qui doivent être utilisés pour mettre en œuvre et mettre à jour la politique et les procédures.
Références – Liste des documents, politiques, lois, règlements, etc., utilisés pour élaborer la politique ou qui ont une influence sur elle.
Pièces jointes – Les formulaires, rapports ou dossiers créés à partir de la politique.
AVIS DE NON-RESPONSABILITÉ
Le CGFPN s'est efforcé d'élaborer un modèle de politique susceptible d'être utilisé par une gamme étendue de Premières Nations. Néanmoins, le CGFPN ne fait aucune représentation et n'offre aucune garantie expresse ou implicite en ce qui concerne l'exactitude ou le caractère complet du contenu de modèle de politique, ni de son caractère approprié pour une Première Nation en particulier. Le présent ÉPP a été élaboré de manière à être conforme aux Normes relatives au système de gestion financière du CGFPN et aux Normes relatives à la loi sur l'administration financière, à la date de publication indiquée sur la page titre de la présente politique. Les utilisateurs reconnaissent que les Normes du CGFPN et la Loi sur laquelle lesdites Normes s'appuient peuvent être révisées périodiquement. Conséquemment, nous conseillons aux utilisateurs de consulter régulièrement le site Web du CGFPN pour consulter la version la plus récemment mise à jour, lorsqu'ils considèrent l'adoption du présent modèle d'ÉPP.
Le présent ÉPP n'est qu'un modèle. Le CGFPN se dégage de toute responsabilité que ce soit à l'égard de quelque dommage causé par ou découlant de l'utilisation, de l'adaptation ou de la mise en œuvre du présent ÉPP. Les Premières Nations qui utilisent le présent ÉPP demeurent entièrement responsables de s'assurer que leurs propres politiques et procédures conviennent aux besoins de la Première Nation concernée et sont conformes à ses exigences.
Politique
Assurer la confidentialité de l’information personnelle fournie à la Première Nation par des personnes est essentiel pour assurer non seulement la conformité aux exigences législatives telles que décrites dans la Loi sur la protection des renseignements personnels et les documents électroniques ou autres législations provinciales sensiblement similaires, mais également pour assurer de façon continue la confiance des intéressés dans la Première Nation et pour que cette responsabilité soit maintenue.
Objectif
Le but de cette politique est de fournir des conseils sur la mise en œuvre et l'entretien de pratiques appropriées en matière de la confidentialité de l'information au sein de la Première Nation liées à la collecte, l'utilisation, la divulgation, la conservation et à la sauvegarde de l'information personnelle.
Portée
Cette politique s’applique aux membres du Conseil, aux membres du Comité des finances et d'audit, aux dirigeants et aux employés de la Première Nation et à tous les entrepreneurs ou bénévoles assurant des services au nom du Conseil. L’orientation fournie dans cette politique s'applique à tous les dossiers créés et acquis par la Première Nation indépendamment du format (c.-à-d., autant les dossiers électroniques que de copie papier).
Définitions
« L'information personnelle » se rapporte à toute information qui révèle des éléments de connaissance factuels ou subjectifs au sujet d'une personne identifiable. En plus des éléments de base qui sont utilisés généralement pour identifier et d’interagir avec une personne - tels que le nom de la personne, le genre, les caractéristiques physiques, l'adresse, l'information de contact et l'identification et les numéros de dossiers - elle comprend également l’historique criminel, médical, financier, familial et éducationnel aussi bien que les informations de nature évaluative et autres détails sur la vie de la personne.
La « protection de la confidentialité » se rapporte aux décisions prises par une Première Nation concernant les façons acceptables de cueillir, créer, utiliser, partager/divulguer, protéger et disposer l’information personnelle dont elle requiert pour ses besoins administratifs et opérationnels.
Responsabilités
Le Conseil est responsable de ce qui suit:
Établir et mettre en œuvre des procédures documentées pour la confidentialité et la gestion de l’information personnelle au sein de la Première Nation;
Nommer un agent de la protection de la vie privée pour administrer et surveiller la conformité de la Première Nation aux exigences de la confidentialité et de cette politique.
Le directeur principal est responsable de ce qui suit:
Assurer la conformité avec la politique de la confidentialité de l’information établie.
L’agent de la protection de la vie privée est responsable de ce qui suit:
Développer et maintenir des normes, politiques et procédures qui supportent les objectifs du programme de confidentialité de la Première Nation;
Assurer que toutes les activités de la Première Nation sont exercées conformément aux normes, politiques et aux procédures de confidentialité établies et selon les principes de confidentialité généralement reconnus. À cet effet, l’agent de la protection de la vie privée :
Fournit de la formation et de la sensibilisation concernant la protection de la confidentialité.
Assure que les membres de la communauté soient conscients de leurs droits en ce qui concerne la confidentialité, y compris leur droit d’accès à l’information et leur droit de demander la correction de toute information personnelle qui est conservée sur eux par la Première Nation.
Agit en tant que ressource experte sur les sujets de confidentialité au sein de la Première Nation.
Mène périodiquement des revues sur les activités de la Première Nation qui comportent la collecte, l'utilisation, la divulgation, la conservation et la sauvegarde d'information personnelle.
Investiguer toutes plaintes concernant la collecte/création, l'exactitude, l’utilisation, le partage/divulgation, la protection, la conservation et la destruction d'information personnelle et de rapporter les résultats aux directeurs appropriés et, si requis, au Conseil;
Recommander des changements aux politiques, procédures et pratiques en réponse aux questions soulevées lors des plaintes;
Répondre par écrit aux demandes d’accès à, et à la correction, d'information personnelle soumises par des employés et des membres de la communauté dans les trente jours civils suivant la date de leur réception.
Les employés, les entrepreneurs et les bénévoles sont responsables de ce qui suit :
Acquiescer à la politique de la confidentialité de l’information établie.
Rapporter immédiatement à leur surveillant les infractions à la confidentialité dont ils se rendent compte.
Procédures
Responsabilité
La Première Nation doit nommer un agent de la protection de la vie privée pour assurer que les principes décrits dans cette politique sont mis en oeuvre de façon appropriée.
La Première Nation est responsable de l'information personnelle dans sa possession ou sous sa garde, y compris l'information qui a été transférée à un tiers pour traitement. L'organisation devrait employer la sous-traitance ou autres moyens pour fournir un niveau comparable de protection lorsque l'information est traitée par un tiers.
Identification de l’objectif
Les objectifs visés pour la collecte d'information personnelle devraient être communiqués aux personnes avant ou lors du moment de la collecte. Selon la manière par laquelle l’information est collectée, ceci peut être fait verbalement ou par écrit. Un formulaire de demande d’information, par exemple, peut servir d’avis pour les objectifs visés.
Les informations personnelles devraient être collectées directement de la personne concernée autant que possible.
Les personnes recueillant les informations personnelles doivent pouvoir expliquer aux personnes les objectifs pour lesquels les informations sont collectées.
Consentement
Sauf lors d’exceptions limitées, la Première Nation doit obtenir le consentement d'une personne avant de collecter leurs informations personnelles. Le consentement exige que la personne soit informée des objectifs pour lesquels les informations sont collectées et de la façon dont elles seront plus tard utilisées et divulguées.
Le consentement doit être énoncé de façon à ce que la personne puisse raisonnablement comprendre comment l'information sera utilisée ou divulguée. Le consentement ne doit pas être obtenu par la duperie.
Les informations personnelles peuvent être collectées, utilisées ou divulguées sans la connaissance et le consentement de la personne seulement dans des circonstances limitées. Par exemple, des raisons légales ou de sécurité peuvent rendre impossibles ou impraticables d’obtenir le consentement. Lorsque des informations sont collectées pour la détection et la prévention de fraude ou pour la police, obtenir le consentement de la personne pourrait défaire l’objectif de la collecte des informations. Le consentement peut être obtenu du représentant autorisé d'une personne dans certains cas. Par exemple, lorsqu’une personne est gravement malade, mentalement incapable, est un mineur ou est décédée.
Si l'information personnelle est prévue pour être utilisée ou divulguée pour un nouvel objectif qui n’a pas été identifié lors sa collecte initiale et qui n’est pas lié à l’objectif initiale de la collecte, le consentement de la personne doit être obtenu.
Les personnes peuvent donner leur consentement de plusieurs manières. Par exemple :
un formulaire peut être employé pour obtenir le consentement, pour recueillir les informations, et pour informer la personne de l'utilisation qui sera faite de l'information. En remplissant et en signant le formulaire, la personne donne le consentement à la collecte et aux utilisations spécifiques ;
le consentement peut être donné verbalement ; ou,
le consentement peut être donné par des moyens électroniques.
Une personne peut retirer le consentement à tout moment, sujet aux restrictions légales ou contractuelles et d’un avis raisonnable. La Première Nation doit cesser d'utiliser l'information personnelle de la personne en dedans d'une période de temps raisonnable et informer la personne de cette période de temps et des implications d'un tel retrait.
Limitation de la collecte
La Première Nation ne peut pas cueillir des informations personnelles aléatoirement. La quantité et le type d'information rassemblé doivent être limités à ce qui est nécessaire pour remplir les objectifs identifiés.
Limitation de l'utilisation, de la divulgation et de la conservation
La Première Nation peut seulement employer ou divulguer l'information personnelle que pour l’objectif pour lequel elle a été collectée, à moins que :
L'utilisation ou la divulgation des renseignements personnels est compatible à la collecte initiale de l’information personnelle ;
Le consentement de la personne est obtenu ; ou,
L’objectif est de se conformer à une assignation à témoigner ou à un mandat émis ou ordonnés par une cour, à une personne ou un organisme ayant la juridiction pour obliger la production de l'information ou pour l’objectif de respecter les procédures de la cour concernant la production de l'information.
L'information personnelle qui a été employée pour prendre une décision au sujet d'une personne doit être maintenue assez longtemps pour permettre à l’individu l'accès à l'information après que la décision ait été prise.
L'information personnelle identifiable doit seulement être utilisée et divulguée que si nécessaire. Par exemple, considérez si les rapports, la recherche, ou les audits/évaluations peuvent être faits par des données dé-identifiées ou anonymes.
L'information personnelle qui n'est plus exigée pour accomplir les objectifs identifiés sera détruite, effacée, ou rendue anonyme en conformité avec le calendrier de conservation et de disposition de la Première Nation.
Exactitude
La Première Nation prendra toutes les mesures raisonnables pour s'assurer que l’information personnelle qui est employée pour prendre une décision sur une personne est aussi précise, à jour et complète que possible afin de réduire au minimum la possibilité que de l'information non appropriée puisse être employée pour prendre une décision au sujet de la personne.
Sauvegardes
L'information personnelle devrait être protégée avec des sauvegardes appropriées pour assurer que seulement ceux qui ont un besoin de connaitre auront accès aux dossiers :
Pour les dossiers électroniques contenant de l'information personnelle, les dossiers devraient être protégés avec des contrôles sur le document lui-même (tel que la protection par mot de passe) et d'autres contrôles administratifs, tels que l'accès limitatif aux bases de données électroniques dans lesquelles le dossier est conservé. L'information personnelle ne devrait pas être envoyée par courriel ouvertement sans protection appropriée.
Pour les dossiers dits copie papier qui contiennent de l'information personnelle, les dossiers devraient être entreposés dans des classeurs, sécurisés en tout temps, sauf lorsqu’ils sont utilisés, et, lorsque requis, transportés de façon sûre à l’extérieur du site.
La Première Nation doit rendre ses employés, entrepreneurs, et bénévoles conscients de l'importance de maintenir la confidentialité de l’information personnelle.
Une attention particulière doit être employée dans la disposition ou la destruction d'information personnelle, pour empêcher les parties non autorisées d'accéder à l'information.
Transparence
La Première Nation doit être transparente au sujet de ses politiques et pratiques en ce qui concerne la gestion de l'information personnelle. Les personnes pourront obtenir des informations sur ses politiques et pratiques sans efforts déraisonnables. Cette information doit être rendue disponible sous une forme qui est compréhensible de façon générale.
L'information rendue disponible devrait comprendre :
le nom ou le titre, et l'adresse, de l’agent de la protection de la vie privée, qui est responsable des politiques et des pratiques de la Première Nation, et à qui les plaintes ou des questions peuvent être expédiés ;
les moyens d'accéder à l'information personnelle possédée par la Première Nation ; et,
une description du type d'information personnelle possédée par la Première Nation, y compris un rapport général de son utilisation.
Accès individuel
Sur demande, une personne doit être informée si la Première Nation possède des informations personnelles sur la personne et être fournie d’un rapport sur l'utilisation qui a été faite ou est faite de cette information et un rapport des tierces personnes auxquelles elles ont été divulguées.
L'identité d'une personne doit être authentifiée avant de discuter de leur information personnelle avec eux.
Sur demande, la Première Nation doit fournir à une personne l'accès à leur information personnelle dans un temps raisonnable et à un coût minimal ou sans frais à la personne. Les informations demandées seront fournies ou rendues disponibles sous une forme qui est compréhensible de façon générale.
Les personnes à qui on donne accès à leur information personnelle peuvent :
demander la correction de l'information personnelle lorsque la personne croit qu’elle contient une erreur ou une omission ;
exiger qu'une notation soit attachée à l'information reflétant toute correction demandée, mais non faite ; et,
exiger que toute personne ou organisme à qui cette information a été divulguée pour utilisation dans un processus décisionnel dans les deux dernières années avant qu’une demande de correction ou une notation ait été faite soit avisée de la correction ou de la notation.
Dans certaines situations, la Première Nation peut ne pas pouvoir permettre d'accéder à toute l'information personnelle qu'elle possède au sujet d'une personne. Les exceptions aux exigences d'accès seront limitées et spécifiques. Les raisons de nier l'accès seront fournies à la personne sur demande. Les exceptions peuvent comprendre de l'information qui :
est d’un coût prohibitif à fournir ;
contient des références à d'autres personnes ;
ne peut pas être révélée pour des motifs légaux ou des raisons de sécurité ou des raisons de propriété commerciale; ou,
est assujettie au secret liant un avocat à son client ou le privilège relatif au litige.
Contestations de la conformité
La Première Nation doit s'assurer qu'un processus existe pour recevoir et répondre aux plaintes ou aux questions concernant ses politiques et pratiques pertinentes au traitement de l’information personnelle. Les procédures de plaintes seront facilement accessibles et simples d’utilisation.
La Première Nation doit enquêter sur toutes les plaintes. Si une plainte s'avère justifiée, la Première Nation prendra des mesures appropriées, comprenant si requis, la modification de ses politiques et pratiques.
Références et autorités connexes
Normes relatives au système de gestion financière du CGFPN
Norme 12.6 - Dossiers des ressources humaines
Norme 19.0 - Gestion des risques
Norme 23.0 - Dossiers et renseignements
Normes relatives à la loi sur l'administration financière du CGFPN
Norme 21.0 - Documents et information
Pièces jointes
Aucune
|
