Politique: | Politique en matière de protection des renseignements personnels |
Date d’entrée en vigueur: | Janvier 2024 |
Date de la dernière révision : | |
Date prévue pour la révision : | |
Remplace : | |
Approuvée par: | Conseil d’administration |
OBJECTIF
Les Services Radiologiques de Joliette porte une attention particulière à la protection de la vie privée et s’engage à respecter la confidentialité des informations collectées.
Le présent document vous aidera à mieux comprendre les pratiques relatives à la collecte, l’utilisation/ou la communication et la conservation des renseignements personnels conformément à la loi sur la protection des renseignements personnels dans le secteur privé.
L’objectif de la présente politique vise à conscientiser les employées des Services Radiologiques de Joliette à l’application d’un processus de gestion et de protection des renseignements personnels afin d’adopter des comportements responsables pour éviter la perte de données et ce, en limitant la diffusion de l’information aux personnes en ayant besoin dans le cadre de leur fonction au sein des Services Radiologiques.
ÉNONCÉ DE LA POLITIQUE
La politique en matière de protection des renseignements personnels énonce les règles qui guident les pratiques des Services Radiologiques de Joliette dans la gestion des renseignements personnels qu’elle détient. Elle définit les rôles et les responsabilités du personnel tout au long du cycle de vie des renseignements, de leur collecte jusqu’à leur destruction.
PORTÉE
La politique s’adresse à tout le personnel des Services Radiologiques de Joliette incluant ceux dont la conservation des renseignements est assurée par un tiers. Elle s’applique aussi à toute personne à qui les Services Radiologiques de Joliette confie des renseignements personnels dans le cadre d’un contrat, d’un mandat ou d’un contrat de service.
TERMINOLOGIE
Candidat : Toute personne qui soumet sa candidature dans le cadre d’un processus de recrutement d’un nouvel employé;
Employé : inclut de manière générale toute personne qui a un lien d’emploi avec Les Services Radiologiques de Joliette y compris, pour les fins des présentes, toute personne associée, directement ou indirectement;
Patient : toute personne physique qui obtient un rendez-vous et/ou qui passe un examen aux Services Radiologiques de Joliette;
Responsable de la protection des renseignements personnels : Sous l’autorité des exploitants des Services radiologiques de Joliette, Christine Demers, gestionnaire.
RÔLES ET RESPONSABILITÉS
Gestionnaire
-
- Élaborer la politique et définir les règles d’accès et de confidentialité conformément à la Loi sur la protection des renseignements personnels dans le secteur privé;
- Diffuser la politique et les procédures au personnel;
- Veiller à son application;
- S’assurer que les clients soient avisés des règles régissant la politique de protection des renseignements confidentiels;
- Évaluer les risques d’incident et prendre les mesures raisonnables pour diminuer les risques d’incident;
- Valider l’efficacité des mécanismes mis en place pour protéger les renseignements personnels;
- À la suite d’un incident de confidentialité, aviser la Commission d’accès à l’information et la personne concernée;
- Tenir un registre des incidents et transmettre une copie à la commission d’accès;
- Traitement des plaintes en collaboration avec la direction.
Personnel
-
- S’approprier la politique et les procédures relatives à la protection des renseignements personnels;
- Appliquer la politique et les procédures;
- Informer les clients des dispositions de protections des renseignements personnels;
- Aviser la gestionnaire de toute dérogation à la politique et aux procédures adjacentes.
DÉFINITION DES RENSEIGNEMENTS PERSONNELS
Concernant les Patients
De façon générale, un renseignement personnel englobe tout renseignement qui concerne le Patient et qui permet de l’identifier.
Cela comprend notamment, sans s’y limiter, les nom et prénom, date de naissance, adresse postale, adresse courriel, numéro de téléphone, numéro d’assurance maladie (ou équivalent dans le cas des ressortissants étrangers).
Cela inclut également les renseignements contenus sur des supports autres que papier, soit notamment les images radiographiques et les enregistrements téléphoniques.
Évidemment, tous les renseignements médicaux du Patient constituent également des renseignements personnels, lesquels sont par ailleurs protégés en vertu du secret professionnel et du code de déontologie lié à la pratique médicale.
Concernant les Employés ou Candidats
En plus des renseignements précédemment décrits, cela englobe aussi tout renseignement relatif à la gestion des ressources humaines et au recrutement, notamment les CV, lettre de présentation, lettre de référence, les mesures de santé et sécurité au travail, la rémunération, le Fondaction-Batirente, les congés, les arrêts maladies, les mesures disciplinaires.
Sont cependant exclus de la définition et ne constituent pas un renseignement personnel le nom d’un Employé, sa fonction au sein des Services Radiologiques de Joliette, ni ses coordonnées professionnelles.
Renseignement personnel sensible
Les Services Radiologiques de Joliette collecte des renseignements personnels qualifiés de sensibles, soient des renseignements médicaux qui suscitent un haut degré d’attente raisonnable en matière de protection de la vie privée.
COLLECTE DES RENSEIGNEMENTS PERSONNELS
Méthodes de collecte des renseignements personnels
Les Services Radiologiques de Joliette collecte les renseignements personnels de plusieurs façons, soit plus précisément :
Pour les Patients
Lors des communications avec Les Services Radiologiques de Joliette par téléphone ou courriel, ainsi que tout au long de l’examen radiographique et de son cheminement;
Pour les Employés
Par les ressources humaines lors des entrevues et par la suite dans le cadre de leur travail.
Renseignement nécessaire
Les Services Radiologiques de Joliette ne collecte que les renseignements personnels strictement nécessaires à l’exercice de ses fonctions. (Voir définitions des renseignements personnels des présentes)
Pour les Patients
Il s’agit des renseignements nécessaires, directement ou indirectement, à l’examen radiographique et à son suivi.
Pour les Employés
Il s’agit notamment de renseignements nécessaires à la gestion des ressources humaines, au recrutement, à la gestion de la santé et sécurité au travail ou encore à la rémunération.
Devoir d’information
La personne qui recueille des renseignements personnels auprès d’un Patient, d’un Employé ou d’un Candidat doit l’informer des fins auxquelles l’information est collectée, de l’utilisation qui en sera faite, des catégories de personnes qui y auront accès au sein des Services Radiologiques de Joliette, de l’endroit où ils seront détenus, et de ses droits d’accès et de rectification.
Pour cela, non seulement ces informations sont indiquées sur le site Internet des Services Radiologiques de Joliettes dans l’onglet « Politique de confidentialité » mais également, une affiche pour les patients en évidence dans la clinique : INFORMATIONS RELATIVES À LA PROTECTION DE VOS RENSEIGNEMENTS PERSONNELS.
CONSERVATION DES RENSEIGNEMENTS PERSONNELS
Les Services Radiologiques de Joliette doit assurer la qualité des renseignements personnels et veiller à ce qu’ils soient à jour et exacts au moment où elle les utilise.
Les Services Radiologiques de Joliette ne conserve les renseignements personnels que pour la durée nécessaire aux fins prévues dans la présente politique (voir la clause sur l’utilisation des renseignements) et conformément aux obligations légales et réglementaires.
Concernant les Patients
Les renseignements personnels des Patients sont conservés sur support numérique sur des serveurs sécurisés et spécialisés (systèmes PACS-RIS), lesquels sont protégés par mot de passe.
Les requêtes médicales, version papier, sont automatiquement numérisées et conservées sur ces serveurs. La version papier étant détruite par un procédé qui permet d’en préserver la confidentialité.
Les Services Radiologiques de Joliettes conserve les renseignements pour toute la durée pendant laquelle le Patient reçoit des soins. À compter de la dernière inscription au dossier, Les Services Radiologiques de Joliette conserve les renseignements pour une durée de 7 ans.
Une fois la période de conservation échue, les documents devront être détruits par un procédé mécanique qui en assure la confidentialité.
Concernant les Employés et Candidats
Les renseignements concernant les Employés et Candidats, sur support papier, sont conservés dans un local auquel le public n’a pas accès, dans un meuble fermé à clé, et ce de façon à en préserver la confidentialité.
Les renseignements sur support numérique sont enregistrés sur les serveurs utilisés par Les Services Radiologiques de Joliette de manière sécurisée et protégée par un mot de passe de manière à en préserver la confidentialité.
Les Services Radiologiques de Joliette conserve les renseignements, sur support papier et sur support numérique, pour toute la durée pendant laquelle l’Employé est à l’emploi des Services Radiologiques de Joliettes et pour une durée de 7 ans à compter de la fin de celui-ci.
Concernant une réclamation en matière de santé et sécurité du travail, Les Services Radiologiques de Joliette doit conserver les renseignements pour une période d’au moins 20 ans.
Concernant les Candidats qui ne seraient pas embauchés, Les Services Radiologiques de Joliette conserve les renseignements, sur support papier et sur support numérique, pour une période d’1 an à compter de la fin du processus d’entrevue. Une fois la période de conservation échue, les documents devront être détruits par un procédé mécanique qui en assure la confidentialité.
LISTE DES PERSONNES POUVANT AVOIR ACCÈS AUX RENSEIGNEMENTS PERSONNELS AU SEIN DES SERVICES RADIOLOGIQUES DE JOLIETTE
Les renseignements personnels collectés par Les Services Radiologiques de Joliette ne sont accessibles qu’aux personnes qui ont la qualité pour les recevoir et en prendre connaissance et lorsque cela est nécessaire dans l’exercice de leurs fonctions.
Concernant les Patients
Peuvent avoir accès aux renseignements personnels concernant les Patients
Les agentes administratives, ceux affectés à la facturation, les transcriptionnistes, les technologues en imagerie médicale, les assistantes en imagerie médicale et les médecins radiologistes;
Renseignements concernant les Employés et Candidats
Peuvent avoir accès aux renseignements personnels concernant les Employés et Candidats
Les Employés et professionnels externes ayant des tâches liées aux ressources humaines et à l’émission de la rémunération;
La gestionnaire et les actionnaires des Services Radiologiques de Joliette.
UTILISATION DES RENSEIGNEMENTS PERSONNELS
Les renseignements personnels recueillis ne peuvent être utilisés qu’aux fins pour lesquelles ils ont été recueillis, soit :
Pour les Patients
Pour la réalisation et le suivi de l’examen radiographique;
Pour les Employés
La gestion des ressources humaines, le recrutement, la gestion de la santé et sécurité au travail ou encore la rémunération, Fondaction-Batirente, les congés, les arrêts maladies, et les mesures disciplinaires.
Par conséquent, pour utiliser les renseignements personnels à d’autres fins que celles précitées, Les Services Radiologiques de Joliette devra obtenir le consentement écrit de la personne concernée.
COMMUNICATION DES RENSEIGNEMENTS PERSONNELS
Les Services Radiologiques de Joliette ne doit pas communiquer à des tiers les renseignements personnels collectés sans le consentement de la personne concernée.
Les seuls cas où Les Services Radiologiques de Joliette pourra les communiquer à un tiers sans obtenir le consentement de la personne concernée sont les suivants :
Lorsque c’est nécessaire pour l’exécution d’un contrat de services ou d’entreprises
Les Services Radiologiques de Joliette pourra communiquer les renseignements personnels, sans le consentement de la personne concernée, aux fournisseurs de services suivants :
-
- Les médecins ou autres professionnels de la santé tenus au secret professionnel;
- La RAMQ;
- Le PQDCS (Programme Québécois de Dépistage du Cancer du Sein);
- La plateforme DSQ (Dossier Santé électronique du Québec);
- Les fournisseurs d’équipements d’imagerie médicale et de solutions de gestion de l’information;
- Les fournisseurs de service informatique;
- Les fournisseurs de systèmes de paie des employés;
- Les conseillers externes (bureau comptable, avocat, etc.)
- Fondaction-Batirente, fournisseur REER-régime retraite
Dans tous les cas, Les Services Radiologiques de Joliette devra d’abord conclure une entente écrite avec le tiers en question pour s’assurer qu’il prenne les mesures propres à assurer la protection des renseignements personnels.
Lorsque nécessaire pour la conclusion d’une transaction commerciale
C’est le cas de la vente ou fusion des Services Radiologiques de Joliettes ou pour l’obtention d’un nouveau financement.
Dans tous les cas, Les Services Radiologiques de Joliette devra d’abord conclure une entente écrite avec l’autre partie pour s’assurer qu’elle prenne les mesures propres à assurer la protection des renseignements personnels.
Une fois la transaction conclue, l’autre partie devra informer les Patients et les Employés si elle prévoit de continuer à utiliser les renseignements.
Autres situations
-
- Communication à une personne à qui cette communication doit être faite en raison d’une situation d’urgence mettant en danger la vie, la sécurité ou la santé de la personne concernée;
- Communication à un organisme chargé en vertu de la loi de prévenir, détecter ou réprimer le crime ou les infractions aux lois, qui le requiert dans l’exercice de ses fonctions, si le renseignement est nécessaire pour la poursuite d’une infraction à une loi applicable au Québec;
- Communication aux autorités publiques gouvernementales lorsqu’exigé par la loi ou nécessaire à l’exercice des fonctions des Services Radiologiques de Joliette;
DEMANDE D’ACCÈS ET RECTIFICATION DES RENSEIGNEMENTS PERSONNELS
Tout Patient, Employé ou Candidat des Services Radiologiques de Joliette peut demander, dans les limites de la loi et des règlements applicables, de consulter le dossier contenant ses renseignements personnels et demander leur rectification, s’il y a lieu.
Les Services Radiologiques de Joliette se réserve le droit de refuser de confirmer qu’elle détient des renseignements sur un Patient ou de divulguer quelque renseignement que ce soit lorsque les renseignements sont couverts par le secret professionnel.
Modalité de la demande
Toute demande de renseignement doit être adressée au Responsable de la protection des renseignements personnels, par écrit détaillant suffisamment et de façon précise les renseignements auxquels elle demande accès.
Réponse à la demande
Le Responsable de la protection des renseignements personnels doit, dans les 30 jours de la réception de la demande, répondre au demandeur de renseignement en lui indiquant l’acceptation ou le refus de la demande et dans le cas d’un refus, il doit justifier sa décision.
Mise à jour des renseignements
Tout Patient, Employé ou Candidat des Services Radiologiques de Joliette peut demander que ses propres renseignements personnels consignés aux dossiers des Services Radiologiques de Joliette soient mis à jour en fournissant l’information pertinente.
MESURES POUR DIMINUER LES RISQUES D’ATTEINTE AUX RENSEIGNEMENTS PERSONNELS
Dépersonnalisation des renseignements
Dans la mesure du possible, Les Services Radiologiques de Joliette doit dépersonnaliser les documents notamment en effaçant ou caviardant les renseignements sensibles lors de la conservation de certains documents et éviter de multiplier les supports sur lesquels les renseignements sensibles apparaissent.
Risque informatique
Les Services Radiologiques de Joliette doit mettre en place des mesures de sécurité raisonnable afin de limiter le risque de fuite de données informatiques.
Évaluation des risques
Les Services Radiologiques de Joliette doit évaluer les risques et prendre actions pour diminuer les risques d’incident de confidentialité.
GESTION DES INCIDENTS
Définition de l’incident de confidentialité
Il y a incident de confidentialité en cas de :
- D’accès non autorisé par la loi à un renseignement personnel;
- D’utilisation non autorisée par la loi d’un renseignement personnel;
- De communication non autorisée par la loi d’un renseignement personnel;
- De perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement;
L’incident de confidentialité peut résulter d’un geste volontaire ou involontaire commis par une personne à l’interne (ex. un employé des Services Radiologique de Joliette) ou à l’externe (sous-traitant, prestataire de services, fournisseur, pirate informatique, etc.).
Exemples d’incidents
Intrusion dans le système informatique, logiciel malveillant, virus ou faille informatique, extraction de données non autorisée par un employé ou autre Les Services Radiologiques de Joliette, envoi électronique contenant des renseignements personnels à un tiers, à la mauvaise adresse courriel, perte d’un courrier, perte ou vol d’un ordinateur portable ou de dossier physique.
Procédure à suivre en cas d’incident de confidentialité
- Obligation des Services Radiologiques de Joliette: Tout Employé, quel que soit son statut doit sans tarder dénoncer tout incident de confidentialité au Responsable de la protection des renseignements personnels;
- Identification de la cause de l’incident : Le Responsable de la protection des renseignements personnels procède à une enquête afin de déterminer les renseignements qui ont fait l’objet d’une fuite pour déterminer les personnes visées. Il pourra prendre tous les moyens nécessaires afin de mener son enquête;
- Divulgation au Conseil de direction : Le Responsable de la protection des renseignements personnels doit informer sans délai le Conseil de direction de tout incident potentiel ou réel;
- Diminuer les conséquences : Si le Responsable de la protection des renseignements personnels a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel détenu par Les Servies Radiologiques de Joliette, il doit prendre des mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent après avoir informé le conseil administratif et obtenu son aval pour mettre en place les mesures proposées
- Informer les personnes visées : Le Responsable de la protection des renseignements personnels doit informer les personnes visées de l’incident réel et des mesures prises afin de diminuer les conséquences. Toutefois, une personne dont un renseignement personnel est concerné par l’incident n’a pas à être avisée tant que cela serait susceptible d’entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargée de prévenir, détecter ou réprimer le crime ou les infractions aux lois;
- Inscrire l’incident au registre : Le Responsable de la protection des renseignements personnels doit tenir un registre des incidents de confidentialité impliquant un renseignement personnel et y inscrire tout incident de confidentialité;
- Déclarer l’incident à la CAI : Le Responsable de la protection des renseignements personnels doit déclarer l’incident à la Commission d’accès à l’information, le tout sur le formulaire prescrit;
Modification de notre politique
Lorsque requis, nous réviserons notre politique de confidentialité pour inclure des modifications dans nos procédures de traitement des informations personnelles. Ces modifications seront rendues disponibles via une version mise à jour de la politique de confidentialité pour les employés et une version sera aussi déposée sur notre site Web, le plus rapidement possible, pour la clientèle. Vos informations personnelles seront gérées conformément à la politique de confidentialité en vigueur au moment de la collecte des informations.
RÉFÉRENCES
-
- Loi sur la protection des renseignements personnels dans le secteur privé.
QUESTIONS
La gestionnaire est la personne mandatée dans l’organisation pour répondre aux questions du personnel et des clients.
Documentation complémentaire
-
- Politique sur l’accès à l’information et règles de confidentialité
- Politique sur la gestion des documents- Archives
- Politique sur la gestion de l’information interne
- Politique sur les cookies
- Procédure sur la gestion des incidents de confidentialité