Politique administrative Thème Politique relative à la protection des renseignements personnels lors des sondages réalisés par la CARRA ou son mandataire En vigueur le 1 er décembre 2009 APPROBATION Date Présidente-directrice générale 1 er décembre 2009 (s) Jocelyne Dagenais 1. ÉNONCÉ DE PRINCIPE Dans le but d évaluer la qualité de ses services et la satisfaction de ses clients par rapport aux services qu elle offre, afin d accroître la qualité de ceux-ci, la CARRA effectue périodiquement des sondages auprès de sa clientèle. Lors de tels sondages, des renseignements personnels sont utilisés. Il est aussi possible que de tels renseignements soient collectés. La présente politique présente les précautions qui doivent être prises par la CARRA lorsque de tels sondages sont effectués, et ce, depuis la conception d'un tel projet de sondage jusqu'à la destruction des renseignements personnels utilisés ou recueillis à la faveur de ce sondage. 2. PRÉSENTATION DES BUTS Cette politique a pour but d établir les exigences applicables à la CARRA quant à la protection des renseignements personnels lors de sondages impliquant la collecte ou la communication de renseignements personnels, qu ils soient réalisés par une unité administrative de la CARRA, un membre du personnel de cette unité ou un mandataire. 3. CADRE JURIDIQUE OU CADRE DE RÉFÉRENCE Loi sur l accès aux documents des organismes publics et sur la protection des renseignements personnels, (L.R.Q., c. A-2.1) art. 53, 54, 64, 65, 67.2 et 73; Règlement sur la diffusion de l'information et sur la protection des renseignements personnels, art. 8; Exigences minimales relatives à la protection des renseignements personnels lors de sondages réalisés par un organisme public ou son mandataire (directive publiée par la Commission d accès à l information du Québec). 4. CHAMPS D APPLICATION Cette politique s applique à tout le personnel de la CARRA et, dans la mesure prévue par contrat, à toute personne dûment mandatée pour réaliser un sondage au nom de la CARRA. Plus spécifiquement, elle s'applique chaque fois que les situations suivantes se présentent : la CARRA (mandant) communique des renseignements personnels à une personne ou un organisme (mandataire) dans le cadre d'un mandat visant la réalisation d'un sondage; des renseignements personnels sont colligés par la CARRA ou son mandataire dans le cadre de la réalisation d'un sondage; la CARRA utilise des renseignements personnels qu'elle détient déjà afin de réaliser un sondage. Commission administrative des régimes de retraite et d assurances (2009-10) 1 de 5
Politique administrative 5. DÉFINITIONS (si besoin) Dans la présente politique, on entend par : Comité ou (CSIPRP) : Le comité sur la sécurité de l information et la protection des renseignements personnels. Renseignement personnel : Tout renseignement qui concerne une personne physique et permet de l identifier, notamment, son numéro d assurance sociale, son nom, sa date de naissance, son numéro d identification personnelle, son statut social ou état civil, son adresse personnelle, son numéro de téléphone. Renseignements sensibles : Tout renseignement personnel concernant notamment la santé, la religion, l orientation sexuelle ou les opinions politiques. Responsable de la protection des renseignements personnels : Le Responsable de l accès aux documents et de la protection des renseignements personnels désigné en vertu de l article 8 de la Loi sur l accès aux documents des organismes publics et sur la protection des renseignements personnels. Sondage : Une recherche, évaluation ou enquête menée auprès de personnes jugées représentatives d'un ensemble social (clients, partenaires, usagers, etc.) en vue de déterminer leur opinion ou d'obtenir des renseignements statistiques sur une question. 6. ACTIVITÉS OU CONTENU 6.1 Consultation du CSIPRP Le CSIPRP doit être consulté sur les mesures particulières à respecter en matière de protection des renseignements personnels relatives à tout sondage recueillant ou utilisant des renseignements personnels. Ces mesures doivent notamment comprendre une évaluation : de la nécessité de recourir au sondage; de l aspect éthique du projet, compte tenu de la sensibilité des renseignements personnels qui doivent être recueillis, ou qui doivent être communiqués, et de la finalité de leur utilisation. 6.2 Préalables lors d un sondage effectué sans recourir à un mandataire : Avant la réalisation d un sondage impliquant l utilisation ou la collecte de renseignements personnels, sans recourir à un mandataire, le gestionnaire de l unité administrative, avec le concours du Responsable de la protection des renseignements personnels, doit : a) vérifier les situations où il est requis d obtenir le consentement des personnes concernées par les b) s assurer qu il est impossible d obtenir le consentement des personnes concernées par les renseignements personnels, le cas échéant; c) s assurer que seuls les renseignements nécessaires à la réalisation du sondage seront utilisés et recueillis. Commission administrative des régimes de retraite et d assurances (2009-10) 2 de 5
6.3 Préalables lors d un sondage effectué par un mandataire : Lorsque le sondage est réalisé par un mandataire, le gestionnaire de l unité administrative qui désire faire réaliser ce sondage, avec le concours du Responsable de la protection des renseignements personnels, doit, avant de communiquer des renseignements personnels à ce mandataire : a) vérifier que des dispositions législatives applicables à la CARRA ne l'empêchent pas de communiquer ces renseignements personnels au mandataire; b) vérifier les situations où il est requis d obtenir le consentement des personnes concernées par les c) s assurer qu il est impossible d obtenir le consentement des personnes concernées, le cas échéant, lorsqu une telle communication est requise afin de permettre au mandataire d exécuter son contrat; d) prendre les mesures appropriées pour que seuls les renseignements nécessaires à la réalisation du sondage soient communiqués; e) identifier les renseignements personnels qui devront faire l objet d une inscription au registre tenu conformément à l article 67.3 de la Loi sur l accès. 6.4 Rédaction du contrat : Le contrat pour la réalisation d un sondage doit : préciser que les renseignements personnels communiqués par la CARRA sont confidentiels et qu'aucun renseignement personnel ne peut être communiqué à un tiers; préciser que des mesures de sécurité devront être prises pour assurer cette confidentialité; exiger du mandataire et de son personnel qu ils s engagent à respecter les dispositions de la présente politique et qu'un engagement à la confidentialité sera signé par toute personne qui aura accès aux renseignements personnels dans le cadre de l'exercice de ses fonctions; préciser les mesures qui seront prises pour s'assurer que les renseignements personnels ne seront utilisés qu aux fins de la réalisation du mandat; préciser qu'à son terme, les renseignements personnels communiqués par la CARRA lui seront retournés ou seront détruits par le mandataire; prévoir le respect de la confidentialité des renseignements personnels colligés par le mandataire et le respect des obligations d'information énoncées à l'article 65 de la Loi sur l'accès si le mandataire collige, au nom de la CARRA, des renseignements personnels; prévoir que la CARRA se réserve le droit de s'assurer en tout temps du respect des dispositions du mandat qui visent la confidentialité des renseignements personnels ; stipuler que le contractant doit obtenir l autorisation écrite de la CARRA pour confier, en partie, à un sous-traitant la réalisation du sondage comportant la communication de renseignements personnels. 6.5 Réalisation du sondage : Lors de la réalisation d'un sondage, les règles suivantes doivent être respectées : le sondage permettra de recueillir uniquement les renseignements personnels nécessaires à l'exercice des attributions de la CARRA ou à la mise en oeuvre d'un programme dont elle a la gestion; le principe du volontariat doit être respecté et le recours à toute manoeuvre qui a pour but de contrer le refus de répondre d'une personne sollicitée doit être proscrit ; la personne qui recueille, verbalement ou par écrit, un renseignement personnel auprès de la Commission administrative des régimes de retraite et d assurances (2009-10) 3 de 5
1. du nom et de l'adresse de l'organisme public au nom de qui la collecte est faite; 2. que ces renseignements seront utilisés uniquement à des fins de recherche, d'évaluation et d'enquête et qu'un recours aux techniques de sondage est possible; 3. des fins pour lesquelles ce renseignement est recueilli (recherche, évaluation, enquête); 4. des catégories de personnes qui auront accès à ce renseignement; 5. du caractère facultatif de la demande et de la participation au sondage; 6. des conséquences pour la personne concernée ou, selon le cas, pour le tiers, d'un refus de répondre à la demande; 7. des droits d'accès et de rectification prévus par la loi. 6.6 Au terme du sondage : Au terme de la réalisation d un sondage par le mandataire, le gestionnaire de l unité administrative concernée de la CARRA doit : a) s assurer que les renseignements personnels communiqués au mandataire pour la réalisation du sondage lui ont été retournés ou ont été détruits et que le mandataire n en garde aucune trace. Si une unité administrative de la CARRA recueille des renseignements personnels à la faveur d un sondage réalisé par son personnel ou son mandataire, le gestionnaire de cette unité doit : a) prendre les mesures de sécurité qui s imposent pour assurer le caractère confidentiel de ces b) prendre les mesures pour s assurer que les renseignements sont accessibles aux seules personnes à qui ces renseignements sont nécessaires dans l exercice de leurs fonctions; c) s assurer que les renseignements ne seront utilisés qu aux seules fins pour lesquelles ils ont été recueillis; d) s assurer que les renseignements ne seront pas versés dans d autres fichiers de renseignements personnels; e) s assurer que la publication des résultats de toute recherche, évaluation ou enquête ne contient pas de renseignements personnels. 7. STRUCTURE FONCTIONNELLE 7.1 Le comité sur l accès à l information et la protection des renseignements personnels (CSIPRP) Le comité sur l accès à l information et la protection des renseignements personnels est consulté sur les mesures particulières à respecter en matière de protection des renseignements personnels relatives au sondage recueillant ou utilisant des renseignements personnels. 7.2 Le responsable de la protection des renseignements personnels de la CARRA veille à l application et à la diffusion de la présente procédure; est étroitement associé à chacune des étapes de la réalisation d'un sondage qui implique la transmission ou la collecte et la communication de renseignements personnels; voit à procéder l inscription au registre tenu conformément à l'article 67.3 de la Loi sur l'accès. Commission administrative des régimes de retraite et d assurances (2009-10) 4 de 5
7.3 Les gestionnaires s assurent que les membres de son unité administrative qui réaliseront le sondage ont une connaissance adéquate du contenu de la présente politique; communiquent cette politique à tout mandataire à qui ils désirent confier le contrat de réaliser un sondage. 8. REDDITION DE COMPTES La procédure est révisée, au besoin, par le Responsable de l accès à l information Commission administrative des régimes de retraite et d assurances (2009-10) 5 de 5