Politique de protection des renseignements personnels
La profession de psychologue est déjà encadrée par des règles1 qui protègent et régissent les renseignements personnels de nos clients que ce soit au moment de la collecte, de la détention, de la transmission de renseignements à des tiers et lors de la fermeture du dossier professionnel (délais de conservation).
Toutefois, notre cabinet est assujetti à d’autres réglementations telles que la Loi sur la protection des renseignements personnels dans le secteur privé, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) et la Loi sur le cadre juridique des technologies de l’information.
Les objectifs de cette politique sont de :
● Assurer la conformité aux obligations de la législation applicable en matière de protection des renseignements personnels;
● Protéger les droits des employés, des clients et des partenaires;
● Intégrer les bonnes pratiques de protection des renseignements personnels dans les processus et procédures;
● Prévenir le risque de brèche de données.
Règles de gouvernance
Notre cabinet a défini des règles de gouvernance internes afin d’assurer la protection des renseignements personnels que nous détenons tout au long de leur traitement.
Ces règles permettent aux membres de notre personnel et à nos professionnels de connaître et de comprendre les exigences légales et les principes de protection des renseignements personnels qui sont inhérents à l’exercice de leurs fonctions. Ces règles incluent :
• Les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels;
• Le processus de traitement des plaintes relatives à la protection des renseignements personnels;
• Le traitement d’une demande d’accès à des renseignements personnels ou de rectification;
• La description des activités de formation et de sensibilisation offertes à notre personnel et à nos
professionnels en matière de protection des renseignements personnels.
Rôles et responsabilités
Les principales parties prenantes de la protection des données de notre cabinet et leurs responsabilités respectives en matière de protection des informations sont décrites ci-dessous.
Président ou personne ayant l’autorité la plus haute de l’entreprise
● Ultimement responsable du respect de cette politique.
● Doit nommer un responsable de la protection des renseignements personnels.
● Fournir les ressources nécessaires, s'assurer que les personnes ayant les compétences appropriées sont
en place et promouvoir la sensibilisation en général et de cette politique.
Responsable de l’accès et de la protection des renseignements personnels : Marie-Claude Guay
● Consigner tout incident de confidentialité dans un registre.
● Signaler toutes les brèches de données ou l'exposition accidentelle des données personnelles au public et à la Commission d'accès à l'information (CAI).
● Comprendre les lois applicables en matière de protection des renseignements personnels, ainsi que la manière de les appliquer.
● Sensibiliser les employés aux lois et à la protection des renseignements personnels.
● Participer aux évaluations d'impact sur la vie privée.
● S'assurer que le cabinet protège les droits à la vie privée de ses employés et de ses clients.
● Responsable de la gestion des demandes d’accès à l'information.
● Responsable de la gestion des plaintes concernant la protection des renseignements personnels.
Employés et stagiaires
● Adhérer aux règles de son Ordre professionnel et de la tenue de dossiers lorsque applicable.
● Suivre les politiques et procédures du cabinet pour la protection des renseignements personnels.
● Participer activement au programme de formation de sensibilisation à la protection des données.
● Signaler tout incident de confidentialité sans délai. Professionnels et intervenants
● Adhérer aux règles de son Ordre professionnel et de la tenue de dossiers.
● Respecter ses engagements contractuels concernant la confidentialité.
● Suivre les politiques et procédures du cabinet pour la protection des renseignements personnels.
● Participer activement au programme de formation de sensibilisation à la protection des données.
● Signaler tout incident de confidentialité sans délai.
Principes directeurs
● Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées avant la collecte ou au moment de celle-ci.
● Chaque personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui le concerne et y consentir, à moins qu’il ne soit pas approprié de le faire.
● Le cabinet ne recueillera que les renseignements personnels nécessaires aux fins déterminées et procédera de façon honnête et transparente.
● À moins que la personne concernée n’y consente ou que la loi ne l’exige, les renseignements personnels ne doivent être utilisés ou communiqués qu’aux fins auxquelles ils ont été recueillis. Le cabinet ne doit conserver les renseignements personnels qu’aussi longtemps que cela est nécessaire pour répondre à ces fins.
● Les renseignements personnels doivent être aussi exacts, complets et à jour que possible afin de satisfaire les fins auxquels ils sont destinés.
● Les renseignements personnels doivent être protégés par des mesures de sécurité raisonnables correspondant à leur degré de sensibilité.
● Les informations sur les politiques et les pratiques du cabinet concernant la gestion des renseignements personnels sont facilement accessibles au public.
● Le cabinet informera toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tierces parties. Il est possible de contester l’exactitude et l’intégralité des renseignements et d’y faire apporter les corrections appropriées.
● Toute personne peut se plaindre au responsable de la protection des renseignements personnels du cabinet du non-respect des principes énoncés ci-dessus.
● Le cabinet procédera à une évaluation des facteurs relaTIfs à la vie privée de tout projet d'acquisition, de développement et de refonte de système d'information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels ainsi que pour tout transfert hors Québec.
Principes directeurs
Nous nous engageons à fournir un environnement professionnel et sécuritaire, autant pour les gens qui y œuvrent que les gens qui bénéficient de nos services. Afin de pouvoir vous offrir nos services psychologiques, nous utilisons, enregistrons et analysons certains renseignements personnels que nous avons colligés auprès de vous lors de l'évaluation ou lors des interventions.
Tel que mentionné dans les consentements que vous avez signés ou signerez, vos renseignements personnels ne seront jamais divulgués ou utilisés sans votre consentement manifeste, libre et éclairé.
Lorsque vous nous donnez votre autorisation pour le transfert de renseignements, nous adhérons au principe de ne divulguer que les informations nécessaires. Toute personne œuvrant au sein du cabinet a reçu une formation sur l'importance d'assurer la sécurité et la confidentialité de vos renseignements. Selon le code de déontologie de l'Ordre des psychologues du Québec, vous disposerez aussi de 15 jours pour vous rétracter sur votre décision de transmettre de l'information si vous le désirez.
Quels sont les renseignements et informations que nous recueillons?
Le cabinet a documenté la liste de tous les renseignements personnels qu’il détient dans un calendrier de conservation des données.
Par exemple :
Pour nos clients :
● Nous pouvons recueillir différents types de renseignements et/ou informations tels que le nom, l'adresse, les numéros de téléphone et les adresses courriels.
● Nous recueillons et produisons également des renseignements personnels plus sensibles, notamment :les antécédents psychiatriques, les médicaments, les antécédents familiaux, l'historique de vos visites psychologiques, l'histoire de vie (enfant, adolescence, vie adulte), les diagnostics et les résultats de tests psychologiques, les recommandations de traitement, les plans d'intervention et les notes d'évolution, les informations échangées à propos du consentement et, s'il y a lieu, les formulaires de consentement signés, les rapports et les recommandations suite à des consultations chez des spécialistes.
● Lors de la dispense d’un service, nous collectons les informations requises pour le paiement (carte de débit, chèque, virement Interac).
● Pour les candidats soumettant leurs informations afin de postuler sur un emploi, les coordonnées de contacts (nom, prénom, adresse et courriel) et le curriculum vitae sont collectés.
● Pour les employés, les informations nécessaires à la production de la paye et pour remplir nos obligations envers les paliers gouvernementaux sont collectées ainsi que liées à leur parcours académique, à leur affiliation à un ordre professionnel lorsque applicable, et au dépôt de leur salaire (informations bancaires).
● Pour les professionnels et intervenants, les informations collectées sont liées à leur identification (nom, prénom, adresse, courriel), à leur affiliation à un ordre professionnel, à leur parcours académique et aux paiements de leurs honoraires (informations bancaires).
Les renseignements personnels seront détruits ou anonymisés de façon sécuritaire après la réalisation de la finalité pour laquelle les renseignements personnels ont été recueillis selon le calendrier de conservation du cabinet.
Comment utilisons-nous vos renseignements
Nous recueillons, utilisons et divulguons des renseignements vous concernant ou votre enfant seulement pour les fins suivantes :
● Évaluer vos besoins en matière de santé psychologique.
● Vous conseiller sur les options de services disponibles.
● Vous prodiguer des soins de qualité.
● Nous permettre de prendre contact avec vous ainsi qu'établir et maintenir la communication.
● Communiquer avec d'autres professionnels de la santé
● Nous permettre d'assurer des suivis efficaces.
Aider à des fins d'enseignement et de supervision en protégeant votre anonymat.
Comment vos renseignements et informations sont-ils sauvegardés et qui peut y avoir accès?
Vos renseignements peuvent être sauvegardés sous forme papier (dossiers) qui sont alors protégés par les intervenant.es, entreposés dans des classeurs sécurisés/barrés. Les renseignements numériques peuvent être sauvegardés sur des ordinateurs appartenant au Centre de psychologie M-C Guay ou à votre intervenant. Les renseignements numériques sont protégés notamment par des mots de passe et le cabinet a défini une politique d’utilisation acceptable des technologies devant être respectée.
Chaque intervenant œuvrant au sein du cabinet a l'obligation personnelle et contractuelle de respecter et de protéger vos droits à la vie privée et seront tous formés à cet effet.
Exceptions
Le cabinet est conscient que dans certaines circonstances, les lois sur la protection de la vie privée permettent que les données personnelles soient divulguées sans le consentement du client, de l'employé ou d’un individu:
● À des tierces parties dans certaines circonstances telles que définies et énoncées par les lois.
● Aux organismes d'application de la loi.
● À une personne à qui cette communication doit être faite en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée.
● À une personne ou à un organisme lorsque des circonstances exceptionnelles le justifient;
● À une personne ou à un organisme si cette communication est nécessaire dans le cadre de la prestation d’un service à rendre à la personne concernée par un organisme public, notamment aux fins de l’identification de cette personne.
L'approbation du responsable de la protection des renseignements personnels est requise lorsque des renseignements personnels doivent être partagés.
Gestion des incidents de confidentialité
Processus de gestion des incidents
● Le cabinet a établi, documenté et maintient un processus de gestion des incidents.
● Un registre d’incident de confidentialité est établi, documenté, maintenu et mis à disposition de la CAI,
sur demande.
Déclaration d’incident de confidentialité lié aux renseignements personnels
● Le cabinet veille à ce que les exigences applicables en matière de signalement de brèche de renseignements personnels soient respectées dès la découverte d’une brèche de données.
● Le cabinet veillera à appliquer immédiatement des mesures raisonnables pour atténuer ou corriger le risque.
● Le cabinet effectuera une analyse de préjudice sérieux de tout incident lié à des renseignements personnels afin de déterminer si une notification officielle à la CAI, à un individu ou à une autre autorité est requise.
Évaluations de risques lors d'utilisation ou de communication de renseignements personnels
Avant d’entreprendre un projet d’acquisition, de développement ou de refonte d’un système informatique qui comporte des renseignements personnels, le cabinet effectuera une Évaluation des facteurs relatifs à la vie privée (ÉFVP).
Une ÉFVP sera aussi produite dans le cas de tout transfert ou hébergement de renseignements personnels à l’extérieur du Québec.
Manquements et sanctions
Le respect de cette politique est obligatoire pour tous les employés, professionnels, intervenants, stagiaires, consultants et tierces parties ayant accès à des renseignements personnels du cabinet.
Toute partie reconnue coupable d'avoir enfreint cette politique peut faire l'objet de mesures disciplinaires pouvant aller jusqu'au congédiement ou la terminaison d’un contrat.
Droit d'accès, d'opposition et de retrait
Vous pouvez faire une demande d’accès au cabinet concernant vos renseignements personnels ainsi que formuler un droit d'opposition et de retrait quant à ceux-ci. Le droit d'opposition s'entend comme étant la possibilité de refuser que leurs renseignements personnels soient utilisés à certaines fins mentionnées lors de la collecte. Le droit de retrait s'entend comme étant la possibilité de demander que vos renseignements personnels ne figurent plus, par exemple, dans une liste de diffusion.
Nous nous engageons aussi à reconnaître un droit d'accès et de rectification aux personnes concernées désireuses de consulter, modifier, voire radier certaines informations les concernant.
Plaintes
Vous pouvez également formuler une plainte concernant le traitement de vos renseignements personnels par le cabinet
Toute demande d’accès doit être écrite, faite par une personne justifiant son identité et fera l’objet d’une réponse dans les trente (30) jours suivant sa réception. Dans le cas où nous ne sommes pas en mesure de répondre dans ce délai, nous vous en aviserons.
Vous pouvez utiliser les formulaires disponibles sur le site de la Commission d’accès à l'information afin de nous transmettre votre demande ou votre plainte.
Responsable de l'accès et de la protection des renseignements personnels
Marie-Claude Guay, neuropsychologue et présidente du Centre de psychologie M-C Guay, est désignée responsable de l’accès et de la protection des renseignements personnels. Ses coordonnées sont les suivantes :
Adresse : 350 boul. St-Joseph Est, Montréal, Qc, H2T 1J4
Courriel : centredepsychologiemcguay@gmail.com
Pour vos questions concernant votre dossier, n’hésitez pas à en discuter avec votre intervenant.