Gouvernance en matière de protection des renseignements personnels

Le Groupe McPeak-Sirois de recherche clinique en cancer du sein (GMPS) accorde une grande importance à la protection des renseignements personnels. À cet égard, le GMPS a élaboré une politique de gouvernance afin d’encadrer sa gouvernance en matière de vie privée. 

Le GMPS a aussi mis en place diverses mesures en soutien de sa politique et de son application conformément aux lois applicables. C’est ainsi que le GMPS a notamment : 

  • Validé et confirmé les rôles et responsabilités de son responsable de la protection des renseignements personnels (le responsable); 
  • Entrepris la révision et la documentation des mesures et règles internes en matière de protection des renseignements personnels; et
  • Mis en place des mesures d’assistance.

À la politique s’ajoutent aussi plusieurs autres procédures et outils élaborés par le GMPS, notamment :

  • sa procédure en matière de gestion des incidents de confidentialité; 
  • sa procédure de conservation des documents contenant des renseignements personnels;
  • son registre des incidents de confidentialité; 
  • son modèle d’évaluation des facteurs relatifs à la vie privée dans le contexte de la communication de renseignements personnels à l’extérieur du Québec;
  • son modèle d’évaluation des facteurs relatifs à la vie privée dans le contexte de la communication de renseignements personnels à des fins d’étude, de recherche ou de production de statistiques;
  • son modèle d’évaluation des facteurs relatifs à la vie privée dans le cadre de projets technologiques impliquant des renseignements personnels;
  • ses modèles de clauses contractuelles si les services d’un tiers sont retenus; et
  • ses modèles de clauses contractuelles en cas de transferts hors Québec.

Tous ces documents forment le cadre de gouvernance du GMPS en matière de protection des renseignements personnels. Ils précisent notamment :

  • les règles relatives à la collecte et aux autres traitements de renseignements personnels des employés et de toute autre personne lorsqu’applicable;
  • les mesures de sécurité mises en place afin d’assurer la confidentialité, l’intégrité et la disponibilité des renseignements personnels tout au long de leur cycle de vie; 
  • les rôles et responsabilités de diverses personnes, dont celle ayant la plus haute autorité, du responsable, des employés et des sous-traitants;
  • la gestion des accès aux renseignements personnels;
  • le processus de traitement des plaintes;
  • certaines règles pouvant trouver application dans des contextes spécifiques, notamment en cas :
    • de communication ou de traitements de renseignements personnels à l’extérieur du Québec;
    • de demandes d’accès à des renseignements à des fins d’étude, de recherche ou de production de statistiques; et
    • de projets technologiques impliquant des renseignements personnels;
  • certaines règles qui trouveront application si certains types d’initiatives en venaient à être mis en place, dont :
    • le recours à une technologie d’identification, de localisation ou de profilage; ou 
    • la prise de décision fondée sur le traitement automatisé de renseignements personnels
  • les processus applicables aux demandes d’accès, de rectification et autres; et
  • le processus de mise à jour des documents.

Un résumé du contenu du cadre de gouvernance est disponible en annexe. Ce cadre de gouvernance est aussi complété par les lois en vigueur. Des précisions additionnelles peuvent être obtenues en communiquant avec : Responsable de la protection des renseignements personnels

Groupe McPeak-Sirois de recherche clinique en cancer du sein

Adresse: 460, rue McGill, 5e étage, Montréal (Québec) H2Y 2H2

Courriel : d.johnson@mcpeaksirois.org

Téléphone : 514-509-8858

À noter que les règles de gouvernance contiennent des renseignements sensibles, notamment quant aux mesures de sécurité déployées. L’accès et la communication de celui-ci peuvent donc être restreintes. 

SOMMAIRE DES RÈGLES DE GOUVERNANCE EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS

Le GMPS accorde une grande importance à la protection des renseignements personnels. À cet égard, le GMPS a élaboré un cadre de gouvernance afin d’encadrer sa gouvernance en matière de vie privée. Le présent sommaire du cadre de gouvernance (le sommaire) a pour objectif d’informer les personnes au sujet desquelles le GMPS recueille des renseignements personnels de la façon dont ceux-ci peuvent être recueillis, utilisés et communiqués, ainsi que des droits dont elles disposent à leur égard.

Aux fins de la présente, les renseignements personnels sont ceux qui concernent une personne physique et permettent, directement ou indirectement, de l’identifier, sauf exception prévues par la loi. 

 

1. CHAMP D’APPLICATION

Le présent sommaire vise les activités, les renseignements, les ressources et les individus suivants : 

  • Individus : Tous les employés du GMPS (dont son responsable), les sous-traitants et fournisseurs de service avec lesquels le GMPS peut faire affaire. 
  • Activités : Tout traitement de renseignements personnels détenus par le GMPS dans le cadre de sa mission, ses activités ou ses attributions, et ce, même si la détention physique des renseignements personnels n’est pas assurée par le GMPS, le cas échéant.
  • Ressources : Tous les systèmes d’information, sans égard à leur support ou à leur format, qu’ils soient conservés à l’interne ou à l’externe, tels que les systèmes en infonuagique.
  • Renseignements : Tout renseignement personnel, peu importe le format et l’endroit de conservation (à l’interne ou à l’externe). La notion de « renseignement personnel » est interprétée largement, de manière à inclure ceux concernant les employés du GMPS et toute autre personne, lorsqu’applicable. Toutefois, et conformément aux lois applicables, certains renseignements ne se qualifieront pas à titre de « renseignements personnels ».

 

2. PRINCIPES DIRECTEURS

Dans le cadre de sa mission et de ses activités, le GMPS est appelé à détenir et/ou à traiter divers types de renseignements personnels. À cet effet, GMPS insiste sur l’importance que tout traitement ait lieu selon les principes directeurs suivants :

  • la collecte de renseignements personnels doit être nécessaire et requise ou permise par la loi (et, lorsqu’applicable, par tout contrat);
  • tout renseignement personnel est considéré, par défaut, comme confidentiel et est traité de cette façon;
  • aucun renseignement personnel ne peut faire l’objet de traitements à moins que les consentements requis n’aient été obtenus ou que ces traitements soient permis ou requis par la loi;
  • la protection des renseignements personnels doit être assurée entre autres par la mise en place et le respect de mesures de sécurité adéquates;
  • les renseignements personnels ne peuvent être conservés que pour la période requise pour les fins pour lesquelles ils ont été colligés (sujets aux exceptions légales et contractuelles applicables); et
  • toute demande (d’accès, de rectification et autres) et tout incident de confidentialité doivent être immédiatement rapportés au responsable applicable. 

 

3. COLLECTE, UTILISATION ET COMMUNICATION DE RENSEIGNEMENTS PERSONNELS

Dans le cadre de ses activités, le GMPS peut recueillir, utiliser, communiquer et/ou autrement traiter, selon le cas, des renseignements personnels concernant différentes catégories de personnes, à savoir : (i) ses employés; (ii) les individus dont les renseignements personnels sont colligés dans le registre de cancer du sein métastatique (le Registre), sous le contrôle et la gestion du GMPS en collaboration avec L’Institut de recherche du Centre universitaire de santé McGill; (iii) les membres de son comité scientifique ou des autres membres de ses comités ; (iv) certains chercheurs ou employés d’institutions publiques offrant des services au GMPS ou souhaitant agir à titre de chercheurs principaux dans le cadre d’études pour lesquelles le GMPS reçoit des informations de promoteur ; et (iv) les visiteurs de son Site (tel que défini dans la politique de confidentialité du GMPS) qui interagissent avec le GMPS et/ou, lorsqu’applicable, tout membre du public communiquant avec le GMPS.

(i) Renseignements personnels concernant les employés

Le GMPS procède à la collecte et au traitement de renseignements personnels requis concernant ses employés dans la mesure où cela est : (i) nécessaire pour gérer sa relation d’emploi avec ses employés ; (ii) permis par la loi ; ou (iii) nécessaire pour se conformer aux exigences légales et contractuelles applicables. Ces collectes et traitements sont limités à ces fins. Ces renseignements requis sont colligés et autrement traités avec le consentement des employés, à moins que la loi ne permette ou ne requière telle collecte ou tels autres traitements sans le consentement, auquel cas le consentement des employés ne sera pas requis.

Les renseignements facultatifs sont aussi colligés si les employés y consentent.  

Le GMPS ne fournira pas à des tiers des renseignements personnels concernant ses employés sans leur consentement, à moins d’une exception prévue par la loi ou portée à l’attention des employés concernés.

(ii) Renseignements personnels concernant les individus dont les renseignements sont colligés au Registre

Le GMPS procède à la collecte et au traitement de renseignements personnels concernant des individus ayant consenti à ce que leurs renseignements personnels soient conservés au Registre (un Participant). Tout renseignement personnel recueilli et/ou traité à cette fin le sera conformément aux modalités et précisions fournies dans le formulaire de consentement signé par chaque Participant, ainsi que les autres documents applicables au Registre, dont notamment le Cadre de gestion du Registre de cancer du sein métastatique du Groupe McPeak-Sirois de recherche clinique en cancer du sein (collectivement, les Documents du Registre). 

Les Documents du Registre détailleront également les fins auxquelles ces renseignements personnels seront utilisés. Finalement, les Documents du Registre préciseront les circonstances dans lesquelles des renseignements personnels sur les Participants pourront être communiqués à des tiers. 

(iii) Membres des comités

Divers comités, incluant notamment le comité scientifique, le comité des opérations et le comité des patientes et partenaires, ont été créés afin d’appuyer le GMPS, incluant son conseil d’administration, dans ses activités. Le GMPS est appelé à colliger et à traiter certains renseignements personnels concernant les membres de ses comités, notamment des informations en lien avec leur expérience et leur expertise, de même que leurs coordonnées. Ces collectes et traitements auront lieu sur la base du consentement implicite ou explicite obtenu. Le GMPS ne fournira pas à des tiers des renseignements personnels qu’il détient au sujet de ces personnes sans leur consentement, à moins d’une exception prévue par la loi ou portée à l’attention des personnes concernées.

(iv) Chercheurs et employés d’institutions publiques

Dans le cadre de ses activités, le GMPS peut retenir les services de chercheurs ou d’employés d’institutions publiques pour réaliser, avec celles-ci, des services au bénéfice du GMPS. De même, certains chercheurs peuvent souhaiter participer à des études pour lesquelles le GMPS a obtenu des informations de promoteurs. Dans de tels cas, le GMPS sera appelé à colliger et à traiter certains renseignements personnels concernant ces personnes. Ces collectes et traitements auront lieu sur la base du consentement implicite ou explicite obtenu. Le GMPS ne fournira pas à des tiers des renseignements personnels qu’il détient au sujet de ces personnes sans leur consentement, à moins d’une exception prévue par la loi ou portée à l’attention des personnes concernées.

(v) Renseignements personnels concernant toute autre personne 

Le GMPS peut être appelé à colliger et à traiter des renseignements personnels des membres du public qui communiquent avec lui. Ces collectes et traitements auront lieu sur la base de leur consentement (p.ex. : une personne communique avec le GMPS pour postuler sur une offre d’emploi, ou pour poser une question en lien avec les activités du GMPS). Le GMPS ne fournira pas à des tiers des renseignements personnels qu’il détient au sujet d’une personne sans son consentement, à moins d’une exception prévue par la loi ou portée à l’attention des personnes concernées.

 

4. CONSENTEMENTS 

Le cadre de gouvernance du GMPS insiste sur l’importance qu’un consentement valide existe en lien avec la collecte ou tout autre traitement de renseignements personnels. Ce consentement peut être implicite ou explicite. Le GMPS déploie des efforts raisonnables pour s’assurer que les consentements explicites soient manifestes, libres, éclairés, donnés à des fins spécifiques, demandés pour chaque fin en termes simples et clairs, présentés distinctement des autres informations communiquées et, pour les renseignements sensibles, formulés de manière expresse. Le cadre de gouvernance rappelle toutefois que la loi reconnaît certaines situations où un consentement ne sera pas sollicité ou n’aura pas à être sollicité. Il est prêté assistance à toute personne qui le requiert afin de l’aider à comprendre la portée du consentement demandé.

Le consentement d’un Participant à la collecte et au traitement de ses renseignements personnels sera obtenu conformément aux Documents du Registre, et les modalités de ceux-ci auront préséance à l’égard des conditions de validité du consentement ainsi donné au GMPS.

 

5. CONSERVATION, DESTRUCTION ET ANONYMISATION

Le GMPS conserve les renseignements personnels recueillis seulement aussi longtemps que requis pour réaliser les fins pour lesquelles ils ont été colligés ou pour une durée plus longue lorsque la loi l’exige ou l’autorise. Le GMPS procédera à la destruction ou à l’anonymisation, le cas échéant des renseignements personnels détenus lorsque les fins auxquelles ceux-ci ont été recueillis ou utilisés sont accomplies (sous réserve d’un délai de conservation prévu par la loi); le GMPS a notamment mis en place des calendriers de conservation pour l’assister à ce niveau. 

Dans le cas des renseignements personnels concernant les Participants, ceux-ci seront conservés par le GMPS pour la durée du Registre, comme plus amplement décrit aux Documents du Registre.

 

6. COMMUNICATION DE RENSEIGNEMENTS PERSONNELS À L’EXTÉRIEUR DU QUÉBEC

Le GMPS procédera à une évaluation des facteurs relatifs à la vie privée avant de communiquer un renseignement personnel à l’extérieur du Québec afin d’en assurer la confidentialité et la sécurité. En ce qui a trait aux renseignements personnels des Participants, ceux-ci ne seront pas communiqués (à l’extérieur du Québec ou autrement) du fait que seuls des résultats (et non ces renseignements) peuvent être fournis à des demandeurs.

 

7. COMMUNICATION DE RENSEIGNEMENTS PERSONNELS À DES FINS D’ÉTUDE, DE RECHERCHE OU DE PRODUCTION DE STATISTIQUES

Conformément à la loi, le GMPS pourrait, dans certains cas, communiquer des renseignements personnels dont il détient sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques. Une évaluation des facteurs relatifs à la vie privée devra toutefois être réalisée et, si celle-ci permet de conclure que des renseignements peuvent être communiqués, une entente sera conclue avec le demandeur. Les formalités imposées par la loi devront aussi être respectées. Ce qui précède ne s’appliquera toutefois pas aux Renseignements personnels de participants, lesquels seront régis par les Documents du Registre.

 

8. PROJET TECHNOLOGIQUE IMPLIQUANT DES RENSEIGNEMENTS PERSONNELS

Le GMPS procédera à une évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant la des renseignements personnels selon le processus prescrit par la loi. La gestion des systèmes d’information ou de prestation électronique de services impliquant la collecte ou tout autre traitement des Renseignements personnels contenus au Registre sera effectuée conformément à ce qui est prévu aux Documents du Registre et, le cas échéant, selon les exigences ministérielles applicables.  

 

9. RECOURS À UNE TECHNOLOGIE D’IDENTIFICATION, DE LOCALISATION OU DE PROFILAGE

Advenant que le GMPS ait recours à une technologie comprenant des fonctions permettant d’identifier une personne, de la localiser ou d’effectuer un profilage de celle-ci, alors cette personne sera informée au préalable : (i) du recours à une telle technologie; et (ii) des moyens offerts pour activer les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage, le tout conformément à la loi. 

 

10. PRISE DE DÉCISION FONDÉE SUR LE TRAITEMENT AUTOMATISÉ DE RENSEIGNEMENTS PERSONNELS

Advenant que le GMPS utilise des renseignements personnels afin que soit rendue une décision fondée exclusivement sur un traitement automatisé de ceux-ci, alors le GMPS veillera à informer la personne concernée de ce fait, au plus tard au moment où la décision du GMPS lui est communiquée, conformément aux lois applicables, le tout conformément à la loi.

 

11. SITE INTERNET

Une politique de confidentialité et un avis relatif à l’utilisation de témoins ont été inclus au site Internet du GMPS afin de diffuser des précisions quant à ses pratiques. Le GMPS veillera à mettre à jour cette politique et cet avis lorsque cela sera requis, notamment si le gouvernement en détermine le contenu et les modalités, et s’assurera que ces documents soient rédigés en termes simples et clairs.

 

12. MESURES DE SÉCURITÉ POUR LA PRÉSERVATION DES RENSEIGNEMENTS PERSONNELS

Le GMPS est responsable de la protection de tous les renseignements personnels qu’il détient. Le GMPS a désigné un responsable et a mis en œuvre des politiques et des procédures, qui garantissent que les renseignements personnels sont raisonnablement protégés. Ces mesures incluent notamment des mesures (i) internes; (ii) à l’égard des sous-traitants; et (iii) en matière de gestion des incidents de confidentialité. 

Concernant les renseignements personnels des Participants, le GMPS prend des mesures afin de s’assurer que tout partenaire ayant accès au Registre et à son contenu ait des mesures de sécurité adéquates afin de conserver la confidentialité et l’intégrité de ces renseignements personnels. 

 

13. DEMANDE D’ACCÈS, DE RECTIFICATION ET AUTRES

En règle générale, les personnes bénéficient, à l’égard de leurs renseignements personnels, du droit (i) d’obtenir de l’information concernant les renseignements personnels recueillis à leur égard par le GMPS; (ii) de savoir les catégories de personnes qui y ont accès et leur durée de conservation; (iii) d’accéder à leurs renseignements personnels et d’en obtenir copie; et (iv) de retirer leur consentement à la collecte et/ou l’utilisation de leurs renseignements personnels, de faire rectifier des renseignements inexacts ou, dans certaines circonstances, de demander la suppression d’un renseignement personnel.

Les demandes d’accès, de rectification et autres sont traitées par le GMPS conformément à la loi. Le responsable de la protection des renseignements personnels prête assistance aux demandeurs si ceux-ci le requièrent. L’assistance offerte inclut les éléments suivants :

  • lorsque la demande n’est pas suffisamment précise ou que le demandeur le requiert, le responsable de la protection des renseignements personnels prête assistance au demandeur pour identifier les renseignements personnels recherchés.
  • sujet aux lois applicables et suivant une demande formulée à cet effet, le responsable de la protection des renseignements personnels: 
  • confirmera l’existence de renseignements personnels détenus et qui concerne le demandeur et, lorsqu’applicable, lui en donnera communication (ou lui permettra d’en obtenir une copie); et 
  • corrigera les renseignements personnels le concernant qui seraient inexacts, incomplets ou équivoques.
  • dans l’éventualité d’un refus de donner suite à une demande d’accès ou autre, les motifs de ce refus seront communiqués au demandeur conformément à la loi. Le responsable de la protection des renseignements personnels prêtera alors assistance au demandeur qui le demande pour l’aider à comprendre ce refus. 

Le responsable de la protection des renseignements personnels veillera à :

  • offrir une aide raisonnable tout au long du processus de traitement d’une demande;
  • fournir des renseignements au sujet de la loi, notamment en ce qui concerne le traitement d’une demande et le droit de porter plainte auprès de la Commission d’accès à l’information;
  • communiquer avec le demandeur si des précisions sont requises au sujet d’une demande, telle communication ayant lieu dès que raisonnablement possible;
  • déployer les efforts raisonnablement requis pour trouver les documents demandés;
  • s’assurer que les exceptions invoquées (en lien avec un refus de communiquer tout ou partie de documents) soient précises et limitées (à tels documents);
  • fournir des réponses qui, au meilleur de sa connaissance, sont exactes et complètes;
  • communiquer promptement l’information demandée dans le cadre du processus d’accès; et
  • s’il y a lieu, fournir les documents sur le support demandé ou, selon le cas, fournir un endroit approprié pour examiner les documents visés par la demande.

L’assistance offerte n’oblige toutefois pas le responsable de la protection des renseignements personnels à fournir plusieurs fois les mêmes explications à un demandeur. De même, une fois que les informations nécessaires pour aider un demandeur à comprendre la décision ont été données, le responsable de la protection des renseignements personnels peut choisir de cesser de lui fournir des explications.

 

14. COORDONNÉES ET INFORMATIONS COMPLÉMENTAIRES

Pour toute préoccupation, question, requête ou plainte à propos du sommaire ou de la gestion des renseignements personnels par le GMPS, les personnes peuvent contacter le responsable de la protection des renseignements personnels aux adresses suivantes : Responsable de la protection des renseignements personnels

Groupe McPeak-Sirois de recherche clinique en cancer du sein

Adresse: 460, rue McGill, 5e étage, Montréal (Québec) H2Y 2H2

Courriel : d.johnson@mcpeaksirois.org

Téléphone : 514-509-8858

Améliorer la lutte contre le cancer du sein en augmentant l’accès et la participation aux protocoles de recherche clinique.

Dans le but d’alléger le texte, patientes est utilisée au féminin puisque le cancer du sein touche majoritairement des femmes.

info@registrecancersein.org

+1 514 509 8855

+1 514 509 8855