PROTECTION DES RENSEIGNEMENTS PERSONNELS ET ACCÈS À L'INFORMATION

Préambule

En vertu du l’article 3 de la Loi sur les directeurs de services funéraires et les établissements funéraires, la mission principale du Conseil est de réglementer les activités des directeurs de services funéraires et des personnes qui exploitent des établissements funéraires et des services de transfert, conformément à la législation, afin de servir et de protéger les intérêts du public. Pour remplir sa mission, le Conseil doit recueillir, utiliser et divulguer des renseignements personnels, principalement au sujet de ses membres, mais parfois au sujet de tiers. Le Conseil a aussi une obligation importante en matière de confidentialité en vertu de l’article 48 de la Loi. Cette obligation est sujette à des exceptions, particulièrement «l’application de la présente loi et des règlements ou une instance introduite en vertu de la présente loi ou de règlements les y oblige». Cette dernière exception est vaste et peu structurée.

On assiste à présent à une tendance accrue vers un renforcement de la protection des renseignements personnels et à la mise en place de lignes directrices officielles pour la cueillette, l'utilisation et la divulgation de ce genre de renseignements, même dans le secteur privé. Par exemple, le 1er janvier 2004, la Loi fédérale sur la « Protection des renseignements personnels et des documents électroniques» entrait en vigueur au niveau provincial en s'appliquant aux entreprises commerciales, sauf si une législation provinciale fortement similaire était déjà en vigueur. En outre, en 2002 et 2003, le Ministère ontarien des services aux consommateurs et aux entreprises s'est penché sur un projet de Loi qui pourrait s'appliquer aux entités à but non lucratif comme le Conseil. À titre d'organisme d'intérêt public, le Conseil se doit de faire preuve de transparence dans ses procédés et dans ses activités. On réalise aussi de plus en plus que donner au public l'accès à des renseignements personnels qui le concerne renforce l'exactitude de ces renseignements. Plutôt que d'attendre une action gouvernementale, le Conseil souhaite prendre les devants en mettant au point une politique qui traitera de cette question.

Le but de cette politique est de procurer des directives plus précises dans l'interprétation des obligations du Conseil en matière de cueillette, d'utilisation et de divulgation de renseignements personnels, y compris lorsque la divulgation n’est pas appropriée.

1. Dans le but d'accomplir sa mission, le Conseil a l'autorité de recueillir, d'utiliser et de divulguer des renseignements personnels. Par renseignements personnels, on entend tous renseignements sur une personne bien distincte autre qu'un titre d'affaires et une personne-ressource à l'information. Le Conseil ne recueillera pas, n'utilisera pas ou ne divulguera pas de renseignements personnels autres que ceux raisonnablement nécessaires pour exécuter ses activités de réglementation et de supervision, ainsi que pour gérer ses opérations.

2. Les renseignements personnels que recueille, utilise et divulgue le Conseil seront aussi exacts, aussi complets, et aussi à jour que le demande le but de la cueillette, de l'utilisation ou de la divulgation suivant le cas, sans contrevenir a l’article 48 de la Loi.

3. Le Conseil prendra les mesures raisonnables pour s'assurer que les renseignements personnels sous sa garde ou sous son contrôle sont protégés contre l'utilisation ou la divulgation non autorisée et pour s'assurer que les dossiers contenant les renseignements sont protégés contre la reproduction, la modification ou la destruction non autorisées. Ce qui constitue des mesures raisonnables sera déterminé eu égard à toutes les circonstances, y compris la nature délicate des renseignements, leur quantité et le format dans lequel ils sont sauvegardés. Ces mesures devront comprendre ce qui suit :

(a) Une fois approuvé, remettre une copie du Code du Conseil sur la « Protection des renseignements personnels et accès à l'information » au personnel du Conseil et au personnel nouvellement embauché ou engagé,

(b) Donner une formation au personnel en matière de confidentialité des renseignements personnels. L'accès se fera selon le principe « du besoin de savoir ».

(c) Donner une formation au personnel quant aux méthodes visant à maintenir la sécurité des renseignements personnels

(d) Exiger du personnel qu'il signe une déclaration de confidentialité.

(e) Exiger que les renseignements personnels qui ne sont pas dans une zone sécuritaire soient inaccessibles ou autrement dit qu'ils soient protégés contre l'accès non autorisé.

(f) Exiger que les renseignements personnels sur support papier soient détruits par déchiquetage ou autrement détruits avant leur mise au rebut.

(g) Exiger l'utilisation d'une protection par mot de passe, de coupe-feux informatiques, de protection anti-virus et autres mesures de sécurité reconnues pour la protection des renseignements électroniques.

(h) Exiger une supervision et une évaluation permanentes visant à assurer la destruction des données électroniques avant la mise au rebut du matériel informatique qui les supportait.

(i) Obtenir des garanties raisonnables en matière de confidentialité de la part des agents du Conseil à qui l'accès aux renseignements personnels est autorisé.

4. Il incombera au Conseil :

(a) de faire connaître au public ses politiques et méthodes en matière de cueillette, d'utilisation et de divulgation de renseignements personnels, y compris en remettre une copie écrite sur demande et en afficher une copie sur son site Web

(b) de désigner une personne ou des personnes sous le titre d'Agent de protection de l'information dont la responsabilité sera de s'assurer que le Conseil respecte les politiques et méthodes reprises au paragraphe (a).

5. L'Agent de protection de l'information enregistrera et examinera les plaintes écrites du public quant aux infractions présumées du Conseil envers ses obligations spécifiées dans cette partie de la politique, y compris les demandes pour accéder à des renseignements personnels ou pour les corriger. Le cheminement de la plainte sera le suivant :

(a) l'Agent de protection de l'information examinera la plainte, préparera un rapport écrit avec ses constatations et le transmettra à la personne ayant introduit la plainte ainsi qu'au Comité de direction du Conseil.

(b) Le rapport sera remis au plaignant ou à la plaignante dans les 30 jours à dater de la plainte. Si l'Agent de protection de l'information n'est pas en mesure de terminer le rapport dans les 30 jours, il en avisera le plaignant ou la plaignante ainsi que le Comité de direction, en leur indiquant la date estimée à laquelle le rapport sera terminé.

(c) Si un plaignant ou une plaignante venait à contester le rapport, il ou elle pourrait demander au Comité de direction du Conseil de le revoir et de le reconsidérer. Une demande de révision et de reconsidération devra être introduite auprès le Conseil par écrit en indiquant les raisons de la demande. L'Agent de protection de l'information disposera alors de 30 jours pour donner au Comité de direction et au plaignant ou à la plaignante une réponse à la demande de révision. Le Comité de direction examinera les motifs donnés par écrit et il rendra sa décision au nom du Conseil. La décision du Comité de direction du Conseil est définitive.

(d) Si le rapport de l'Agent de protection de l'information venait à recommander que certaines mesures soient prises par le Conseil ou en cas de révision, si le Comité de direction décidait que certaines mesures doivent être prises par le Conseil, le personnel du Conseil aviserait le Comité de direction dans les 30 jours, et à tout autre moment comme le demanderait le Comité de direction, de la suite ayant été réservée à ces mesures.

6. Sous réserve de l’article 7, le Conseil ne gardera aucun dossier de renseignements personnels une fois que le but pour lequel le Conseil avait recueilli les renseignements aura été atteint sauf :

(a) si une autre loi demande ou autorise le Conseil à conserver le dossier,

(b) si le Conseil a un besoin raisonnable du dossier pour des besoins reliés à ses activités de réglementation ou de surveillance, y compris la réglementation future de ses membres, ou

(c) si le dossier est transféré à ses archives pour des besoins de conservation permanente ou de recherche historique.

En vue d'atteindre cet objectif, le Conseil dispose d'une période de rétention et d'une politique de destruction.

7. Si le Conseil avait utilisé un dossier de renseignements personnels pour une personne afin de prendre une décision sur celle-ci, il conservera le dossier suffisamment longtemps après avoir pris la décision pour donner à la personne une opportunité raisonnable de demander l'accès aux renseignements. Cette obligation ne s'applique pas si la personne avait déjà obtenu l'accès aux renseignements avant la prise de décision.

8. Le Conseil peut divulguer des renseignements personnels sur une personne sans le consentement de cette dernière :

(a) si cela est fait pour des motifs reliés à ses activités de réglementation et de supervision,

(b) pour diriger les opérations du Conseil (par exemple, les renseignements personnels des membres du Conseil et des comités, comme les numéros de téléphone ou les adresses),

(c) si autrement requise ou autorisée par une loi de faire une divulgation.

9. Le Conseil permettra à une personne d'avoir accès au dossier de renseignements personnels sur la personne étant sous sa garde ou sous son contrôle, sous réserve des réglementations et restrictions qui peuvent être nécessaires ou appropriées pour permettre au Conseil d'assurer ses activités de réglementation et de supervision. Par exemple, le Conseil pourra refuser de donner accès à des renseignements personnels lorsque :

(a) l'accès peut raisonnablement interférer avec une activité de réglementation et de supervision du Conseil, y compris enquête, examen ou audience,

(b) l'accès peut raisonnablement révéler une source confidentielle de renseignements qu'il incombe au Conseil de raisonnablement protéger pour éviter un abus de confiance,

(c) l'accès peut raisonnablement révéler des renseignements personnels sur une autre personne qui n'a pas consenti à l'accès,

(d) l'accès peut raisonnablement interférer avec les activités de réglementation et de supervision d'un autre organisme de réglementation ou d'un organisme d'exécution de la loi,

(e) l'accès peut raisonnablement mettre la santé ou la sécurité d'une personne en danger,

(f) l'accès est raisonnablement disponible à partir d'une autre source plus appropriée,

(g) l'accès peut raisonnablement révéler des renseignements privilégiés par une loi,

(h) l'accès est interdit par une autre loi.

10. Sous réserve des articles 11 et 12, le Conseil permettra à une personne ayant accès à des renseignements personnels de faire corriger les énoncés des faits inexacts ou incomplets par le Conseil dans les dossiers de renseignements personnels au sujet de la personne étant sous la garde ou sous le contrôle du Conseil.

11. Le Conseil peut refuser de corriger des renseignements personnels lorsqu'on peut raisonnablement entrevoir que la correction de ces enseignements interférerait avec les activités de réglementation et de supervision du Conseil ou avec la gestion des opérations du Conseil, lorsque :

(a) la personne faisant la demande de correction ne fournit pas de renseignements suffisants pour permettre au Conseil d'évaluer la correction demandée;

(b) le fait que la déclaration ait été faite, que ce soit exact ou pas, est pertinent aux activités de réglementation et de supervision du Conseil;

(c) la correction peut raisonnablement interférer avec une démarche de réglementation et de supervision du Conseil y compris enquête, examen ou audience;

(d) la correction peut raisonnablement interférer avec les activités de réglementation et de supervision d'un autre organisme de réglementation ou d'un organisme d'exécution de la loi;

(e) la correction peut changer un document original appartenant à quelqu'un d'autre et qui sera par la suite retourné à cette personne; ou

(f) la correction est interdite par une autre loi.

12. Une personne ou les clients de cette personne n'aura pas ou n’auront pas le droit de faire faire une correction par le Conseil en vertu de l’article 10 si le Conseil détermine ne pas avoir la connaissance, ni l'expertise, ni l'autorité suffisantes pour effectuer la correction.

13. Lorsque le Conseil consent à corriger un dossier de renseignements personnels, la correction sera apportée de manière à ne pas détruire l'entrée originale, sauf s'il n'y a aucune raison pour le Conseil de la conserver.

14. Si le Conseil consent à corriger un dossier de renseignements personnels, le Conseil fournira un avis écrit à toute personne ayant reçu le dossier original au cours des 12 mois précédents, sauf si cela n'est pas réalisable ou si cela devait raisonnablement interférer avec les activités de réglementation et de supervision ou la gestion des opérations du Conseil.

15. Si le Conseil refuse une demande de corriger un dossier de renseignements personnels, il versera au dossier toute déclaration de désaccord de moins de 500 mots fournie par la personne concernée par les renseignements, sauf si cela n'est pas faisable ou si cela devait raisonnablement interférer avec les activités de réglementation et de supervision ou de gestion des opérations du Conseil.

16. Si le consentement d'une personne ou l'action d'une personne est requise ou autorisée en vertu de la présente politique, alors que la personne est incapable de donner son consentement ou d'agir, le Conseil peut accepter le consentement ou l'action d'un représentant personnel ou d’autre remplaçant raisonnable pour la personne.