You are here

Page d'accueil
Politique sur la confidentialité

Politique sur la confidentialité

Objectif :

Cette politique a pour but de veiller à ce que les associés, organisations partenaires, consultants et fournisseurs attestent que les renseignements d'entreprise d'AmerisourceBergen Canada et les renseignements sur ses clients sont protégés d'une manière absolue.

Procédure :

Engagement envers la protection des renseignements personnels :  AmerisourceBergen Canada (ABCC) est un chef de file parmi les fournisseurs de services de santé de premier plan au Canada. Ses services principaux incluent la distribution et la vente en gros de médicaments, de produits et de services technologiques pharmaceutiques,  de services d'entreprise spécialisés axés sur différentes spécialités d'approvisionnement pharmaceutique et de pharmacies, comme des programmes de spécialité, des services infirmiers&en clinique, des services spécialisés en pharmacie, des services de distribution spécialisée, les& services logistiques tiers, la consultation stratégique, l'accès au marché et les remboursements.

Quand ABCC offre ces services, la société est responsable de protéger la confidentialité et la protection des renseignements personnels dont elle a le contrôle et la garde.  ABCC s'engage à respecter des normes strictes de protection des renseignements personnels dans ses pratiques en matière d'information, et respecte toutes les lois applicables en matière de protection des renseignements.  L'entreprise adopte les 10 principes en matière de protection des renseignements personnels établis dans le Code type sur la protection des renseignements personnels du Conseil canadien des normes (l'Annexe I de laLoi sur la protection des renseignements personnels et les documents électroniques (Canada) (LPRPDE).

Les voici.

  • Responsabilité
  • Détermination des fins de la collecte des renseignements
  • Consentement et limite de la collecte
  • Limitation de l’utilisation
  • Limitation de la communication et de la conservation
  • Exactitude
  • Mesures de sécurité
  • Transparence
  • Accès aux renseignements personnels
  • Possibilité de porter plainte à l’égard du non-respect des principes

Respect des lois fédérales et provinciales en matière de protection des renseignements :  En plus de respecter la LPRPDE, AmerisourceBergen Canada fera en sorte, le cas échéant, que ses pratiques en matière d'information respectent toute loi provinciale en matière de protection des renseignements.  

Portée :

  • Cette politique s'applique aux renseignements personnels et aux renseignements personnels sur la santé de personnes, de patients et d'associés recueillis, utilisés ou divulgués par ABCC et ses associés, entrepreneurs et agents pour offrir ses services.  Cette politique de confidentialité protection des renseignements personnels est le fondement des pratiques en matière d'information de l'entreprise et établit les principes selon lesquels ABCC recueille, utilise et divulgue des renseignements personnels et des renseignements personnels sur la santé. 

Définitions :

  • On entend paragenttoute personne qui agit, après y avoir été autorisée par l'organisation, au nom de l'organisation ou pour son compte et exerce ses pouvoirs ou effectue des tâches rattachées aux renseignements personnels pour les besoins de l'organisation et non ses propres besoins, qu'elle soit à l'emploi ou non de l'organisation ou rémunérée ou non par celle-ci.  Les agents peuvent être des bénévoles, des étudiants, des consultants, des associés, des fournisseurs et des entrepreneurs.
  • On entend par collecte le fait de recueillir, d'acquérir ou d'obtenir des renseignements personnels, peu importe la source, dont des renseignements de tiers, peu importe le moyen utilisé. 
  • On entend parconsentement l'acceptation volontaire de ce qui est fait ou proposé.  Le consentement peut être exprès ou tacite.  Le consentement exprès est donné explicitement, à l'oral ou par écrit.  Le consentement exprès est sans équivoque et ne requiert aucune inférence de la partie qui le demande.  Il y a consentement tacite quand celui-ci peut raisonnablement être déduit par l'action ou l'inaction de la personne. 
  • On entend pardivulgation la diffusion ou la transmission de renseignements personnels à une autre personne ou organisation ou à un autre détenteur de l'information; elle n'entend pas l'utilisation de l'information.  Il faut distinguer la divulgation du « transfert » de l'information à des agents ou à des tiers, qui ne font que traiter les renseignements pour le compte de l'organisation. 
  • On entend parpratiques en matière d'information les politiques d'un gardien de l'information sur le moment, la manière et la raison qui entourent la collecte, l'utilisation, la modification, la divulgation, la conservation ou l'élimination régulières des renseignements personnels, ainsi que les mesures et pratiques de protection administratives, technologiques et physiques utilisées pour protéger les renseignements personnels. 
  • On entend parrenseignements personnels sur la santé tout renseignement factuel ou subjectif, consigné par écrit ou non, relativement à une personne, vivante ou décédée, qui se rapporte à la santé physique ou mentale de cette personne, à tout service de santé fourni à cette personne ou à de l'information recueillie pour offrir des services de santé à cette personne ou de façon accessoire.  Les renseignements personnels sur la santé sont un sous-ensemble de renseignements personnels. Toutes les références aux renseignements personnels englobent les renseignements personnels sur la santé. 
  • On entend par renseignements personnelstout renseignement factuel ou subjectif, consigné par écrit ou non, au sujet d'une personne identifiable, qui ne comprend cependant pas le nom, le titre ou l'adresse ou le numéro de téléphone d'affaires d'un associé d'une organisation.  Au nombre des renseignements personnels figurent, sans toutefois s'y limiter, l'âge, le nom, l'adresse, la date de naissance, le numéro d'assurance sociale, le numéro d'identité, le revenu, le sexe, l'origine ethnique, les renseignements personnels sur la santé, les opinions, les évaluations, les commentaires, le statut social, les dossiers médicaux, les dossiers de crédit, les renseignements sur la propriété, les relevés de revenu et le fardeau de la dette.  
  • On entend par dossier un document contenant de l'information, peu importe la forme ou le format, dont la forme écrite, imprimée, photographique ou électronique, mais à l'exclusion des logiciels informatiques et d'autres mécanismes qui produisent un dossier. 
  • On entend parsécurité les mesures et techniques de protection physique, technologique et administrative conçues pour veiller à ce que les renseignements personnels demeurent confidentiels, accessibles et intègres.  Au nombre des mesures de protection comptent le chiffrement, les mots de passe et les pare-feu conçus pour empêcher un accès non autorisé à l'information, pour protéger l'intégrité des ressources informatiques et pour limiter les dommages potentiels qu'un accès non autorisé pourrait causer 
  • On entend par utilisation la manipulation ou le traitement de renseignements personnels à AmerisourceBergen Canada ou par ses agents, mais ne signifie pas la divulgation de renseignements personnels.

Principes de confidentialité :

AmerisourceBergen Canada a mis en place un programme de protection des renseignements dans le but d'atteindre les objectifs suivants en matière de confidentialité :

Principe 1—Responsabilité des renseignements personnels
ABCC est responsable de protéger les renseignements personnels dont elle a la garde ou le contrôle, et a désigné un agent principal et un agent secondaire de protection de la confidentialité, responsables de la mise en œuvre du programme de confidentialité d'ABCC.  Les agents de protection de la confidentialité sont responsables de mettre en application les lois fédérales et provinciales pertinentes, ainsi que les 10 principes de confidentialité établis dans ce document.  

  • L'entreprise est responsable des renseignements personnels qu'elle possède ou dont elle a la garde, dont les renseignements transférés à un tiers qui devra les traiter.  ABCC utilisera des moyens contractuels ou autres pour offrir un niveau de protection au moins équivalent au sien lorsque les renseignements sont traités par un tiers.
  • Le nom et les coordonnées des agents de protection de la confidentialité seront rendus publics sur demande.  Voici les noms et les coordonnées des agents de protection de la confidentialité :

    Les agents de protection de la confidentialité agissant pour le compte d'AmerisourceBergen Canada Corporation et de ses filiales canadiennes (y compris, sans s'y limiter, ABCC, ABSGC, Innomar Strategies Inc.) sont :

    L'agent principal de protection des renseignements personnels est : Cynthia Siksay, directrice, Services de l'entreprise
    L'agent secondaire de protection des renseignements personnels est : Amélie Basque-Chapman, directrice principale, Opérations internes

    Voici les coordonnées de ces personnes :
    3450 Harvester Road, Burlington, Ontario L7N 3M7, Canada
    Tél. : 905 681-6551
    Télécopieur : 905 681-6090
    Sans frais : 1 888 420-5457
    Courriel :privacy@innomar-strategies.com
  • Les agents de protection des renseignements personnels sont responsables de :
    1. Mettre en œuvre des pratiques de traitement des renseignements de manière à protéger les renseignements personnels, dont les renseignements liés aux personnes, aux patients, aux associés et aux agents.
    2. Cerner et examiner des problèmes éventuels liés à la conformité aux principes de confidentialité.
    3. Établir des politiques et procédures de réception de plaintes et de réponse aux plaintes, d'atteinte à la confidentialité, dont la perte de renseignements personnels ou l'utilisation inappropriée de renseignements personnels, et de demandes de renseignements.
    4. Former le personnel et les agents et leur faire part des pratiques en matière de renseignements d'ABCC.
    5. Élaborer des plans et transmettre au public et aux principaux intervenants des renseignements pour expliquer les pratiques de traitement des renseignements d'ABCC. 
  • La haute direction d'ABCC est l'ultime responsable de la conformité aux principes de confidentialité au nom de l'organisation.  Pendant la mise en œuvre de services, d'initiatives, de programmes pour les patients, de programmes de conformité, d'initiatives d'étude de marché ou de tout autre type de programme, l'entreprise doit en tout temps veiller à ce que ses politiques en matière de protection des renseignements personnels soient comprises, connues, mises à jour, communiquées et mises en œuvre par tout le personnel d'ABCC et pendant la mise en œuvre de tous les projets d'ABCC ou de projets connexes.
  • Tous les associés et agents d'ABCC sont responsables de leur propre conformité aux pratiques de traitement des renseignements d'ABCC pour les renseignements personnels qu'ils recueillent, utilisent et divulguent dans le cadre de leur travail.
  • Tous les projets ou programmes en cours doivent être assortis d'un protocole de projet ou d'une Procédure opératoire normalisée (PON) sur le traitement des renseignements personnels.  Le directeur et le directeur principal qui supervisent le projet ou l'activité sont responsables de veiller à ce que :
    1. la PON sur la confidentialité du projet ou du programme a été élaborée;
    2. un exemplaire de la PON sur la confidentialité du projet ou du programme a été transmis à l'agent de protection des renseignements personnels, qui l'a approuvé;
    3. un contrôle continu, effectué au moins une fois par trimestre, soit entrepris et consigné dans un formulaire de contrôle de la conformité des principes généraux de confidentialité. Le formulaire de contrôle de la conformité des principes généraux de confidentialité rempli doit être consigné dans le dossier du protocole du projet ou du programme, et le formulaire de contrôle de la conformité des principes généraux de confidentialité sommaire doit être transmis à l'agent de protection de la confidentialité.
  • En cas de conflit avec un protocole ou une procédure opératoire normalisée du projet ou du programme, le protocole ou procédure opératoire normalisée du projet l'emportent sur une procédure ou un protocole général.
  • L'agent de protection de la confidentialité est responsable d'examiner et de mettre à jour la Politique en matière de protection des renseignements personnels au besoin, pour assurer sa conformité à la LPRPDE et les bonnes pratiques de gestion de la confidentialité.

Principe 2—Détermination des fins de la collecte des renseignements personnels
Quand des renseignements personnels sont recueillis, ou au préalable, ABCC désignera et avisera les personnes concernées des raisons pour lesquelles les renseignements personnels sont ou seront recueillis.  Il faut recueillir le moins d'information possible, et assurer le plus haut degré d'anonymat nécessaire à atteindre l'objectif précis. 

  • La détermination des fins de la collecte de renseignements au moment de la collecte, ou préalablement à la collecte permet à l'entreprise de déterminer quels renseignements sont nécessaires pour atteindre ces objectifs. 
  • Les renseignements personnels peuvent être utilisés dans différents programmes, projets ou initiatives.  La méthode de collecte doit être précisée dans le protocole de projet.  Les renseignements personnels ne peuvent servir qu'aux fins expresses pour lesquelles ces renseignements ont été recueillis (par exemple, un programme ou une initiative en particulier).  Selon la façon dont les renseignements sont recueillis, une explication des raisons peut être donnée verbalement ou par écrit à la personne dont les renseignements personnels sont recueillis.  ABCC devra également préciser le poste, le nom ou le titre de la personne qui peut, au nom d'ABCC, répondre aux questions de la personne au sujet de la collecte.  
  • Si les renseignements personnels recueillis doivent servir à des fins qui n'ont pas encore été identifiées, les nouvelles fins doivent être précisées avant l'utilisation.  Les nouvelles fins seront examinées par les agents de protection de la confidentialité pour qu'ils déterminent si elles sont appropriées et pour que les risques éventuels pour la confidentialité issus des nouvelles utilisations soient analysés et mitigés. Le consentement de la personne est requis avant que des renseignements personnels puissent être utilisés à de nouvelles fins, à moins que cette nouvelle utilisation ne soit pas requise par la loi.
  • À moins que la personne ait consenti à la collecte de ses renseignements personnels de tiers ou permise par la loi, tous les renseignements personnels seront recueillis directement de la personne à laquelle se rapportent les renseignements.
  • Si l'information est fournie à un associé d'ABCC par un tiers, la source doit être inscrite au dossier.  L'associé doit confirmer qu'il détient le consentement de la personne pour pouvoir recueillir l'information, et, dans la mesure du possible, il faut demander une confirmation ou une preuve du consentement.  Les professionnels de la santé doivent faire preuve de jugement professionnel lorsqu'ils doivent déterminer si une urgence ou une situation clinique justifie de prendre des mesures sans preuve ni obtention du consentement.
  • Toutes les communications où des renseignements personnels sont recueillis, utilisés ou divulgués doivent être consignées selon les normes professionnelles. 
  • Les dossiers doivent indiquer pourquoi et quand les renseignements ont été recueillis, par qui, de qui et la date, l'heure et la méthode d'échange d'information.

Principe 3—Consentement de la collecte, de l'utilisation et de la divulgation de renseignements personnels
La connaissance et le consentement de la personne sont requis pour la collecte, l'utilisation ou la divulgation de renseignements personnels, sauf si la loi l'autorise.  ABCC fera des efforts raisonnables pour veiller à ce que la personne soit avisé des raisons pour lesquelles les renseignements seront utilisés.  Les raisons doivent être expliquées de manière à ce que la personne puisse raisonnablement comprendre comment l'information sera utilisée ou divulguée.  Lorsque cela est approprié ou requis par les lois sur la confidentialité applicables, il faut obtenir le consentement écrit de la personne.  Parfois, le consentement d'une personne peut être obtenu verbalement ou tacitement, par l'entremise de son comportement à l'endroit d'ABCC. 

  • Avant la collecte, l'utilisation et la divulgation de renseignements personnels, les personnes visées seront informées du type de renseignement qui sera recueilli, des objectifs prévus par la collecte, de l'utilisation ou la divulgation de l'information, des catégories de personnes qui auront accès à l'information, de l'endroit où l'information sera entreposée, des droits de consulter et de corriger l'information et du droit de la personne de donner ou de retirer son consentement.  Le consentement de la personne qui fournit les renseignements personnels est requis, et doit être consigné.
  • ABCC déterminera le potentiel d'utilisation ou de divulgation ultérieures des renseignements personnels, et obtiendra le consentement au moment de la collecte, dans la mesure du possible. Voici les étapes de l'obtention du consentement :
    1. procéder à l'identification de la personne ou du représentant autorisé concerné (comme un gardien ou une personne ayant reçu une procuration si la personne est incapable de consentir);
    2. communiquer les renseignements à recueillir, utiliser ou divulguer;
    3. définir la raison de la collecte, de l'utilisation ou de la divulgation;
    4. si les renseignements donnés ne sont pas nécessaires pour offrir les services requis, la personne sera avisée qu'elle n'est pas obligée de fournir les renseignements personnels, et les renseignements ne seront pas recueillis;
    5. si les renseignements sont requis, la personne sera avisée qu'elle n'est pas obligée de fournir les renseignements personnels, ou qu'elle peut consentir sous réserve de toute condition ou qualification raisonnable établie, mise en place, approuvée ou autrement acceptable par l'individu; cependant, il faut expliquer les risques et les conséquences du consentement ou du refus de consentir. 
    6. ABCC ne recueillera et n'utilisera ou ne divulguera pas des renseignements personnels sur la santé au sujet d'une personne à des fins d'études de marché, à moins que la personne y consente expressément, et ABCC recueillera, utilisera ou divulguera uniquement les renseignements conformément à la loi.
  • S'il est inapproprié d'obtenir le consentement (p. ex., raisons juridiques, médicales ou de sécurité), la justification pour l'exception sera documentée.
  • Les renseignements personnels ne seront pas divulgués à un tiers sans le consentement exprès de la personne, à moins que la loi l'autorise.  Sans que soit limité l'aspect général de ce qui précède, au moment où les renseignements personnels sont recueillis, ABCC obtiendra le consentement de la personne pour que soient divulgués ces renseignements personnels à des acheteurs d'actifs ou de parts d'ABCC.
  • Si ABCC divulgue ou transfère des renseignements personnels à l'extérieur du Canada, elle obtiendra le consentement pour le faire, et devra aviser la personne que les lois de ces pays sur la protection des renseignements personnels pourraient être moins rigoureuses que les lois du Canada et de ses provinces.  De plus, il faut aviser les personnes que les renseignements personnels divulgués ou transférés à l'extérieur du Canada pourraient être soumis à des lois, règlements et/ou ordonnances de tribunaux étrangers et peuvent être divulgués à des tiers ou des autorités étrangères selon les lois, règlements et/ou ordonnances des tribunaux étrangers.
  • ABCC doit documenter le processus de consentement.  ABCC utilisera son formulaire de consentement général si aucune base de données officielle de projet ou aucun formulaire de consentement électronique ou en format papier n'a été préparé.  Des protocoles et formulaires propres aux projets doivent être utilisés, le cas échéant.
  • La personne peut retirer son consentement à tout moment, sauf si les exceptions aux présentes s'appliquent. ABCC peut cependant recueillir, utiliser ou divulguer des renseignements personnels sans avertir la personne concernée ni lui demander son consentement dans des circonstances exceptionnelles, si cette collecte, utilisation ou divulgation est autorisée ou requise par la loi.  Sous réserve d'exigences juridiques et contractuelles, une personne peut retirer son consentement sur la collecte, l'utilisation ou la divulgation subséquente par ABCC de renseignements personnels à tout moment, en donnant à ABCC un préavis raisonnable, à moins que le consentement soit autrement requis par la loi ou que l'utilisation ou la divulgation soit autorisée par la loi.  Si la personne refuse de donner le consentement ou le retire, ABCC pourrait ne pas pouvoir fournir à la personne certains produits, services ou renseignements qui pourraient lui être précieux, ou continuer de les fournir.
  • Au moment où la personne demande le retrait du consentement ou préalablement, ABCC avisera la personne des répercussions de ce retrait.  Le retrait du consentement à des fins secondaires ne devrait pas avoir d'importantes conséquences sur l'offre de produits ou de services.

Principe 4 — Limite de la collecte de renseignements personnels
La collecte de renseignements personnels sera limitée aux renseignements nécessaires aux fins identifiées par ABCC.  Les renseignements seront recueillis par des moyens justes, transparents et légaux.

  • ABCC ne peut recueillir des renseignements personnels de façon aléatoire. La quantité et le type d'information à recueillir seront limités aux renseignements nécessaires pour les besoins cernés.
  • Le besoin de recueillir des renseignements personnels de façon juste et légale vise à empêcher ABCC de recueillir des renseignements en trompant les personnes au sujet de la raison pour laquelle les renseignements sont recueillis ou en leur donnant de faux motifs. Cette exigence implique que le consentement lié à la collecte ne peut être obtenu par la tromperie.
  • Pour tout renseignement recueilli uniquement à des fins secondaires (donc qui ne peut être raisonnablement considéré comme strictement nécessaire pour un certain objectif), ABCC avisera les personnes concernées au moment de la collecte que les renseignements sont facultatifs.

Principe 5 — Limitation de l'utilisation, de la divulgation et de la conservation des renseignements personnels
Les renseignements personnels ne peuvent être utilisés ou divulgués à des fins autres que celles pour lesquelles ils ont été recueillis, sauf avec le consentement de la personne ou si la loi l'exige ou le permet.  Les renseignements personnels seront conservés aussi longtemps que nécessaire pour satisfaire à ces fins. ABCC ne divulguera pas les renseignements personnels à des tiers à moins que la personne ne l'autorise expressément ou si la divulgation est autorisée par la loi.

  • Si elle se sert des renseignements personnels à de nouvelles fins, ABCC les consignera par écrit et obtiendra le consentement de la personne.
  • ABCC a élaboré des lignes directrices et a mis en œuvre des procédures relatives à la conservation de renseignements personnels.  Ces lignes directrices comprennent des périodes minimales de conservation.  Les renseignements personnels qui ont été utilisés pour prendre une décision au sujet d'une personne seront conservés suffisamment longtemps pour permettre à cette personne d'accéder aux renseignements une fois la décision prise. La période de conservation minimale des renseignements personnels qui ont été utilisés pour prendre une décision qui touche directement une personne est établie à au moins un (1) an après l'utilisation de l'information.
  • Si la conservation des renseignements personnels n'est plus requise pour les raisons préétablies et si elle n'est plus nécessaire pour des fins juridiques ou commerciales, les renseignements personnels doivent être détruits, effacés ou anonymisés, si la loi l'autorise.  ABCC a élaboré des lignes directrices et a mis en œuvre des procédures relatives à la destruction de renseignements personnels.

Principe 6 — Assurer l'exactitude des renseignements personnels
ABCC fera tous les efforts raisonnables pour veiller à ce que les renseignements personnels recueillis, utilisés ou divulgués par sa propre initiative ou en son nom soient exacts, complets et à jour, pour qu'ils puissent être utilisés aux fins prévues. Toute personne ayant des questions au sujet de l'exactitude des renseignements factuels qu'ABCC a recueillis sur cette personne peut consulter ces renseignements pour les vérifier et les mettre à jour, sous réserve d'attentes précises.

  • La mesure dans laquelle les renseignements personnels seront exacts, complets et à jour dépendra de l'utilisation des renseignements, compte tenu des intérêts de la personne.  Les renseignements doivent être suffisamment fidèles, complets et à jour pour réduire au minimum la possibilité que des renseignements inappropriés soient utilisés pour prendre une décision au sujet de la personne.
  • ABCC ne mettra pas à jour régulièrement les renseignements personnels, à moins que le processus soit nécessaire aux fins pour lesquelles les renseignements ont été recueillis.
  • Les renseignements personnels utilisés de façon continue, dont les renseignements divulgués à des tiers, seront en général exacts et à jour, à moins que des limites soient clairement établies quant à l'exigence de l'exactitude.
    1. Pour ce qui est des programmes de centres d'appels, les renseignements personnels sont uniquement recueillis pour aider le(s) client(s) d'ABCC à utiliser le programme et rendre compte de son utilisation.  De ce fait, les renseignements personnels doivent uniquement être tenus à jour jusqu'à ce qu'ils ne soient plus requis pour leur utilisation prévue.  Les personnes qui ont besoin d'un suivi continu et de renseignements médicaux, ou qui appellent par la suite pour avoir à nouveau de l'aide devront confirmer l'exactitude des renseignements à leur dossier.
    2. Pour les programmes qui comprennent un suivi clinique et du soutien continu :  Lors de tous les contacts avec un professionnel de la santé d'ABCC, le professionnel de la santé posera une liste de questions conçues expressément pour assurer l'exactitude des renseignements nécessaires pour le programme.  Le processus sera adapté au programme.
  • Tout renseignement qu'une personne, un représentant autorisé ou un professionnel de la santé transmet à ABCC pour mettre à jour son dossier médical doit être consigné dans tous les dossiers pertinents.

Principe 7 — Assurer la sécurité des renseignements personnels
ABCC a conçu des mesures de sécurité et des pratiques de traitement des renseignements appropriés en raison du caractère délicat de l'information, pour protéger les renseignements personnels.

  • Les mesures de sécurité protègent les renseignements personnels contre la perte, le vol, l'accès non autorisé, la divulgation, la copie, l'utilisation ou la modification.  ABCC protège les renseignements personnels, sans égard au format dans lequel ils sont conservés. ABCC fera part aux associés de l'importance d'assurer la protection des renseignements personnels.  ABCC s'assurera d'empêcher tout accès non autorisé au moment de la destruction ou de l'élimination de renseignements personnels.
  • La nature des mesures de sécurité varie selon le caractère délicat des renseignements recueillis, la quantité, la distribution et le format de l'information, ainsi que la méthode de conservation. Des mesures de sécurité de niveau plus élevé protègent les renseignements les plus délicats, comme les dossiers contenant des renseignements personnels sur la santé.
  • Voici des exemples de méthodes de protection.
    1. Des mesures physiques, par exemple, l'entreposage sécuritaire de dossiers, des classeurs verrouillés et un accès restreint aux bureaux.
    2. Des mesures organisationnelles, par exemple, restreindre l'accès aux personnes selon le principe du besoin de connaître.
    3. Des mesures technologiques, par exemple, l'utilisation de mots de passe, du chiffrement et des vérifications.
  • Tous les renseignements personnels détenus par ABCC sont conservés en l'un des deux formats suivants : 
    1. bases de données électroniques ou tableurs avec un accès restreint, situés sur des serveurs protégés par mot de passe;
    2. documents papier conservés dans des classeurs verrouillés.
  • Si des renseignements personnels à propos d'un individu sont volés, perdus ou consultés par des personnes non autorisées, ABCC en avisera la personne à la première occasion raisonnable et, sans délai indu, enverra un avis au Commissaire à la protection de la vie privée pour signaler tout incident mettant en cause la perte, l'accès non autorisé ou la divulgation, si une personne raisonnable estimait qu'il y a un risque réel de préjudice important pour la personne par suite du vol, de l'accès ou de la divulgation non autorisés des renseignements personnels.

Principe 8 — Transparence au sujet des politiques et des pratiques en matière de renseignements personnels
ABCC assurera la disponibilité aux personnes des renseignements précis en matière de politiques et pratiques de gestion des renseignements personnels.

  • ABCC fournira de l'information sur ses pratiques de traitement des renseignements dans le cadre de la gestion de renseignements personnels sans faire d'efforts déraisonnables et sous une forme généralement comprise.
  • Les renseignements pouvant être consultés comprennent les suivants :
    1. Les coordonnées des agents de protection des renseignements personnels et de la personne à qui les plaintes ou les demandes de renseignements doivent être transmises.
    2. Les moyens d'obtenir l'accès et de demander des corrections aux renseignements personnels détenus par ABCC.
    3. Une description du type de renseignements personnels détenus par ABCC, dont un compte rendu général sur leur utilisation.
    4. Les renseignements personnels qui sont transmis à des organisations connexes.

Principe 9 — Accès aux renseignements personnels
À sa demande, une personne sera avisée de l'existence, de l'utilisation et de la divulgation de ses renseignements personnels et pourra les consulter.  ABCC cherchera à cerner la source de ces renseignements et accordera à cette personne l'accès aux renseignements, sous réserve des exceptions précisées.  La personne sera en mesure de contester l'exactitude et l'exhaustivité de l'information et de la faire modifier, le cas échéant.  Toute personne qui se demande si ABCC détient ses renseignements personnels dans un dossier ou qui souhaite poser des questions sur l'utilisation ou la divulgation de ces renseignements personnels par ABCC peut communiquer avec les agents de protection des renseignements personnels.  ABCC se réserve le droit de vérifier l'identité de la personne qui demande l'accès aux renseignements personnels avant d'accéder à la demande.

  • Toute demande d'accès aux renseignements personnels doit être formulée par écrit et sera traitée selon les pratiques de traitement de l'information d'ABCC en matière d'accès aux renseignements personnels.
  • ABCC répondra à la demande d'une personne dans une période raisonnable, ou par ailleurs prescrite par la loi, à un coût minimal ou sans frais pour la personne.  Si des frais sont imposés pour la production d'une copie du dossier, si la loi le permet, ABCC fournira à la personne une estimation du montant des frais avant de traiter la demande d'accès. Les renseignements demandés seront fournis ou rendus accessibles dans un format généralement compréhensible.  Si les renseignements ne peuvent être fournis dans les 30 jours, ABCC enverra un avis de prolongation du délai, le nouveau délai, les raisons de la prolongation et le droit de la personne de se plaindre au Commissaire à la protection de la vie privée.
  • Dans certaines situations, ABCC pourrait ne pas être en mesure de fournir l'accès à tous les renseignements personnels qu'elle possède sur une personne.  Les exceptions aux demandes d'accès doivent être limitées et précises. Les motifs du refus de l'accès à la totalité ou à une partie du dossier doivent être fournis à la personne par écrit.  Au nombre des exceptions figurent des renseignements qui contiennent des mentions d'autres personnes, des renseignements qui ne peuvent être divulgués pour des raisons juridiques, de protection ou de propriété, ou des renseignements visés par la confidentialité entre l'avocat et son client ou en cause dans une affaire juridique.
  • Si ABCC reçoit une demande d'accès aux renseignements personnels conservés par un tiers, ou si le tiers était le premier à recueillir les renseignements personnels, ABCC doit demander le consentement de la personne qui formule la demande pour qu'elle soit transférée au tiers.
  • Si une demande d'accès à la totalité ou à une partie du dossier de la personne est refusée, ABCC en avisera la personne par écrit, en précisant les raisons du refus, l'article de la loi pertinente sur laquelle repose le refus (si la loi l'exige), le nom d'une personne qui peut répondre aux questions de la personne sur le refus au nom d'ABCC et tous les recours offerts à la personne en vertu de la LPRPDE ou de toute autre loi pertinente sur la confidentialité.
  • Si une personne arrive à prouver l'inexactitude ou la non-intégralité des renseignements personnels, ABCC modifiera les renseignements à sa demande, selon les normes de pratiques professionnelles sur la correction de dossiers de renseignements personnels.
    1. Dans les 30 jours après avoir reçu une demande de correction, ABCC accèdera à la demande de la personne ou la refusera dans un avis écrit. Si on ne peut répondre à la demande de correction dans les 30 jours, ABCC enverra un avis de prolongation du délai, le nouveau délai, les raisons de la prolongation et le droit de la personne de se plaindre au Commissaire à la protection de la vie privée.
    2. Selon la nature des renseignements contestés, on pourrait choisir de corriger, de supprimer ou de compléter l'information.  Les renseignements contenus dans des dossiers de renseignements personnels sur la santé ne peuvent être supprimés; l'original doit plutôt être conservé, et c'est à ce document que les modifications ou les corrections devront être apportées, de façon transparente.  Le cas échéant, les renseignements modifiés doivent être transmis à des tiers ayant accès aux renseignements en question ou à qui les renseignements ont été divulgués.
    3. Si la personne n'est pas satisfaite du règlement, ABCC notera la nature de la demande non réglée. Le cas échéant, l'existence de la demande non réglée sera communiquée à des tiers ayant accès aux renseignements en question.
    4. Si ABCC elle-même reçoit un avis de correction de renseignements personnels d'une autre organisation, elle devra corriger les renseignements personnels dont elle a la garde ou le contrôle dans les 30 jours.
    5. Si ABCC décide de ne pas apporter la correction demandée, elle annotera les renseignements personnels sous son contrôle et la correction demandée et non apportée, et avisera la personne de son droit de transmettre une déclaration de protestation, qui sera jointe à son dossier, et de son droit de se plaindre auprès du Commissaire à la protection de la vie privée.

Principe 10 — Possibilité de porter plainte à l'égard des politiques et des pratiques en matière de protection des renseignements personnels d'ABCC
Toute personne peut porter plainte au sujet de la conformité à cette politique devant l'un des deux agents de protection des renseignements personnels.

  • ABCC a mis des procédures en place pour la réception et la réponse aux plaintes ou aux demandes de renseignements sur ses politiques et pratiques liées au traitement de renseignements personnels. 
  • ABCC avise les personnes qui formulent une demande ou déposent des plaintes de l'existence des procédures pertinentes sur les plaintes, dont les plaintes aux organismes de contrôle de la confidentialité fédéraux ou provinciaux.  
  • ABCC enquête sur toutes les plaintes.  Si une plainte s'avère justifiée, ABCC prendra les mesures nécessaires, dont, au besoin, la correction de ses politiques et pratiques.
  • ABCC interprète cette politique et peut la modifier ou la mettre à jour en totalité ou en partie au besoin, pour répondre aux besoins changeants d'ABCC et/ou des lois applicables.  ABCC avisera les personnes visées si des changements importants sont apportés à la façon dont elle traite l'information personnelle en envoyant un avis en utilisant les renseignements de contact qu'elle a reçus ou en affichant un avis visible sur son site Web.

Conservation des renseignements personnels

ABCC avisera les personnes de l'emplacement où sont conservés leurs renseignements personnels au moment de la collecte. Ce lieu peut changer au besoin.  En formulant une demande écrite à l'agent de protection des renseignements personnels, toute personne peut demander des renseignements à jour sur le lieu où sont conservés les renseignements personnels.

Documents apparentés :
- Loi sur la protection des renseignements personnels et les documents électroniques (Canada) (LPRPDE)