Protection des renseignements personnels et accès à l'information

Dispositions contractuelles sur la confidentialité

Dispositions contractuelles sur la confidentialité applicables aux renseignements personnels communiqués par l’Université de Montréal à toute personne ou à tout organisme aux fins de l’exercice d’un mandat ou de l’exécution d’un contrat de service ou d’entreprise, ci-après appelées « Dispositions contractuelles »

ATTENDU qu’en vertu de l’article de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (L.R.Q., c. A-2.1), ci-après appelée « Loi sur l’accès », l’Université de Montréal est un organisme public assujetti à la Loi, ci-après appelée « Université »;

ATTENDU que l’article 67.2 de la Loi sur l’accès prévoit qu’un organisme public peut, sans le consentement de la personne concernée, communiquer un renseignement personnel à toute personne ou à tout organisme si cette communication est nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise confié par l’organisme public à cette personne ou à cet organisme, aux conditions suivantes que nous citons textuellement de l'article 67.2 :

  1. confier le mandat ou le contrat par écrit;

  2. indiquer, dans le mandat ou le contrat, les dispositions de la présente loi qui s'appliquent au renseignement communiqué au mandataire ou à l'exécutant du contrat ainsi que les mesures qu'il doit prendre pour en assurer le caractère confidentiel, pour que ce renseignement ne soit utilisé que dans l'exercice de son mandat ou l'exécution de son contrat et pour qu'il ne le conserve pas après son expiration. En outre, l'organisme public doit, avant la communication, obtenir un engagement de confidentialité complété par toute personne à qui le renseignement peut être communiqué, à moins que le responsable de la protection des renseignements personnels estime que cela n'est pas nécessaire. Une personne ou un organisme qui exerce un mandat ou qui exécute un contrat de service visé au premier alinéa doit aviser sans délai le responsable de toute violation ou tentative de violation par toute personne de l'une ou l'autre des obligations relatives à la confidentialité du renseignement communiqué et doit également permettre au responsable d'effectuer toute vérification relative à cette confidentialité.

 

… [Les paragraphes 1 et 2 ne s’appliquent pas] lorsque le mandataire ou l’exécutant du contrat est un membre d’un ordre professionnel. De même, le paragraphe 2 […] ne s’applique pas lorsque le mandataire ou l’exécutant du contrat est un autre organisme public.

ATTENDU que les présentes Dispositions contractuelles ont pour but la mise en œuvre des conditions prévues à l’article 67.2 de la Loi sur l’accès aux fins de la communication de renseignements personnels.

Dispositions contractuelles

Article 1 : champs d'application

  1. Les dispositions stipulées aux présentes font partie intégrante de tout mandat ou de tout contrat de service ou d’entreprise confié par l’Université à une personne ou à un organisme, ci-après appelé « Fournisseur », lorsqu’un tel mandat ou contrat prévoit que l’Université communique un renseignement personnel nécessaire à l’exercice du mandat ou du contrat, ci-après appelé « Contrat » et qui est visé par l’application de l’article 67.2 de la Loi sur l’accès aux documents des organismes publics et de la protection des renseignements personnels (la Loi sur l’accès).

Article 2.  Protection des renseignements personnels

Renseignement personnel

Un renseignement personnel est un renseignement qui concerne une personne physique et qui permet de l’identifier.

Confidentialité des renseignements personnels

Les renseignements personnels sont confidentiels et ne peuvent être communiqués sans le consentement de la personne concernée, sauf aux conditions et formalités prévues par la Loi sur l’accès.

2.1 Reconnaissance du caractère confidentiel des renseignements personnels

Le Fournisseur

a. reconnaît pour lui-même et son personnel, selon le cas, le caractère confidentiel des renseignements personnels dont il prend connaissance dans le cadre de la réalisation du Contrat, que ce soit au cours de leur collecte, de leur communication, de leur utilisation, de leur traitement ou autrement;

b. s’engage à assurer la protection des renseignements personnels qui lui sont communiqués par l’Université conformément aux présentes Dispositions contractuelles;

c. sans restreindre la portée de ce qui précède, s’engage à prendre connaissance de la Loi sur l’accès, notamment des articles 53 à 58, 59 (paragraphe 8), 62, 64, 65, 67.2, 83, 84, 89, 94 et 159 (annexe 3)

2.2 Information relative à la protection des renseignements personnels

Le Fournisseur

a. s’engage à diffuser, auprès de son personnel associé à la réalisation du Contrat les obligations et les responsabilités administratives qui découlent de la Loi sur l’accès et qui sont nécessaires pour assurer le caractère confidentiel de ces renseignements;

b. s’assure que son personnel en a une compréhension adéquate.

2.3 Cueillette des renseignements personnels

Le Fournisseur

S’assure, lorsqu’il doit recueillir des renseignements personnels au nom de l’Université, de respecter les exigences prévues à l’article 65 de la Loi sur l’accès.

2.4 Mesures de protection des renseignements personnels

Le Fournisseur

a. s’assure que seules les personnes affectées à la réalisation du Contrat puissent prendre connaissance des renseignements personnels, quel qu’en soit le support;

b. prend les mesures de sécurité nécessaires (physiques, électroniques, etc.) équivalentes à celles applicables à l’Université pour assurer la confidentialité des renseignements personnels et l’utilisation des ressources informatiques de l’Université de Montréal. À cet effet, voir la Politique de sécurité de l'information et la Directive relative à l’utilisation du courrier électronique.

c. s’engage à ne conserver, à la fin du Contrat, aucun renseignement personnel transmis ou recueilli dans le cadre de Contrat et à procéder à ses frais à leur destruction, sur support papier par déchiquetage et sur support numérique par destruction logique et effacement physique de façon sécuritaire.

2.5 Obligations administratives

Le Fournisseur

a. fait signer préalablement au premier accès aux renseignements personnels, le formulaire d’engagement de confidentialité apparaissant à l’annexe 1, à toute personne à son emploi ou ayant un lien contractuel qui, dans le cadre de l’exercice de ses fonctions, aura accès à ces renseignements. Il conserve les formulaires dûment signés pour une période minimale de 5 ans suivant la fin du contrat et les transmet, sur demande, au responsable de la protection des renseignements personnels à l’Université

b. tient à jour et transmet au responsable de la protection des renseignements personnels à l’Université, sur demande, la liste des employés qui ont ou auront accès aux renseignements personnels (annexe 2) pour la réalisation du Contrat;

c. avise sans délai le responsable de la protection des renseignements personnels à l’Université de toute violation ou tentative de violation par toute personne de l’une ou l’autre des obligations relatives à la confidentialité des renseignements communiqués, dès qu’il en aura connaissance;

d. permet au responsable d’effectuer toute vérification relative à cette confidentialité

Article 3 : Fin du contrat

1. La fin du Contrat ne dégage aucunement le Fournisseur de ses obligations et engagements relatifs à la protection des renseignements personnels;

2. Le fait de ne pas respecter les présentes Dispositions contractuelles constitue un défaut donnant ouverture à la résiliation du Contrat par l’Université.