Engagement de Mitacs concernant la protection des renseignements personnels des participants aux programmes

 

I.            Objectif

 

Le Canada sera plus innovateur et productif grâce aux citoyens créatifs et entrepreneuriaux qui génèrent de nouvelles idées et travaillent de concert pour les concrétiser. Mitacs s’engage avec passion à favoriser cette innovation. Lors de l’élaboration des programmes, des processus, des systèmes et des procédures, Mitacs fera de son mieux pour tenir compte des intérêts et des besoins de chaque utilisateur, qui a le plus grand intérêt direct dans la gestion de ses données personnelles. Nous cherchons à assurer la visibilité et la transparence des renseignements personnels collectés par Mitacs, puisqu’ils sont essentiels pour établir la responsabilité et la confiance.

 

Pourquoi Mitacs a-t-il besoin d’une Politique sur la protection des renseignements personnels?

Mitacs est défini comme une « organisation » en vertu de la Personal Information Protection Act, 2003 (PIPA) (Loi sur la protection des renseignements personnels) de la Colombie-Britannique et doit satisfaire aux exigences prévues par cette Loi. L’objectif de cette Loi est de régir la collecte, l’utilisation et la divulgation de renseignements personnels par les organisations de sorte à reconnaître les droits des individus de protéger leurs renseignements personnels et le besoin des organisations de collecter, d’utiliser ou de divulguer des renseignements personnels à des fins qu’une personne raisonnable jugerait appropriées dans les circonstances. Parmi les autres exigences prévues par la PIPA, les organisations doivent élaborer et respecter des politiques et des pratiques qui satisfont à l’objectif de la Loi.

Bon nombre des accords de financement que Mitacs a conclu font référence à d’autres lois provinciales sur l’accès à l’information et à la protection des renseignements personnels auxquelles Mitacs doit se conformer. Étant donné que Mitacs offre aussi des programmes et des services à des personnes concernées au sein de l’Union européenne (UE), Mitacs doit satisfaire au Règlement général sur la protection des données (RGPD). Mitacs s’engage à respecter toutes les lois sur l’accès à l’information et la protection des renseignements personnels applicables. Une politique sur la protection des renseignements personnels fait partie intégrante de tout programme de gestion des renseignements personnels.

Cette Politique sur la protection des renseignements personnels est assujettie à l’examen annuel de Mitacs et peut être mise à jour de temps à autre. Une version actuelle sera publiée.

                

II.       Contenu
 

Que couvre cette politique?

Cette politique expose les pratiques de Mitacs relatives à la collecte, l’utilisation, la divulgation et la conservation des renseignements personnels dont il a la garde et le contrôle.

À Mitacs, nous assumons la responsabilité des renseignements personnels dont nous avons la garde et le contrôle. Cette politique sur la protection des renseignements personnels s’applique à tous les employés de Mitacs, au conseil d’administration et aux tiers, y compris les entrepreneurs et autres fournisseurs de services engagés par Mitacs.

Qui est responsable du Programme de protection des renseignements personnels de Mitacs?

Notre chef financière et des ressources humaines (CFRH) est désignée comme la chef de la protection des renseignements personnels (CPRP). Toute personne qui souhaite déposer une plainte concernant les pratiques de gestion des renseignements personnels de Mitacs ou sa conformité à la Politique doit le faire en envoyant une plainte écrite au Bureau de la protection des renseignements personnels. La chef de la protection des renseignements personnels veillera à ce que toutes les plaintes fassent l’objet d’une enquête et qu’on donne suite à toutes les plaintes écrites. Si la chef de la protection des renseignements personnels conclut qu’une plainte est justifiée, Mitacs prendra les mesures raisonnables pour régler la situation et pour modifier cette politique ou les procédures, selon le cas.

Personne-ressource :

Chef de la protection des renseignements personnels
Mitacs
Bureau 301, Technology Enterprise Facility
Université de la Colombie-Britannique
6190 Agronomy Road
Vancouver (C.-B.)  V6T 1Z3
Courriel: privacy@mitacs.ca
Téléphone : 604-822-9189

En vertu de la PIPA, les personnes ont le droit de déposer une plainte auprès du commissaire à l’information et à la protection des renseignements personnels de la C.-B. Les personnes ont aussi le droit d’accéder à leurs renseignements personnels et d’y apporter des corrections. La PIPA prévoit aussi une protection pour un employé qui, en toute bonne foi, signale une infraction à la PIPA au Bureau du commissaire à l’information et à la protection des renseignements personnels, agit de sorte à éviter ou à prévenir une infraction à la PIPA ou refuse de faire quoi que ce soit qui, selon lui ou elle, enfreint la PIPA. Dans l’une ou l’autre de ces situations, l’employé, ou le « dénonciateur » est protégé contre toute mesure punitive d’une organisation à son égard, comme une suspension ou un congédiement.

Bureau du commissaire à l’information et à la protection des renseignements personnels de la C.-B. CP 9038 Stn. Prov. Govt.
Victoria, C.-B. V8W 9A4
Téléphone: (250) 387-5629
Vancouver: (604) 660-2421
Ailleurs en C.-B.: (800) 663-7867
Courriel: info@oipc.bc.ca

Droits des personnes concernées au sein de l’UE

Outre les droits prévus par la PIPA relativement aux renseignements personnels mentionnés ci-dessus, les personnes qui résident dans l’UE, dont Mitacs a la garde et le contrôle des renseignements personnels, ont certains droits supplémentaires en vertu du Règlement général sur la protection des données (RGPD).

Restrictions concernant le traitement ultérieur : Les personnes concernées de l’UE ont le droit, en cas de différend en lien avec l’exactitude ou la base de traitement de leurs données personnelles, de demander une restriction concernant le traitement ultérieur par Mitacs.

Effacement : Les personnes concernées de l’UE ont le droit de demander que leurs données personnelles soient effacées (« droit d’être oublié ») dans certaines circonstances.

Portabilité des données : Les personnes concernées de l’UE ont le droit de demander que les données personnelles qu’ils ont fournies à Mitacs leur soient retournées ou qu’elles soient transmises à un tiers de leur choix, dans un format structuré, fréquemment utilisé et lisible par machine.

Prise de décision automatisée : Les citoyens européens ont le droit de ne pas faire l’objet d’une décision fondée uniquement sur une prise de décision automatisée (p. ex., intelligence artificielle ou algorithmes d’apprentissage automatique). En ce qui concerne ce droit, les personnes concernées de l’UE pourraient avoir le droit de demander une intervention humaine relativement à une telle prise de décision automatisée, ainsi que d’exprimer leur point de vue ou de contester toute prise de décision automatisée de Mitacs.

Politique de Mitacs

  1. Mitacs ne collectera pas, n’utilisera pas et ne divulguera pas de renseignements personnels sur une personne à moins a) que la personne donne son consentement, b) que ce soit autorisé par la loi ou c) que le consentement soit considéré comme donné conformément à la loi.
  2. Mitacs limite la collecte, l’utilisation, la divulgation et la conservation des renseignements personnels à ce qui est nécessaire pour l’utilisation de Mitacs ou comme la loi l’exige.
  3. Les principales raisons pour lesquelles Mitacs collecte, utilise, divulgue et conserve des renseignements personnels sont les suivantes :
  • communiquer des renseignements à propos de nos programmes et de nos services et établir ou entretenir une relation avec des personnes;
  • nous conformer à des exigences légales, réglementaires ou contractuelles, comme fournir des renseignements sur la participation aux programmes et leurs résultats à nos bailleurs de fonds;
  • évaluer l’admissibilité d’un demandeur à un programme ou une bourse de Mitacs;
  • administrer les activités de Mitacs;
  • évaluer et améliorer nos programmes et services;
  • établir et gérer l’emploi et d’autres relations de travail avec les employés.
  1. Mitacs peut compter sur le consentement implicite si la personne connaît l’objectif de la collecte, de l’utilisation, de la divulgation ou de la conservation de ses renseignements personnels, si l’objectif est conforme à ceux mentionnés ci-dessus ou à ceux auxquels une personne raisonnable pourrait s’attendre. Ce n’est pas le cas avec les personnes concernées de l’UE conformément au RGPD.
  2. Mitacs obtiendra le consentement explicite de la personne à des fins secondaires (c.-à-d., les objectifs qui n’ont pas été énoncés dans cette politique), à moins qu’elles soient si semblables à celles auxquelles elle a déjà consenti que la personne pourrait s’y attendre (c.-à-d., conforme à l’objectif original).
  3. Mitacs se conformera à la demande d’une personne de retirer son consentement à la collecte, l’utilisation, la divulgation ou la conservation de ses renseignements personnels, à moins que cela fasse obstacle à une obligation juridique ou contractuelle.
  4. Mitacs déploie des efforts raisonnables pour s’assurer que les renseignements personnels recueillis par Mitacs ou au nom de Mitacs sont exacts et complets.
  5. Mitacs reconnaît que des personnes ont le droit de consulter et de corriger leurs renseignements personnels. Mitacs communiquera de l’information au sujet de l’existence, de l’utilisation et de la divulgation des renseignements personnels d’une personne dont il a la garde et le contrôle. Mitacs ne facture aucuns frais pour accéder à de l’information si le demandeur est un employé. Cependant, Mitacs peut facturer des frais minimums pour toute autre demande.
  6. Mitacs reconnaît que les personnes concernées de l’UE ont des droits supplémentaires en vertu du RGPD en ce qui a trait à leurs renseignements personnels dont Mitacs a la garde et le contrôle, et a tenu compte de ces droits supplémentaires dans sa gestion des renseignements personnels.
  7. Mitacs a recours à des mesures physiques, administratives et techniques raisonnables pour protéger les renseignements personnels contre tout accès, collecte, utilisation, divulgation, copie, modification ou destruction non autorisés ou tout autre risque semblable.
  8. Mitacs suit son protocole en cas d’atteinte à la vie privée.
  9. Mitacs doit détruire les documents contenant des renseignements personnels ou rendre les renseignements anonymes dès qu’il est raisonnable de supposer ce qui suit :

a. ​la conservation des renseignements personnels ne permet plus d’atteindre l’objectif pour lequel les renseignements personnels étaient collectés;
b. il n’est plus nécessaire de conserver les renseignements personnels à des fins juridiques ou commerciales.

Les exceptions sont les suivantes:

a. Si Mitacs utilise les renseignements personnels d’une personne en vue de prendre une décision qui touche directement la personne (p. ex., employé, candidat à un programme), Mitacs doit conserver ces renseignements au moins un an après les avoir utilisés de sorte que la personne ait une occasion raisonnable d’y avoir accès.

b. Compte tenu de ce qui précède, Mitacs respectera ses propres périodes ou calendriers de conservation des documents, en fonction des exigences financières, juridiques, réglementaires, opérationnelles, de vérification ou d’archivage.

c. Même si une personne a modifié ou retiré son consentement à la collecte, l’utilisation ou la divulgation de renseignements, Mitacs peut conserver ces renseignements s’il a des raisons juridiques de le faire.