Règlement 90

Accès à l'information et la protection des renseignements personnels

Adoption

Date : 2004-07-13
Instance d’approbation : Comité exécutif du Bureau des gouverneurs

Modifications

2024-10-23
2018-03-28
2012-02-21

Service Responsable : Cabinet de la secrétaire générale

OBJET

  1. Le présent règlement a pour objet de confirmer l’engagement continu de l’Université d’Ottawa à se conformer aux principes d’accès à l’information (personnelle ou institutionnelle) et de protection de la vie privée à la lumière des lois et des règlements applicables (les « lois applicables sur l’accès à l’information et la protection de la vie privée »). 

APPLICATION

  1. Le présent règlement et les méthodes établies en vertu de celui-ci s’appliquent à l’ensemble des membres de la communauté universitaire. Les « membres de la communauté universitaire » s’entendent notamment des personnes suivantes :
    1. Les membres du personnel, y compris le personnel enseignant et administratif syndiqué ou non, et le personnel rémunéré par une source autre que les fonds d’exploitation de l’Université, comme les bourses, les subventions de recherche et les contrats externes;
    2. Les étudiantes et étudiants et les apprenantes et apprenants;
    3. Les cliniciennes, cliniciens et médecins occupant un poste professoral, les professeures et professeurs auxiliaires, invités et émérites, les chercheuses boursières et chercheurs boursiers de niveau postdoctoral ou les boursières cliniciennes et boursiers cliniciens, les chercheuses et chercheurs stagiaires, et les médecins résidents;
    4. Les entrepreneurs, consultants, fournisseurs ou autres entités engagés par l’Université pour lui fournir des biens ou services lorsqu’ils se trouvent sur les lieux de l’Université ou qui exercent des fonctions définies par leur lien avec celle-ci;
    5. Les membres du Bureau des gouverneurs, du Sénat et de leurs comités respectifs, ainsi que les membres des comités consultatifs formés pour aider l’Université à atteindre ses objectifs;
    6. Les membres de groupes d’employées et employés et d’étudiantes et étudiants syndiqués et non syndiqués lorsqu’ils se trouvent sur les lieux de l’Université ou remplissent des fonctions définies par leur lien avec celle-ci;
    7. Les visiteuses et visiteurs, les bénévoles ou les personnes siégeant aux comités consultatifs ou autres. 

INTERPRÉTATION

  1. L’Université d’Ottawa est assujettie à la Loi sur l’accès à l’information et la protection de la vie privée (la « LAIPVP ») de l’Ontario et aux règlements qui en découlent. Le présent règlement n’a pas pour objet de reproduire les dispositions de la LAIPVP ou des lois applicables sur l’accès à l’information et la protection de la vie privée. Toutefois, ses dispositions et les méthodes qui s’y rapportent doivent être interprétées conformément aux obligations imposées à l’Université par les lois applicables.
  2. Le présent règlement s’interprète parallèlement à la Méthode 20-5 – Traitement des demandes d’accès à l’information, à la Méthode 20-7 – Traitement des plaintes relatives à la vie privée, à la Méthode 20-8 – Protocole d’intervention en cas d’atteinte à la vie privée, à la Méthode 20-9 – Traitement des renseignements personnels sur la santé et à la Méthode 20-13 – Avis de collecte de renseignements personnels.  
  3. Le présent règlement s’interprète parallèlement à d’autres instruments qui, dans certaines circonstances, peuvent régir les questions relatives à l’accès à l’information et à la protection de la vie privée, notamment les conventions collectives, le Règlement 14a – Dossiers scolaires le Règlement 23 – Règlement sur la gestion de l’information, le Règlement 116 – Utilisation et sécurité des biens de technologies de l’information et le Règlement 117 – Classification et traitement de l’information.
  4. En cas de divergence entre la LAIPVP et le présent règlement ou tout autre règlement de l’Université, la LAIPVP a préséance.  

DÉFINITIONS

  1. Les définitions qui suivent s’appliquent au présent règlement et à toute méthode connexe.

    « atteinte à la vie privée » : Perte, consultation non autorisée ou divulgation non autorisée de renseignements personnels dont l’Université a la garde ou le contrôle. Parmi les situations pouvant entraîner une atteinte à la vie privée figurent le vol ou la perte d’un appareil mobile contenant des renseignements personnels et l’accès à des renseignements personnels non nécessaires à l’exercice de ses fonctions.

    « renseignements personnels » : Renseignements permettant d’identifier une personne, notamment son adresse, son sexe, son âge, son niveau de scolarité et ses antécédents médicaux ou professionnels, et autres renseignements dont l’Université a la garde ou le contrôle à propos de la personne, conformément à la LAIPVP.

  2. Tous autres termes ou expressions encadrés par des parenthèses et des chevrons dans le présent règlement sont définis aux fins de son application et de l’application des méthodes connexes. 

ACCÈS À L’INFORMATION

  1. L’Université publie régulièrement de grandes quantités d’information institutionnelle sur son site Web. Si les renseignements souhaités ne figurent pas sur le site Web de l’Université, il est possible de présenter une demande de renseignements au Bureau de l’accès à l’information et de la protection de la vie privée de l’Université (le « BAIPVP »), à l’attention de la ou du chef de la protection de la vie privée, conformément à la Méthode 20-5 – Traitement des demandes d’accès à l’information

PROTECTION DE LA VIE PRIVÉE

  1. L’Université d’Ottawa s’engage à préserver et à protéger l’intégrité des renseignements personnels et confidentiels dont elle a la garde ou le contrôle.
  2. Si une personne estime que ses droits en matière de protection de la vie privée ont été violés, elle peut présenter une plainte écrite à la ou au chef de la protection de la vie privée, qui, pour sa part, examine la plainte conformément à la Méthode 20-7 – Traitement des plaintes relatives à la vie privée.
  3. Les membres de la communauté universitaire doivent signaler les atteintes à la vie privée (qu’elles soient confirmées ou soupçonnées) au BAIPVP, et celles-ci doivent être traitées conformément à la Méthode 20-8 – Protocole d’intervention en cas d’atteinte à la vie privée.
  4. Les membres du personnel (y compris le personnel professoral, étudiant et de soutien) traitant des renseignements personnels sur la santé pour le compte de l’Université dans le cadre de soins de santé doivent se conformer à la Méthode 20-9 – Traitement des renseignements personnels sur la santé

RESPONSABILITÉS ET DÉLÉGATION DE POUVOIRS

  1. La secrétaire générale ou le secrétaire général de l’Université est chargé des affaires relatives à l’accès à l’information et à la protection de la vie privée à l’Université.
  2. La « personne responsable » du respect des exigences de la LAIPVP est la rectrice ou le recteur de l’Université. La rectrice ou le recteur délègue à la secrétaire générale ou au secrétaire général de l’Université et à la ou au chef de la protection de la vie privée l’ensemble des pouvoirs et des fonctions se rapportant à la conformité de l’Université aux exigences de la LAIPVP. Si la secrétaire générale ou le secrétaire général de l’Université ou la ou le chef de la protection de la vie privée ne sont pas en mesure d’exercer les pouvoirs ou fonctions qui leur sont délégués, la rectrice ou le recteur peut désigner une autre personne déléguée. Les délégations se font conformément à la LAIPVP et ne limitent d’aucune manière le pouvoir de la rectrice ou du recteur, en tant que « personne responsable » désignée aux termes de la LAIPVP, d’exercer les pouvoirs ou fonctions ainsi délégués.
  3. Sous l’autorité de la secrétaire générale ou du secrétaire général de l’Université, la ou le chef de la protection de la vie privée traite les demandes d’accès à l’information, fait enquête sur les plaintes et les atteintes à la vie privée et donne suite à celles-ci. La ou le chef de la protection de la vie privée s’acquitte également des fonctions suivantes :
    • Veiller à la conformité de l’Université à la LAIPVP, à ses règlements et à toute autre loi applicable sur l’accès à l’information et la protection de la vie privée.
    • Encadrer les responsabilités opérationnelles du BAIPVP.
    • Élaborer et présenter des séances de sensibilisation et de formation relatives à l’accès à l’information et à la protection de la vie privée.
    • Exercer les pouvoirs et fonctions qui lui sont délégués aux termes de la LAIPVP.
    • Fournir des avis juridiques en ce qui concerne l’accès à l’information et la protection de la vie privée.
    • Instaurer et passer en revue les règlements, avis, lignes directrices et processus de l’Université se rapportant à la protection de la vie privée.
    • Produire des évaluations des facteurs relatifs à la vie privée et passer en revue les évaluations produites par les gestionnaires de projet.
    • Diriger les interventions en cas d’atteinte à la vie privée conformément à la Méthode 20-8 – Protocole d’intervention en cas d’atteinte à la vie privée.
    • Faire rapport au Comité d’administration sur les activités et statistiques relatives à l’accès à l’information et à la protection de la vie privée.
    • Préparer et présenter le rapport annuel de l’Université comme l’exige la LAIPVP.
    • Tenir un répertoire des banques de renseignements personnels.
    • Représenter l’Université dans ses interactions avec le Commissaire à l’information et à la protection de la vie privée de l’Ontario.
  4. Les membres de la communauté universitaire doivent prendre toutes les mesures raisonnables pour prévenir les atteintes à la vie privée.
  5. Les membres de la communauté universitaire doivent collaborer avec le BAIPVP et l’aider, au besoin, à remplir les obligations imposées à l’Université par le présent règlement, les méthodes connexes et les lois applicables sur l’accès à l’information et la protection de la vie privée. 

DIVULGATION 

  1. L’Université ne divulgue aucun renseignement personnel aux personnes et organisations de l’extérieur :
    1. sauf indication contraire dans l’avis de collecte de renseignements personnels prévu dans le présent règlement;
    2. sauf si la personne visée est informée de l’éventuelle divulgation au moment de la collecte des renseignements personnels;
    3. sauf si la personne visée a donné son consentement;  
    4. sauf si elle est tenue de le faire par une assignation à témoigner, un mandat ou une ordonnance d’un tribunal, d’une personne ou d’une entité ayant le pouvoir d’exiger la transmission de renseignements, ou aux fins de la conformité aux règles de procédure entourant la communication de renseignements;
    5. sauf pour participer à une enquête policière;
    6. sauf dans la mesure permise par les lois sur l’accès à l’information et la protection de la vie privée ou d’autres lois.
  2. Toute ordonnance d’un tribunal obligeant l’Université à divulguer des documents ou des renseignements personnels dont elle a la garde et le contrôle doit être immédiatement soumise à l’examen du BAIPVP. 

PROTECTION DE LA VIE PRIVÉE : DIVULGATION DE RENSEIGNEMENTS CONCERNANT UN PETIT NOMBRE DE PERSONNES  

  1. Lorsque les données agrégées concernent un petit nombre de personnes, la divulgation se fait selon le principe de la taille cellulaire de cinq pour protéger la vie privée de ces personnes. Autrement dit, les données agrégées peuvent être divulguées uniquement si chaque groupe ou chaque cellule contient les données de plus de cinq personnes, de sorte qu’il ne soit pas possible d’identifier les personnes incluses dans de petits ensembles de données. Si le risque de réidentification demeure élevé malgré l’application du principe de la taille cellulaire de cinq, parce que les données sont sensibles ou parce que l’ensemble de données représente un faible nombre de personnes, la taille minimum peut être augmentée. 

INFORMATION RECUEILLIE À DES FINS PUBLIQUES

  1. L’Université considère les renseignements suivants comme de l’information recueillie et mise à jour en vue de créer un dossier accessible à toutes et à tous et pouvant être publié en format imprimé ou électronique, ou sur Internet :
    1. Le ou les diplômes remis par l’Université et la date d’obtention;
    2. La lauréate ou le lauréat d’une bourse d’excellence ou de tout autre prix ou distinction que décerne l’Université ou une tierce partie. 

CONSULTATION ET CORRECTION DE RENSEIGNEMENTS PERSONNELS 

  1. Toute personne peut demander d’accéder à ses renseignements personnels et d’y apporter des corrections. Il faut alors d’abord adresser la demande à la faculté, au bureau ou au service susceptible de détenir ces renseignements. Si la demande ne produit pas de résultats satisfaisants, il est possible de présenter une autre demande à la ou au chef de la protection de la vie privée.  

UTILISATION DES RESSOURCES DE TI 

  1. Aux fins du présent règlement, « ressource de TI » s’entend notamment des logiciels, des systèmes, des réseaux, des ordinateurs, de toute autre ressource ou tout autre matériel informatique, des serveurs (physiques ou virtuels), des dispositifs de stockage de données, des systèmes téléphoniques, des supports magnétiques ou supports de réseau, et de tout autre dispositif de communication qui sont possédés, exploités ou gérés par l’Université, ou encore qui sont concédés sous licence à l’Université ou exploités par une organisation externe pour le compte de l’Université.  
  2. Quiconque utilise une ressource de TI de l’Université ne peut raisonnablement s’attendre à ce que son utilisation soit entièrement privée ou confidentielle. Les renseignements stockés sur une ressource de TI de l’Université peuvent être assujettis à la LAIPVP ou aux lois applicables sur l’accès à l’information et la protection de la vie privée. Toute personne choisissant de stocker ses renseignements personnels sur une ressource de TI de l’Université à des fins personnelles ou pour des activités sans lien avec le mandat de l’Université le fait à ses propres risques.
  3. L’Université n’effectue aucune surveillance dans le cadre de ses affaires ou pratiques courantes quant au contenu des renseignements qui sont stockés, qui se trouvent ou qui passent dans une ressource de TI de l’Université. Toutefois, l’Université se réserve le droit de consulter et d’utiliser le contenu stocké sur ses ressources de TI pour faire enquête à la suite d’une plainte ou d’un cas de non-respect de ses règlements administratifs ou académiques, méthodes ou normes; pour se conformer aux lois applicables ou à son obligation légale de fournir des dossiers; pour voir au contrôle et au bon déroulement de ses processus opérationnels et activités; pour protéger la sécurité des personnes; ou pour protéger contre toute menace d’inconduite ou d’attaque ses biens et ses ressources de TI, ainsi que son équipement et sa propriété.
  4. L’accès aux renseignements des utilisatrices et utilisateurs prévu à l’article 26 nécessite l’approbation écrite de la ou du responsable de l’unité organisationnelle (directrice ou directeur de département ou d’unité, doyenne ou doyen, etc.) ou de la personne occupant le poste au niveau de gestion immédiatement supérieur si l’utilisatrice ou l’utilisateur relève directement de la ou du responsable de l’unité organisationnelle. Avant de divulguer les renseignements demandés, il est obligatoire de consulter la ou le chef de la protection de la vie privée pour vérifier que la demande est conforme aux lois applicables sur l’accès à l’information et la protection de la vie privée et aux règlements de l’Université. 

BANQUES DE RENSEIGNEMENTS PERSONNELS 

  1. Comme l’exige la LAIPVP, le BAIPVP tient un répertoire où figurent les facultés, bureaux administratifs et services disposant de banques de renseignements personnels aux fins des services et fonctions de l’Université. Le répertoire des banques de renseignements personnels doit être publié sur le site Web du BAIPVP. 

CONSERVATION ET SUPPRESSION DES RENSEIGNEMENTS PERSONNELS 

  1. Le calendrier de conservation du Service de la gestion de l’information et des archives de l’Université énonce les pratiques de cette dernière en matière de conservation et de suppression des documents. Les renseignements personnels qu’utilise l’Université sont conservés au moins un an après leur utilisation, à moins que la personne concernée consente à ce qu’ils soient supprimés avant. 

APPROBATION ET MODIFICATIONS 

  1. Il incombe à la secrétaire générale ou au secrétaire général d’examiner périodiquement le présent règlement et de recommander au Comité d’administration des modifications à y apporter, au besoin.  
  2. Les modifications apportées au présent règlement doivent être approuvées par le Comité d’administration.  
  3. La secrétaire générale ou le secrétaire général de l’Université peut établir, modifier ou abroger des méthodes aux fins de l’application du présent règlement, pourvu que ces méthodes soient compatibles avec les dispositions du Règlement.  
  4. Nonobstant le paragraphe 31, la secrétaire générale ou le secrétaire général peut apporter des modifications au présent règlement sans les faire approuver par le Comité d’administration lorsque ces modifications consistent, selon le cas :  
    1. à mettre à jour ou à corriger le nom ou le titre d’un poste, d’une unité, d’une loi, d’un règlement, d’une politique, d’une méthode ou d’une autorité;  
    2. à corriger la ponctuation, la grammaire, les erreurs typographiques, le format et d’autres éléments techniques, au besoin, si la correction ne change pas le sens d’une disposition, ou à apporter une autre correction, si la présence d’une erreur et la correction à apporter sont évidentes;  
    3. à apporter des corrections pour rendre la formulation française ou anglaise d’une disposition plus compatible avec celle de l’autre langue;  
    4. à reprendre les modifications apportées à d’autres règlements, résolutions, politiques ou méthodes de l’Université à des fins d’uniformité.