Traitement de l’information confidentielle et interne

Adoption
Date: 23 octobre 2024
Instance d'approbation : Secrétaire générale
Originating/Responsible Department : Bureau de l’accès à l’information et de la protection de la vie privée

OBJET

  1. La présente méthode vise à énoncer les responsabilités minimales s’appliquant aux personnes utilisatrices qui sont autorisées à recevoir ou à consulter de l’information confidentielle ou interne aux fins de leur emploi auprès de l’Université d’Ottawa ou dans le cadre de leur mandat ou de leurs interactions auprès de l’Université (l’« objet »). 

INTERPRÉTATION

  1. Les définitions contenues dans le Règlement 117 – Classification et traitement de l’information (le « Règlement 117 ») s’appliquent aussi à la présente méthode.

PORTÉE

  1. La présente méthode s’applique à l’ensemble des personnes utilisatrices.

RESPONSABILITÉS

  1. Il incombe aux personnes utilisatrices de protéger l’information confidentielle et interne tout au long de leur relation avec l’Université et après. Minimalement, elles doivent :
    1. utiliser l’information confidentielle et interne exclusivement aux fins de l’objet;
    2. prendre les précautions qui s’imposent pour prévenir l’utilisation, la consultation et la divulgation non autorisées de l’information confidentielle ou interne;
    3. mettre en œuvre les mesures de protection de l’information prévues dans le Règlement 116 – Utilisation et sécurité des biens de technologies de l’information et le Règlement 117;
    4. s’abstenir de divulguer à quiconque de l’information confidentielle ou interne, sauf dans les cas suivants :
      1. s’il s’agit de renseignements personnels, la personne concernée a consenti à la divulgation des renseignements en question,
      2. conformément aux fins pour lesquelles l’information a été recueillie ou compilée ou à des fins conséquentes,
      3. l’information doit être divulguée à une dirigeante ou un dirigeant, une ou un membre du personnel, une consultante ou un consultant, ou une ou un mandataire pour l’exécution de ses fonctions et de celles de l’Université,
      4. les règlements de l’Université et les lois applicables sur l’accès à l’information et la protection de la vie privée l’autorisent;
    5. aviser la ou le propriétaire des renseignements ou leur responsable à l’Université (« la représentante ou le représentant de l’Université ») ainsi que le Centre de libre-service des TI, et suivre la Méthode 20-8 – Protocole d’intervention en cas d’atteinte à la vie privée (s’il y a lieu) si des informations confidentielles ou internes ont été, selon le cas :
      1. volées, perdues, utilisées sans autorisation ou divulguées à des personnes non autorisées,
      2. possiblement volées, perdues, utilisées sans autorisation ou divulguées à des personnes non autorisées;
    6. restituer toute documentation en leur possession pour l’utilisation d’information confidentielle ou interne dès la fin de leur relation avec l’Université, ou suivre les directives qui leur sont données afin de détruire la documentation;  
    7. préserver la confidentialité de toute information confidentielle ou interne ne pouvant être restituée ou détruite au terme de leur relation avec l’Université.
  2. Si la personne utilisatrice est une personne tierce, une organisation ou une entité (un fournisseur, par exemple), en plus de ses responsabilités énoncées au paragraphe 4, elle doit :
    1. prendre les mesures appropriées, par exemple signer au besoin une entente de confidentialité ou de protection des données afin de conférer à ses administratrices et administrateurs, dirigeantes et dirigeants, employées et employés, sous-traitantes et sous-traitants, mandataires, conseillères et conseillers et autres personnes représentantes les mêmes responsabilités que celles qui sont énoncées dans le Règlement 117 et la présente méthode;
    2. prendre les mesures nécessaires pour que les personnes citées à l’alinéa 5a) se conforment aux exigences et évitent toute divulgation non autorisée d’information confidentielle ou interne, y compris les mesures prises par la personne utilisatrice pour protéger ses propres renseignements confidentiels;
    3. aviser la représentante ou le représentant de l’Université lorsqu’on lui enjoint ou demande de divulguer de l’information confidentielle ou interne en lien avec une procédure judiciaire ou administrative, et collaborer avec l’Université si celle-ci décide de demander une ordonnance préventive ou tout autre moyen de recours. Si la demande d’ordonnance préventive ou le moyen de recours n’aboutit pas, la personne utilisatrice doit limiter la divulgation de l’information à la portion requise par la loi.  
  3. Le non-respect, par la personne utilisatrice, des responsabilités énoncées dans la présente méthode peut entraîner différentes conséquences selon la nature de sa relation avec l’Université. Par exemple, s’il s’agit d’une ou d’un membre du personnel, les conséquences peuvent prendre la forme de mesures disciplinaires, y compris le congédiement, conformément aux conventions collectives, modalités et conditions d’emploi, relations contractuelles et règlements applicables. Si la personne utilisatrice est une personne tierce, une organisation ou une entité (un fournisseur, par exemple), les conséquences peuvent prendre la forme d’une résiliation anticipée ou de tout autre mécanisme prévu dans les modalités de la relation.