Politique de confidentialité concernant les renseignements personnels recueillis par moyens technologiques
Préambule
L’Université reconnait l’importance de respecter la vie privée et de protéger les renseignements personnels qu’elle détient.
À titre d’institut d’enseignement supérieur, nous recueillons, utilisons et divulguons des renseignements personnels aux fins de notre mission d’enseignement. L’Université se conforme de manière des plus rigoureuses aux normes et lois applicables en matière de protection des renseignements personnels.
C’est dans cet esprit que l’Université s’est dotée d’une Politique de confidentialité concernant les renseignements personnels recueillis par moyens technologiques (la « Politique »). Cette Politique a pour but d’expliquer comment s’effectue la collecte, le traitement et la protection des renseignements personnels fournis dans le cadre de l’utilisation des sites web de l’Université (les « Sites ») et de ses autres services en ligne et autres plateformes (les « Plateformes »), et d’informer toute personne qui souhaiterait les utiliser, des règles et pratiques de l’Université à cet égard.
En nous fournissant des renseignements personnels par l’entremise de moyens technologiques, la personne utilisatrice accepte que ceux-ci soient traités conformément à ce qui est indiqué dans la présente Politique, et autorise l’Université, ses tiers et fournisseurs de services, le cas échéant, à traiter ses renseignements personnels aux fins énoncées ci-dessous. Il est aussi loisible de choisir de ne pas fournir les renseignements demandés en n’accédant pas au Site ou aux Plateformes proposées.
1. Objet
La présente Politique a pour objet d’informer toute personne qui utilise les Sites ou les Plateformes proposées par l’Université des règles applicables en matière de protection des renseignements personnels recueillis par moyens technologiques.
2. Cadre normatif
La présente Politique s’inscrit dans un contexte régi notamment par la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et doit être lue de pair avec la Politique de protection des renseignements personnels de l’Université.
3. Champ d'application
3.1 La présente Politique s’applique à tous les renseignements personnels recueillis par moyens technologiques par l’Université, soit par son Site ou toute autre Plateforme qu’elle utilise.
3.2 Sites web externes
Les Sites et les Plateformes de l’Université contiennent des hyperliens donnant accès à des sites externes. L’Université n’est pas responsable du contenu de ces sites ni de leurs pratiques en matière de vie privée. Lorsqu’une personne suit ces hyperliens, elle quitte les Sites ou les Plateformes de l’UdeM et les renseignements échangés ne sont plus assujettis à la présente Politique, mais à celle du site ou de la plateforme visitée.
4. Renseignements personnels recueillis
L’Université est appelée à recueillir et à traiter différents types de renseignements personnels dans le cadre de sa mission, et ce à différentes fins telles que : l’admission aux programmes d’études, les programmes de stage, des candidatures à l’embauche, des activités de recherche, des activités de philanthropie, ou encore pour des obligations légales.
L’Université ne recueille que les renseignements nécessaires à l’exercice de ses attributions ou à la mise en œuvre d’un programme dont elle a la gestion. Aucun renseignement personnel n’est recueilli par l’Université, sur les Sites ou les Plateformes, à moins d’avoir préalablement informé la personne concernée des fins de la collecte et d’avoir obtenu son consentement.
Les renseignements personnels recueillis par des moyens technologiques comprennent les renseignements suivants :
- Des renseignements d’identité, tels que les noms et prénoms;
- Des coordonnées, tels une adresse, une adresse électronique et un numéro de téléphone;
- Des renseignements relatifs au dossier scolaire : les dossiers académiques, des résultats scolaires, les institutions d’enseignement fréquentées, le matricule, le code permanent;
- Des renseignements de nature médicale, biologique;
- Documents d’immigration;
- Des renseignements relatifs à la facturation et des renseignements financiers, telles une adresse de facturation, de l’information relative à un compte bancaire ou des données de paiement;
- Des renseignements relatifs au recrutement, tels un curriculum vitae, des renseignements de scolarité et les antécédents professionnels, des détails concernant les affiliations professionnelles;
- Des renseignements relatifs à l’emploi et disciplinaires;
- Des données d’identification et d’autres données de vérification des antécédents telle une copie d’un permis de conduire, d’un passeport ou d’une facture d’un service public;
- Des données relatives au régime de retraite, telles des renseignements financiers, le nom et les coordonnées des bénéficiaires;
- Renseignements d’utilisation du Site et des Plateformes, tels les renseignements recueillis par le biais de témoins, l’adresse IP, l’historique de navigation;
- Des renseignements dans le cadre d’activités de recherche;
- Tout autre renseignement personnel fourni. Pour plus d’exemples, voir les exemples de renseignements et de documents par niveau de confidentialité.
5. Moyens de collecte
5.1 L’Université recueille les renseignements personnels requis dans le cadre de sa mission de la manière suivante :
a. Directement de la personne concernée
Par exemple, lors d’une demande d’admission à un programme d’études, ou lors d’une candidature pour un emploi, à l’embauche, ou dans le cadre de donation, que ce soit par courriel, par le dépôt de documents sur les Plateformes ou autres moyens technologiques.
b. Par le biais de l’utilisation des Sites et des Plateformes
Par exemple, lors de la navigation sur les Sites web de l’Université, ou l’utilisation de Plateformes, des renseignements personnels sont recueillis par le biais de témoins.
c. Par la géolocalisation
La fonction de géolocalisation peut parfois être activée sur le navigateur lors de certaines utilisations des Plateformes. Il est toujours possible de désactiver la géolocalisation en suivant les directives de l’application tierce.
d. Auprès d’autres sources
Il est possible que l’Université doive recueillir des renseignements personnels auprès d’autres organismes (par exemple auprès du ministère de l’Enseignement supérieur) ou des autorités compétentes en matière d’immigration.
5.2 Les renseignements personnels conservés par l’Université sont recueillis seulement une fois que la personne concernée a été informée des fins de la collecte.
Voici certains exemples de moyens utilisés pour la collecte renseignements personnels :
- Dans le cadre d’une demande d’admission;
- Lors de l’utilisation des Sites ou des Plateformes;
- Lors de la navigation sur les Sites, par l’intermédiaire des témoins de connexion (« cookies »);
- Lors de l’inscription aux communications par courriel de l’Université (UdeM nouvelles);
- Dans le cadre de visites de l’un des bâtiments des différents campus, de participation à certaines activités, de location d’équipement ou de participation à un évènement organisé par l’Université;
- Dans le cadre de communications pour formuler un commentaire, une question ou une plainte ou lorsqu’un événement ou incident survient dans l’un de campus;
- Dans le cadre de communication par téléphone ou par courriel avec le Centre de services;
- Dans le cadre d’une candidature à un emploi offert par l’Université.
6. Fins pour lesquelles les renseignements personnels sont recueillis
Les renseignements personnels recueillis sont utilisés essentiellement pour les finalités suivantes, sans être exhaustives :
À des fins :
a. D’identification d’une personne;
b. De transmission d’informations;
c. D’emploi ou de formation;
d. De vérification de l’admissibilité d’une personne dans un programme d’études, à des services ou à des produits;
e. D’offres d’activités de formation, de produits ou de services;
f. De suivi auprès de la personne concernée;
g. De statistiques, d’études ou de recherches;
h. De communication;
i. D’interactions numériques et de gestion du Site et des autres Plateformes;
j. De sollicitation ou d’invitations à des évènements.
7. Catégorie de personnes ayant accès aux renseignements personnels
7.1 Communication au sein de l’Université
L’accès aux renseignements personnels est limité aux membres du personnel ou aux consultants qui ont besoin d’y accéder dans le cadre de leurs fonctions. Le personnel et les consultants s’engagent à protéger la confidentialité des renseignements personnels dont ils ont besoin dans le cadre de leurs fonctions.
7.2 Communication à des tiers
Il est possible que l’Université doive partager des renseignements personnels avec des tiers dans le cadre de sa mission :
a. À différents ministères et organismes gouvernementaux
Par exemple, pour créer et valider un matricule, pour l’obtention de résultats scolaires, pour fins d’attribution de bourses d’études ou d’aide financière, pour fins d’immigration, pour fins d’enquête et de vérification, ou pour fins d’application de la loi.
b. À d’autres entités
Par exemple pour des fins de stage, pour la gestion des admissions et la production de statistiques (BCI) ou pour des fins d’accès à la pratique, à des ordres professionnels pour fins d’adhésion.
c. À des chercheurs pour des fins de travaux de recherche approuvés par un comité d’éthique de l’UdeM
Par exemple, un chercheur peut demander d’avoir accès à des renseignements personnels détenus par l’UdeM sans obtenir le consentement des personnes concernées pour les utiliser à des fins d’études ou de recherche. Certaines conditions doivent être remplies, dont la réalisation d’une évaluation des facteurs relatifs à la vie privée et la signature d’une entente.
d. À des fournisseurs, sous-traitants et partenaires
L’Université peut être appelée à partager des renseignements personnels avec des fournisseurs, des sous-traitants et des partenaires externes, notamment les suivants :
- Des tiers fournisseurs de services de sites web, de développement d’applications, d’hébergement, d’entretien et d’autres services. L’Université limite les renseignements fournis à ces tiers fournisseurs de services aux seuls renseignements qui sont raisonnablement nécessaires pour leur permettre de s’acquitter de leurs fonctions. Les contrats conclus avec ces fournisseurs de services exigent qu’ils préservent la confidentialité de ces renseignements.
Les fournisseurs, sous-traitants et partenaires ayant accès aux renseignements personnels dont l’Université a la garde ou le contrôle sont informés de la présente Politique et des autres politiques et directives applicables pour assurer la sécurité et la protection des renseignements personnels. Ils s’engagent par écrit à se conformer aux politiques, aux directives et aux lois applicables.
L’Université peut également divulguer certains renseignements personnels qu’elle détient pour se conformer à l’ordonnance d’un tribunal, à une loi ou à une procédure judiciaire, y compris pour répondre à toute demande gouvernementale ou réglementaire, conformément aux lois applicables.
8. Refus de collecte de renseignements personnels
La communication de certains renseignements personnels est obligatoire, notamment dans le cadre de demandes d’admission ou d’embauche. Un refus de transmettre les renseignements personnels requis dans ces situations entraînera un arrêt du processus d’évaluation de la demande d’admission ou du processus de candidature ou d’embauche.
9. Mesures de sécurité
Des mesures de sécurité sont mises en place pour assurer la confidentialité et la sécurité des renseignements personnels tels des contrôles sécurité des réseaux, le chiffrement et autres mesures physiques ou administratives.
a. Accès restreint
Seules les personnes dont les fonctions le requièrent ont accès aux renseignements personnels.
Tout renseignement personnel est conservé dans des emplacements sécurisés ainsi que sur des serveurs contrôlés par l'UdeM, situés soit dans ses immeubles ou dans les bureaux de ses fournisseurs de services.
b. Outils technologiques
Les réseaux de données sécurisés sont protégés par des systèmes de pare-feu et de protection par mot de passe correspondant aux normes de l'industrie.
L’infrastructure technologique hébergeant les données sensibles, notamment les renseignements personnels, est protégée par des contrôles de sécurité conformément aux meilleures pratiques de l’industrie.
Les postes de travail des employés susceptibles de traiter des renseignements personnels sont chiffrés.
Les renseignements personnels concernant les cartes de crédit sont traités au moyen de procédés de chiffrement et de sécurité correspondant aux normes de l'industrie.
L’accès aux applications contenant des renseignements personnels requiert une authentification à deux facteurs.
c. Encadrement des membres du personnel
Un membre du personnel ne peut avoir accès aux renseignements personnels que lorsque cet accès est nécessaire à l’exercice de ses fonctions et seul l’accès aux renseignements personnels nécessaires est alors permis.
Tout membre du personnel doit signer un engagement de confidentialité.
Tout membre du personnel qui peut avoir accès à un renseignement personnel doit suivre des formations concernant la protection des renseignements personnels et la cybersécurité.
d. Encadrement des partenaires et des fournisseurs de services
Les contrats conclus avec des tiers contiennent des clauses de confidentialité, de remise ou de destruction de documents contenant des renseignements personnels.
Les tiers ont l’obligation d’aviser en cas de risque en matière de confidentialité des renseignements personnels.
10. Moyens technologiques disponibles pour consultation ou rectification des renseignements personnels d'une personne concernée
Les moyens technologiques disponibles pour consulter ou rectifier des renseignements personnels sont variables. Toute personne concernée peut consulter ou faire rectifier un renseignement personnel en communiquant avec l’une des unités mentionnées sur le site Web : https://vie-privee.umontreal.ca/exercer-vos-droits/
11. Droits d'accès et de rectification
Dans certaines circonstances et conformément aux lois applicables en matière de protection des renseignements personnels, une personne dispose des droits suivants :
3.2 Droit d’accès
La personne concernée a le droit d’avoir accès à ses renseignements personnels détenus par l’Université. Sous réserve du droit applicable et, le cas échéant, du paiement d’une somme monétaire, la personne peut ainsi recevoir une copie des renseignements personnels détenus par l’Université et certains autres renseignements la concernant.
3.3 Droit de rectification
La personne concernée a le droit de demander de faire rectifier tout renseignement personnel incomplet, inexact ou équivoque, détenu par l’Université.
12. Personne responsable de l'application et de la révision de la Politique
Pour toutes questions ou plaintes relatives à la Politique, ou pour l’exercice des droits des personnes concernées, il faut communiquer avec le responsable de la protection des renseignements personnels :
Alexandre Chabot
Secrétaire général
vie-privee@umontreal.ca
13. Communication hors Québec
Les renseignements personnels sont habituellement conservés au Québec ou dans une autre province canadienne, mais il arrive que l’Université fasse appel à des fournisseurs, organismes ou à des partenaires situés à l’extérieur du pays. Advenant le cas où l’Université doive partager des renseignements personnels avec ces fournisseurs, organismes ou ces partenaires, l’Université s’assurera que la protection et la confidentialité de ces renseignements répondent à ses propres exigences et il sera demandé à ces fournisseurs, organismes ou partenaires de s’engager par contrat à s’y conformer et à les respecter.
14. Entrée en vigueur
La présente politique est en vigueur et a été mise à jour le 25 juin 2024.