Politique relative à la collecte des renseignements personnels des membres 

Nous nous engageons à protéger la confidentialité de vos renseignements personnels en tant que membre de la coopérative. Cette page vous explique comment nous recueillons, utilisons et protégeons les informations lorsque vous êtes membre de la coopérative. 

Date d'entrée en vigueur : 28 Avril 2025 

Dernière modification: 28 Avril 2025

1. Objectif et Portée

La présente ligne directrice établit les règles internes de la Coopérative d'habitation Domaine Godfrind (la « Coopérative ») concernant la collecte, l'utilisation, la divulgation, la conservation et la destruction des renseignements personnels des membres et résidents. Son objectif est d'assurer que toutes les personnes agissant pour la Coopérative (administrateurs, employés, bénévoles) gèrent ces informations de manière responsable et conforme aux exigences de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé (Loi 25) du Québec.   

Cette ligne directrice s'applique à tous les renseignements personnels de membres et résidents détenus par la Coopérative, quel que soit leur format (papier ou numérique) et leur lieu de stockage.

2. Le Responsable de la protection des renseignements personnels (RPRP)

Le Responsable de la protection des renseignements personnels (RPRP) supervise l'application de cette ligne directrice, conseille le Conseil d'administration et veille à la conformité de la Coopérative avec la Loi 25.   

Responsable : Marc-André Ouellette 

Contact : [email protected]

Toute question, préoccupation ou incident potentiel concernant la gestion des renseignements personnels doit être signalé sans délai au RPRP.

3. Principes Clés de la Loi 25

Tous ceux qui traitent des renseignements personnels pour la Coopérative doivent respecter les principes suivants :

• Nécessité et Finalité : Collecter et utiliser uniquement les renseignements nécessaires aux fins légitimes et définies de la Coopérative (gestion des membres, location de terrains, administration).

• Transparence : Être transparent avec les membres concernant la collecte et l'utilisation de leurs données (via la politique de confidentialité publique).

• Sécurité : Mettre en place des mesures raisonnables pour protéger les données contre l'accès non autorisé, la perte ou le vol.

• Conservation limitée : Ne pas conserver les données plus longtemps que nécessaire.

• Accès et Rectification : Permettre aux membres d'accéder à leurs données et de demander des corrections.

4. Renseignements personnels collectés et raisons de la collecte

La Coopérative collecte et utilise les renseignements personnels suivants auprès de ses membres et résidents, car ils sont essentiels à la gestion de la location de terrains et au bon fonctionnement de la Coopérative :

• Informations d'identification et de contact : Nom, prénom, adresse complète du terrain loué, numéros de téléphone, adresses courriel, information de contact d'urgence, etc. 

• Utilité pour la Coopérative : Identifier les membres/résidents, communiquer avec eux, gérer le bail du terrain, maintenir le registre des membres.

• Informations financières : Coordonnées bancaires (pour les prélèvements automatiques). 

• Utilité pour la Coopérative : Permettre le paiement automatisé et sécurisé du loyer du terrain et des frais de membre.

• Informations contractuelles : Copies des baux de location de terrain signés, signatures sur d'autres documents officiels de la Coopérative. 

• Utilité pour la Coopérative : Documenter le contrat de location et l'acceptation des règles et obligations.

• Informations relatives au dossier du membre/résident : Informations concernant le terrain loué (particularités, améliorations), déclarations d'incidents sur le terrain ou affectant la parcelle, plaintes formulées ou reçues, historique des paiements du loyer du terrain, participation aux activités communautaires (corvées, comités). 

• Utilité pour la Coopérative : Assurer la bonne gestion des terrains et des relations entre membres, documenter le respect des règlements du terrain et de la Coopérative.

5. Inventaire interne et lieux de stockage des données 

Les renseignements personnels sont stockés aux endroits suivants. Il est impératif de respecter les consignes de sécurité associées à chaque lieu :

• Services infonuagiques (Cloud) :

• Utilisés : Zoho (CRM, Sign, Mail, Workspace, Campaigns, etc), Google (Google Drive, Google Forms, etc), Cloudflare.

• Consignes :

• Utiliser des mots de passe forts et uniques pour chaque service.

• Activer et utiliser l'authentification à deux facteurs (2FA) sur tous les comptes où cette option est disponible.

• Limiter l'accès aux renseignements personnels sensibles (comme les infos bancaires) aux seules personnes qui en ont besoin via les paramètres de partage et de permissions des services (ex: restreindre l'accès aux informations financières au trésorier et au RPRP).

• Vérifier les engagements de confidentialité et de sécurité des fournisseurs (Zoho, Google) et, si possible, choisir des options d'hébergement des données situées au Canada.

• Disque dur externe :

• Situé : Chez le RPRP.

• Consignes :

• Le disque dur DOIT être chiffré par un mot de passe fort.

• Il DOIT être conservé dans un lieu sécurisé et protégé (à l'abri du vol, du feu, de l'eau).

• L'accès physique au disque doit être restreint aux seules personnes autorisées (principalement le RPRP).

• Ordinateurs personnels des membres du conseil d'administration :

• Accès : Les membres du CA peuvent accéder ou, exceptionnellement, détenir des copies de renseignements personnels via les services cloud ou pour les besoins de leur mandat.

• Consignes STRICTES :

• Éviter au maximum le stockage de copies locales de renseignements personnels sensibles (infos bancaires, baux complets, dossiers de plaintes détaillés) sur les ordinateurs personnels. Privilégier l'accès sécurisé directement via les plateformes cloud gérées par la Coopérative.

• Si une copie locale est temporairement nécessaire, elle DOIT être conservée dans un dossier ou fichier chiffré sur l'ordinateur.

• L'ordinateur personnel DOIT être protégé par un mot de passe fort et une session verrouillable.

• Un logiciel antivirus/anti-malware à jour DOIT être installé, actif et mis à jour régulièrement.

• À la fin du mandat d'un administrateur, TOUTES les copies de renseignements personnels de la Coopérative présentes sur son ordinateur personnel DOIVENT être supprimées de manière sécurisée (pas juste déplacées à la corbeille ou formatage simple).

• Format papier :

• Situation : Des documents contenant des renseignements personnels peuvent encore exister en format papier. La Coopérative vise à éliminer progressivement ce format.

• Consignes : Conserver ces documents sous clé, dans un lieu sécurisé et dont l'accès est limité. Procéder à la numérisation sécurisée et à la destruction rapide des copies papier une fois numérisées.

6. Conservation et destruction des données

La Coopérative conserve les renseignements personnels aussi longtemps que nécessaire pour les fins établies et pour se conformer aux exigences légales ou réglementaires. Des procédures de destruction sécurisée doivent être suivies à la fin des périodes de conservation.

• Dossier du membre/résident (général) : Inclut les informations d'identification, de contact, contractuelles (baux actifs), et les informations relatives au dossier (incidents, plaintes, paiements - hors infos bancaires détaillées une fois le prélèvement établi). Ces informations sont conservées pendant toute la durée où la personne est membre ou résidente de la Coopérative. Après le départ définitif du membre, ces informations sont conservées pendant une période de cinq (5) ans pour des raisons administratives, de suivi et de conformité (ex: historiques de location, litiges potentiels passés, références si la loi le permettait et avec consentement).

• Informations bancaires (prélèvements automatiques) : Les coordonnées bancaires précises fournies pour la mise en place des prélèvements automatiques sont des informations sensibles. Elles doivent être détruites de manière sécurisée (physique ou numérique) dans un délai maximal de sept (7) jours suivant la confirmation du premier prélèvement réussi par l'institution financière. Seule l'autorisation de prélèvement signée et la confirmation de mise en place sont conservées dans le dossier du membre, sans les numéros de compte complets si possible.

Procédure de destruction sécurisée :

• Documents numériques : Utiliser des méthodes de suppression sécurisée qui empêchent la récupération des fichiers sur les plateformes cloud (si l'option est offerte), les ordinateurs personnels et le disque dur externe.

• Documents papier : Déchiquetage sécurisé par une déchiqueteuse en coupe croisée ou un service de déchiquetage confidentiel.

Il est de la responsabilité des administrateurs et du RPRP de s'assurer que ces délais et méthodes de destruction sont respectés.

7. Partage et divulgation des renseignements personnels (Usage interne et externe)

• Accès interne : L'accès aux renseignements personnels est strictement limité aux membres du Conseil d'administration et, le cas échéant, aux employés ou bénévoles autorisés, uniquement dans la mesure nécessaire à l'exercice de leurs fonctions de gestion de la Coopérative. Tous sont tenus à la confidentialité la plus stricte.

• Partage externe : Les renseignements personnels ne sont partagés avec des tiers que lorsque cela est strictement nécessaire aux fins légitimes de la Coopérative et dans le respect de la Loi 25 : 

• Institution financière mandatée pour le traitement des prélèvements automatiques.

• Fournisseurs de services technologiques (Zoho, Google) agissant comme sous-traitants pour l'hébergement, le stockage et le traitement des données. La Coopérative doit s'assurer que ces fournisseurs offrent des garanties suffisantes quant à la protection des renseignements détenus, conformément à leurs obligations contractuelles et à leurs propres politiques.

• Professionnels externes mandatés par la Coopérative (ex: auditeur comptable, avocat en cas de litige concernant un membre ou un terrain) si l'accès aux renseignements est essentiel à leur mandat professionnel.

• Autorités compétentes (ex: tribunaux, forces de l'ordre, organismes gouvernementaux) si requis par une loi, un règlement ou une ordonnance valide.

La Coopérative s'engage à ne jamais vendre, louer ou échanger les renseignements personnels de ses membres et résidents à des fins commerciales.

8. Confidentialité lors des réunions du Conseil d'administration

Les réunions du Conseil d'administration (CA) se tiennent régulièrement au domicile des membres du CA. Étant donné que des renseignements personnels et confidentiels y sont discutés, des mesures renforcées sont requises pour assurer leur protection dans ce cadre résidentiel :

• Lieu de la réunion : Choisir une pièce privée dans le domicile qui peut être fermée pour minimiser le risque que les discussions soient entendues de l'extérieur de la pièce.

• Sensibilisation des occupants du domicile : Le membre du CA qui accueille la réunion DOIT informer clairement les autres occupants de son domicile (conjoint(e), enfants majeurs, autres personnes présentes) que : 

• Une réunion confidentielle de la Coopérative a lieu.

• Des sujets sensibles et des renseignements personnels de membres ou résidents seront discutés.

• Il leur est demandé de respecter la confidentialité absolue et de ne pas écouter, chercher à obtenir des informations, ou discuter de quoi que ce soit lié à la réunion.

• Gestion sécurisée des documents et appareils :

• Limiter au strict minimum la quantité de documents papier ou l'utilisation d'appareils électroniques contenant des renseignements personnels apportés ou utilisés pendant la réunion. Privilégier l'accès sécurisé via les plateformes cloud de la Coopérative.

• Ne jamais laisser des documents ou appareils contenant des informations confidentielles sans surveillance pendant la réunion.

• S'assurer que les écrans d'ordinateurs ou de tablettes ne sont pas visibles par des personnes non autorisées.

• Immédiatement après la réunion, tous les documents (même brouillons) et appareils utilisés DOIVENT être rangés et sécurisés de manière appropriée (dans un classeur verrouillé, chiffrés, etc.).

Le respect de ces consignes est une responsabilité individuelle et collective de chaque membre du CA pour prévenir toute divulgation de données dans un environnement privé.

9. Droits des membres et procédure interne pour y répondre

Conformément à la Loi 25, les membres et résidents ont des droits concernant leurs renseignements personnels :

• Droit d'accès : Les membres peuvent demander d'être informés des renseignements personnels que la Coopérative détient à leur sujet et d'en obtenir une copie.

• Droit de rectification : Les membres peuvent demander que les renseignements personnels les concernant qui sont inexacts, incomplets ou équivoques soient corrigés.

• Droit au retrait du consentement : Un membre peut retirer son consentement à la communication ou à l'utilisation de certains renseignements, sous réserve des obligations légales ou contractuelles de la Coopérative.

• Droit à la cessation de la diffusion/désindexation : Sous certaines conditions légales, un membre peut demander que la Coopérative cesse de diffuser ses renseignements personnels ou que ceux-ci soient désindexés.

Procédure interne pour gérer les demandes : Toute demande d'accès, de rectification, de retrait de consentement ou autre demande liée aux droits des membres reçue par un membre du CA ou autre personne agissant pour la Coopérative DOIT être transmise immédiatement au RPRP via courriel. Le RPRP est responsable de traiter la demande conformément aux exigences et délais prévus par la Loi 25, et de vérifier l'identité du demandeur avant de divulguer des informations.

10. Incidents de confidentialité

Un incident de confidentialité est un accès, une utilisation ou une communication de renseignements personnels non autorisée par la loi, de même que leur perte ou toute autre forme de leur traitement. Exemples : perte ou vol d'un document ou appareil, envoi d'un courriel à la mauvaise personne, accès non autorisé à un compte cloud.

• Procédure en cas d'incident :

• Maîtrise : Toute personne constatant ou soupçonnant un incident DOIT agir immédiatement pour tenter de maîtriser la situation (ex: récupérer un document, sécuriser un appareil, changer un mot de passe).

• Signalement au RPRP : Aviser SANS DÉLAI le RPRP de l'incident, en fournissant le maximum de détails (date, nature de l'incident, types de données concernées, nombre de personnes potentiellement touchées).

• Évaluation par le RPRP : Le RPRP évalue la gravité de l'incident et détermine s'il présente un "risque de préjudice sérieux" pour les personnes concernées.

• Notification (si risque sérieux) : Si le risque est sérieux, le RPRP DOIT notifier la Commission d'accès à l'information du Québec (CAI) et les membres concernés dans les plus brefs délais.

• Registre interne : Tout incident, qu'il soit jugé sérieux ou non, doit être documenté dans un registre interne tenu par le RPRP.

11. Formation et Sensibilisation

Il est essentiel que toutes les personnes ayant accès à des renseignements personnels (membres du CA, employés, bénévoles) comprennent l'importance de la protection des données et les règles énoncées dans cette ligne directrice. La lecture et la compréhension de ce document sont obligatoires. Des rappels ou formations spécifiques pourront être organisés.

12. Révision de la Ligne Directrice

La présente ligne directrice sera examinée et, si nécessaire, mise à jour régulièrement par le Conseil d'administration, en collaboration avec le RPRP, afin d'assurer son efficacité, sa pertinence et sa conformité continue aux exigences légales et aux réalités de la Coopérative.