La Loi 25 sur la protection des renseignements personnels demande entre autres de réaliser un inventaire des renseignements qui sont traités par l'organisation. Cet inventaire peut aider à effectuer une analyse des risques et des suivis sur le niveau de conformité avec la loi. À Projet collectif, nous avons créé un tableau pour soutenir ce processus. Nous vous le partageons ici sous forme de gabarit que vous pouvez compléter dans votre organisation, en espérant que cet outil pourra vous être utile.
⚠️ Attention, cette note s’adresse d’abord à un public québécois. Il ne s’agit pas d’un avis légal. Nous vous conseillons de consulter des spécialistes pour vérifier la conformité de votre site web.
Comment compléter l'inventaire
Copiez ou téléchargez cette version en ligne et complétez le tableau.
Vous pouvez y revenir ponctuellement pour le mettre à jour.
Si vous avez des commentaires ou propositions d'adaptation, n'hésitez pas à nous contacter!
Explications
Voici des détails concernant les différentes colonnes présentes.
- Contexte: ce renseignement est-il utilisé en interne, dans le cadre des communications, pour les activités de l’organisation, ou en lien avec la gouvernance et les partenaires?
- Type de renseignement: nom ou description des données concernées. N'oubliez pas que les informations liées aux employé·es, collaborateur·trices et bénévoles d'une organisation doivent être incluses.
- Loi 25: est-ce que la gestion de ce renseignement est actuellement conforme à la loi?
- Sensibilité: Niveau de sensibilité de ces renseignements.
- Contenus: De quelle nature sont ces renseignements et sont-il anonymisés? Dans certains cas, les informations professionnelles (titre, courriel...) ne sont pas considérées comme des renseignements personnels aux yeux de la loi.
- Source: Source d'acquisition des renseignements.
- Outil: Outil numérique utilisé, s'il y a lieu.
- Hébergement: Où sont hébergées les données? Vous êtes dans l'obligation d'obtenir un consentement pour l'hébergement de renseignements personnels à l'extérieur du pays.
- Sécurisé: Est-ce que l'outil utilisé et l'hébergement des données sont adéquatement sécurisés?
- Autorisé: Nature du consentement obtenu.
- Révocable: Ce consentement est-il révocable?
- Accès: Qui a accès à ces renseignements?
- Accès tiers: Est-ce qu'un tiers à également accès? Il peut s'agit d'un fournisseur externe, exemple pour la gestion de la paie. Des ententes et mesures particulières doivent alors être prises et les personnes concernées doivent donner leur consentement.
- Politique: Est-ce que ces renseignements peuvent être sensibles d'un point de vue politique, par exemple des notes de rencontre ou des discussions privées?
- Risque: Niveau de risque et de surveillance requis.
- Signalement: Y a-t-il eu une fuite, un incident ou une plainte? S'il y a lieu, ces informations devront être documentées dans un registre spécifique.
🧰 Ressources complémentaires
Nous vous proposons de consulter cet Inventaire de l’offre de services et formations à destination du communautaire concernant la loi 25