Afin de permettre aux personnes étudiantes de bien comprendre les utilisations et communications prévues de leurs renseignements personnels, celles-ci sont résumées dans le Consentement général des personnes étudiantes.

Depuis le trimestre d'automne 2023, les personnes étudiantes sont invitées à en prendre connaissance et en accepter les termes au moment de l'inscription au trimestre.

Afin de permettre aux membres du personnel de Polytechnique de bien comprendre les utilisations et communications prévues de leurs renseignements personnels, celles-ci sont résumées dans le Consentement général des membres du personnel.

Dans le cours normal des choses, le consentement sera demandé dans le cadre du processus de recrutement, puis de manière ponctuelle si des changements importants surviennent.

Exceptionnellement, une campagne sera effectuée en septembre 2023 pour s'assurer que l’ensemble des membres du personnel de Polytechnique prenne connaissance et accepte le nouveau consentement général concernant l’utilisation et la communication de leurs renseignements personnels. Les personnes visées seront sollicitées par courriel.

Pourquoi maintenant ? 

Le traitement que Polytechnique Montréal fait des renseignements personnels qu'elle détient a toujours reposé sur l’obtention d’un consentement de la part des personnes concernées. Cependant, ce consentement pouvait être implicite ou présenté de manière très large. Par exemple, une personne qui soumettait son curriculum vitae dans le cadre d’un concours de recrutement consentait implicitement à ce que Polytechnique utilise les renseignements reçus dans le cadre de ce concours.

La Loi 25 exige plus de transparence envers les personnes concernées quant aux utilisations et communications qui seront faites de leurs renseignements personnels, en particulier s’ils sont sensibles. Les Consentements généraux des membres du personnel et des personnes étudiantes répondent à ces nouvelles exigences et permettent aux personnes concernées de mieux comprendre la manière dont sont utilisés et communiqués leurs renseignements.

Puis-je refuser ?

Les utilisations et communications décrites aux Consentements généraux des membres du personnel et des personnes étudiantes sont nécessaires à la prestation des services de Polytechnique et à la relation entre ces personnes et l'université. L'acceptation des termes des Consentements généraux est donc obligatoire. 

Il sera néanmoins possible de refuser dans le cas de collectes, utilisations et communications facultatives, lesquelles seront expressément indiquées le cas échéant.

Puis-je consentir partiellement ?

Il est possible pour les personnes étudiantes de refuser certaines communications facultatives à des organisations externes directement dans leur dossier étudiant. Pour le reste, les éléments décrits aux Consentements généraux des membres du personnel et des personnes étudiantes sont nécessaires au bon fonctionnement de Polytechnique Montréal et à la dispensation de ses programmes. En conséquence, il n'est pas possible de consentir partiellement.

Puis-je retirer mon consentement?

Le retrait du consentement est possible pour les utilisations et communications facultatives. Le cas échéant, celles-ci doivent cesser à compter de la date du retrait.

Cependant, dans le cas des Consentements généraux des membres du personnel et des personnes étudiantes, il ne sera pas possible de retirer le consentement octroyé puisque les utilisations et communications y étant décrites sont nécessaires au bon fonctionnement de l'université.

Effectivement, même si une personne étudiante décide de mettre fin à sa relation avec Polytechnique, Polytechnique conservera son dossier étudiant, notamment à des fins de reprises d'études, mais également de vérifications. De manière similaire, certains renseignements contenus au dossier d'employé d'une personne membre du personnel continueront d'être utilisés et communiqués même après la fin d'emploi (ex. déclarations fiscales, régime de retraite, etc.).

Comité sur l’accès à l’information et à la protection des renseignements personnels (CAIPRP)

Le CAIPRP est chargé de soutenir Polytechnique et la personne responsable de la protection des renseignements personnels à Polytechnique (c.-à-d. la personne secrétaire générale) dans l’application des règles découlant de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.
Il veille à la mise en place du cadre normatif interne et au développement des outils permettant d’améliorer la protection des renseignements personnels à Polytechnique.

Cadre normatif interne

• La Politique sur la protection des renseignements personnels établit les principes applicables et prévoit la répartition des responsabilités au sein de Polytechnique.
• La Directive sur la protection des renseignements personnels détaille les obligations relatives à la collecte, conservation, utilisation, communication et destruction des renseignements personnels ainsi que les exigences relatives à leur protection et au consentement. Consultez le document Coup d'oeil pour connaître les principaux éléments de la Directive.
• La Procédure permettant à une personne d’accéder à ses renseignements personnels décrit les vérifications à effectuer avant qu’une personne puisse accéder à ses renseignements personnels.
• La Procédure sur la gestion administrative des renseignements personnels concerne uniquement les registres et inventaires à tenir par le Secrétariat général. 

Obligation de conduire une EFVP

L’évaluation des facteurs relatifs à la vie privée (EFVP) est une démarche préventive qui permet d’assurer la prise en compte des intérêts en matière de vie privée des personnes concernées.

Polytechnique doit obligatoirement conduire une EFVP :

• avant de transmettre des renseignements personnels à l’extérieur du Québec;
• avant tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services; 
• avant de communiquer des renseignements personnels qu’elle détient à des fins d'études, de recherche ou de production de statistiques;

Pour demander la conduite d’une EFVP, contacter le secretariat.general@polymtl.ca pour obtenir les formulaires appropriés.

Communication de renseignements à l’extérieur du Québec

La communication de renseignements personnes à l'extérieur du Québec peut seulement être effectuée si une EFVP conclut que les renseignements bénéficieront d’une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus. 
L’EFVP doit tenir compte de la sensibilité des renseignements concernés (en tenant compte des risques liés à une utilisation malveillante), la finalité de leur utilisation, leur quantité, leur répartition et leur support ainsi que des mesures de protection juridiques et techniques offertes par la juridiction et l’entité à qui seront confiées les données.

Systèmes d’information et prestations électroniques de service

Toute acquisition, refonte ou mise à niveau de systèmes d’information ou de prestations électronique de service doit être considérée comme une opportunité d’amélioration. Dans ce contexte, l’EFVP vise à s’assurer : 

• du traitement adéquat des renseignements personnels à toutes les étapes de leur cycle de vie, incluant par la mise en place de mesures adéquates pour assurer la conservation, destruction ou anonymisation à la fin du cycle et en tenant compte de la sensibilité des renseignements concernés, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support;
• que le projet permettre la communication aux personnes concernées des renseignements personnels recueillis auprès d’elles dans un format technologique structuré et couramment utilisé.

Des mesures de protection des renseignements personnels telles que la désignation d’une personne chargée de la protection des renseignements personnels dans le cadre du projet et l’ajustement des documents relatifs aux projets (cahier de charge, contrat, etc.) peuvent être exigés.
L’EFVP doit être effectuée dès le début du projet et peut devoir être révisée au fil de l’évolution du projet. 

Communication de renseignements à des fins d’études, de recherche ou de production de statistiques

Les renseignements personnels détenus par Polytechnique peuvent être nécessaires pour conduire certaines études ou projets de recherche, et même parfois sous une forme permettant d’identifier les personnes concernées. Dans la mesure où il est déraisonnable d’exiger le consentement individuel pour un projet et où l’objectif de l’étude l’emporte, eu égard à l’intérêt public, sur l’impact sur la vie privée des personnes concernées, Polytechnique peut autoriser la communication à l’issue d’une EFVP.

Pour plus d’information, consulter la page d’information de la Commission d’accès à l’information.

Les membres du personnel ayant des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel détenu par Polytechnique doivent immédiatement aviser leur supérieur hiérarchique et la personne Responsable de la protection des renseignements personnels (secretariat.general@polymtl.ca). 
Est considéré un incident de confidentialité l’accès, l’utilisation ou la communication non autorisé d’un renseignement personnel, ainsi que la perte ou toute autre atteinte à la protection d’un renseignement personnel.