Politique de protection de la vie privée

1. Mandat de l’IFPD et portée de la politique

L’Institut des finances publiques et de la démocratie et IFSD Advisors Ltd. (collectivement « l’IFPD », « nous », « notre », « nos ») fournissent des services de recherche, de consultation et d’analyse à des organisations publiques, parapubliques, autochtones et privées au Canada et à l’étranger.

La présente politique de protection de la vie privée explique la façon dont nous recueillons, utilisons, divulguons, conservons et protégeons les renseignements personnels associés à nos activités commerciales, conformément à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et aux directives applicables du Commissariat à la protection de la vie privée du Canada (CPVP).

Dans toute la mesure du possible, l’IFPD travaille avec des données agrégées, dépersonnalisées ou anonymisées. Nous ne traitons les renseignements personnels nominatifs que lorsque cela est nécessaire, proportionné et clairement soutenu par des fondements juridiques et des engagements documentés (par exemple des contrats ou des accords de partage d’informations).

2. Principales définitions

Renseignements personnels (RP) : Renseignements concernant un individu identifiable, selon l’interprétation figurant à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Coordonnées d’affaires : Nom d’un individu et tout renseignement (tel que son titre, l’adresse ou le numéro de téléphone de son lieu de travail ou son adresse électronique au travail) servant exclusivement à des fins de communication professionnelle.

Prestataire de services : Tierce partie retenue par l’IFPD pour traiter des renseignements en notre nom en vertu d’un contrat écrit et soumis à des obligations de confidentialité et de sécurité.

Données dépersonnalisées/agrégées : Renseignements personnels modifiés de manière à empêcher l’identification directe d’individus, mais où il subsiste un risque de réidentification.

Données anonymisées : Renseignements modifiés de manière irréversible à l’aide de mesures techniques et organisationnelles appropriées, de manière qu’aucun individu ne puisse être identifié directement ou indirectement et qu’une réidentification ne soit pas raisonnablement possible.

Accord de partage d’informations : Accord écrit définissant les rôles, les fins, les garanties et les règles de conservation qui s’appliquent lorsque l’IFPD reçoit des données provenant de partenaires ou de clients ou y accède.

Consultant/personnel embauché : Individus engagés par l’IFPD (employés ou sous-traitants) qui sont tenus de respecter les règles de confidentialité et la présente politique.

3. Responsabilité

L’IFPD est responsable des renseignements personnels dont il a la garde ou le contrôle, y compris lorsqu’ils sont traités en notre nom par des prestataires de services.

Dirigeant de la protection de la vie privée : Sahir Khan, vice-président exécutif
Courriel : sahir.khan@ifsd.ca
Téléphone : 613-724-7503

Nous appliquons un cadre de gestion de la protection de la vie privée qui comprend des politiques, des accords de partage d’informations, des garanties contractuelles, des mesures de formation et une surveillance des prestataires de services. Nous demeurons responsables des renseignements personnels communiqués pour traitement à des tiers.

4. Détermination des fins

Nous déterminons et documentons les fins au moment de la collecte ou de la réception des informations personnelles, ou avant. Voici quelques exemples de fins typiques :

• Effectuer des recherches, des modélisations et des analyses.
• Fournir des services de conseil et de consultance.
• Gérer les relations avec les clients, les partenaires et les experts.
• Assurer la sécurité et l’intégrité de nos systèmes et de nos ensembles de données (par exemple surveillance des connexions, des fraudes ou des abus).
• Respecter les obligations juridiques, réglementaires, contractuelles et d’audit, y compris celles prévues aux accords de partage d’informations.

5. Consentement

Lorsque l’IFPD recueille des renseignements personnels directement auprès d’individus, nous obtenons leur consentement éclairé (explicite ou implicite, selon le contexte, le caractère sensible des données et les attentes). Les individus sont informés des renseignements que nous recueillons, des fins auxquelles ils sont utilisés, des parties avec lesquelles ils peuvent être partagés et de tout risque significatif qui n’est pas évident.

Les individus peuvent retirer leur consentement à tout moment, sous réserve des restrictions légales ou contractuelles applicables et d’un préavis raisonnable. Nous expliquons toutes les conséquences d’un tel retrait, comme une limitation de notre capacité à fournir certains services.

Nous nous conformons à la Loi canadienne anti-pourriel (LCAP). Nous envoyons des messages électroniques commerciaux uniquement lorsqu’il y a consentement du destinataire, lorsqu’il y a consentement tacite ou lorsqu’une autre exception de la LCAP le permet. Chaque message nous identifie et comporte une option d’exclusion facile et gratuite.

6. Limitation de la collecte

L’IFPD limite la collecte et l’utilisation des renseignements personnels nominatifs à ce qui est nécessaire et proportionné aux fins déterminées.

Notre approche par défaut consiste à demander des ensembles de données agrégées, dépersonnalisées ou anonymisées, et à éviter les identifiants sensibles à moins que cela ne soit clairement nécessaire et justifié pour le mandat de recherche ou de consultance.

Lorsque des organisations nous communiquent des données en vertu d’un accord de partage d’informations, ces organisations ont la responsabilité d’assurer un fondement juridique à la divulgation (par exemple caviardage, fondement législatif applicable ou consentement). Nous nous appuyons sur ce fondement et appliquons des mesures de contrôle conformes à la LPRPDE et à l’accord pertinent.

7. Limitation de l’utilisation, de la divulgation et de la conservation

Nous n’utilisons et divulguons les renseignements personnels qu’aux fins déterminées lors de leur collecte, selon ce que la loi permet ou exige, ou comme indiqué dans les contrats ou les accords de partage d’informations applicables.

Nous alignons la conservation des renseignements sur les conditions de l’accord de partage d’informations ou les périodes d’engagement applicables, et sur les fins pour lesquelles les données ont été fournies. À défaut de période spécifique, nous conservons généralement les données de recherche pendant une durée maximale de cinq (5) ans à des fins de reddition de comptes et d’assurance de la qualité, sauf si une période plus courte s’impose. À l’issue de la période de conservation ou à la résiliation d’un accord, les renseignements personnels sont détruits de manière sécurisée et, le cas échéant, nous conservons les registres ou les certificats de destruction.

Nous ne réutilisons pas les renseignements personnels à des fins nouvelles et incompatibles sans justification légale et, le cas échéant, sans mise à jour du consentement ou des conditions contractuelles.

8. Exactitude

Nous prenons des mesures raisonnables pour assurer l’exactitude, l’exhaustivité et l’actualité des renseignements personnels que nous utilisons pour notre travail ou qui peuvent avoir un impact sur des individus. Dans le cas des ensembles de données fournis par des clients ou des partenaires, nous considérons généralement qu’ils représentent le système de référence et, si nécessaire, nous signalons les inexactitudes importantes au fournisseur de données.

9. Garanties

Nous protégeons les renseignements personnels à l’aide de garanties administratives, techniques et physiques adaptées au caractère sensible, au volume et au contexte des données.

Nos garanties administratives comprennent des engagements de confidentialité, une définition claire des rôles et des responsabilités, une formation en protection de la vie privée et en sécurité, des mesures de diligence raisonnable et des garanties contractuelles pour les prestataires de services, ainsi que de bonnes pratiques de gouvernance en vertu des accords de partage d’informations.

Nos garanties techniques comprennent un contrôle d’accès basé sur les rôles et le principe du moindre privilège, une authentification forte (authentification multifactorielle), le chiffrement en transit et au repos, des configurations sécurisées, des outils de connexion et de surveillance, la gestion des vulnérabilités et la prévention des pertes de données, quand il y a lieu.

Nos garanties physiques comprennent un contrôle d’accès aux bureaux, le stockage sécurisé, des pratiques de bureau propre et une élimination sécurisée des supports.

Nous appliquons des procédures d’intervention en cas d’incident et, quand la LPRPDE l’exige, nous évaluons, enregistrons, signalons et déclarons les violations des mesures de sécurité qui présentent un risque réel de préjudice grave.

10. Transparence

Nous nous engageons à fournir des informations claires et accessibles sur nos pratiques de protection de la vie privée. La présente politique de protection de la vie privée constitue notre principal énoncé de confidentialité. Dans certains projets particuliers, elle peut être augmentée d’énoncés supplémentaires propres à certaines fins ou des conditions d’un accord de partage d’informations. Sur demande, nous communiquerons plus de détails sur nos pratiques de gestion de la protection de la vie privée, sous réserve des contraintes de sécurité et de confidentialité.

11. Accès et correction

Un individu a le droit de demander l’accès aux renseignements personnels le concernant qui sont détenus par l’IFPD et de demander des corrections lorsqu’il estime que ces renseignements sont inexacts ou incomplets, sous réserve des exceptions prévues à la LPRPDE. Nous pourrions devoir vérifier l’identité du demandeur avant de répondre, et nous répondrons dans les délais prévus par la loi, en expliquant tout refus et les options de recours disponibles.

12. Contestation de la conformité

Les questions, préoccupations ou plaintes relatives à la présente politique de protection de la vie privée ou à nos pratiques peuvent être adressées à notre dirigeant de la protection de la vie privée. Nous en accuserons réception, puis nous ferons enquête et nous répondrons dans un délai raisonnable, et nous prendrons au besoin les correctifs qui s’imposent. Si vous n’êtes pas satisfait, vous pouvez communiquer avec le Commissariat à la protection de la vie privée du Canada.

13. Transferts internationaux et transfrontaliers

Les serveurs et les serveurs de sauvegarde de l’IFPD sont situés au Canada. Advenant que l’IFPD fasse appel à des prestataires de services ou à une infrastructure infonuagique situés à l’extérieur du Canada, elle demeure responsable de ces informations et applique les mesures contractuelles, techniques et organisationnelles nécessaires pour les protéger, conformément au principe de responsabilité énoncé dans la LPRPDE.

14. Témoins, analytique et suivi en ligne

Nos sites Web peuvent utiliser les cookies essentiels requis pour leur sécurité et leur fonctionnalité et, avec consentement lorsqu’il y a lieu, peuvent utiliser des témoins analytiques ou des technologies similaires pour comprendre l’utilisation du site et améliorer nos services. Les individus peuvent gérer les paramètres des témoins au moyen de leur navigateur et, quand c’est possible, à l’aide de nos outils de préférences en matière de témoins. Nous ne procédons à aucun profilage invasif ni à aucune publicité microciblée qui contreviendrait à la LPRPDE.

15. Individus vulnérables et communautés autochtones

Nos services s’adressent à un public institutionnel et professionnel. Quand nous travaillons avec des ensembles de données contenant des renseignements sensibles sur des communautés autochtones (Premières Nations, Inuits et Métis), nous utilisons des mesures de protection renforcées (p. ex. les principes de PCPS®), nous respectons les exigences énoncées dans les accords de partage d’informations applicables, et nous appliquons nos procédures opérationnelles habituelles.

16. Comment communiquer avec nous

Pour toute question, demande d’accès ou plainte, veuillez contacter :

Sur demande, nous répondrons aux besoins d’accessibilité associés aux demandes de renseignements ou aux plaintes concernant la protection de la vie privée.

17. Modifications à cette politique

Nous pouvons mettre à jour occasionnellement la présente politique de protection de la vie privée afin de refléter les changements apportés à nos pratiques ou aux exigences légales. La date d’entrée en vigueur figurant au haut de la page indique la version la plus récente. En cas de modifications importantes, nous vous en informerons de manière plus manifeste et, si nécessaire, nous vous demanderons de renouveler votre consentement.