Politique de Confidentialité et de Gestion des Renseignements Personnels

Identification du CPE

·      Raison sociale : CPE Le Papillon Enchanté

·      Adresse : 116 18e Avenue, Drummondville, Québec J2B 3T3

·      Site web : www.william.coop/Site/cpelepapillonenchante

·      Date d'entrée en vigueur : 2026-02-01

·      Date de la dernière mise à jour : 2026-01-28

Introduction Générale

Le CPE Le Papillon Enchanté (ci-après le « CPE ») accorde une importance capitale à la protection de la vie privée et des renseignements personnels (RP) qu'il détient, notamment ceux concernant les enfants, leurs parents, et ses employés. La présente Politique est établie en conformité avec la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (communément appelée « Loi 25 ») qui modifie la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels au Québec.

Le CPE s'engage à respecter les principes fondamentaux de la protection des RP, incluant :

1.    Responsabilisation : Le CPE est responsable des RP qu'il détient, y compris ceux confiés à des tiers pour traitement.

2.    Transparence : Les pratiques de gestion des RP sont publiques, claires, et accessibles.

3.    Souveraineté des données : Le CPE privilégie le traitement et la conservation des RP au Québec. Tout transfert hors Québec est soumis à des garanties strictes.

4.    Minimisation et Finalité : Seuls les RP nécessaires aux fins clairement définies sont collectés.

Cette Politique vise à informer de manière claire les personnes concernées sur la manière dont leurs RP sont collectés, utilisés, conservés, communiqués et détruits.

1. Responsable de la Protection des Renseignements Personnels (RPRP)

Conformément à la Loi 25, le CPE a désigné un Responsable de la Protection des Renseignements Personnels (RPRP) :

·      Titre/Fonction : Directrice générale

·      Nom : Mariana Rufolo Caux

·      Coordonnées : dg@cpelepapillonenchante.com | 819 478-0142 poste 2

Rôles et Responsabilités Détaillés du RPRP :

Le RPRP supervise l'application de cette Politique et est l'interlocuteur privilégié pour toute question ou demande relative aux RP. Ses responsabilités incluent, sans s'y limiter :

·      Gouvernance : S'assurer de la mise en place d'un cadre de gouvernance des RP.

·      Traitement des Demandes : Gérer les demandes d'accès, de rectification, de retrait de consentement, d'oubli, de portabilité et de cessation de diffusion.

·      Incidents : Superviser le traitement des incidents de confidentialité, leur documentation, et la notification à la Commission d'accès à l'information (CAI) et aux personnes concernées, le cas échéant.

·      Mise à Jour : Réviser et mettre à jour annuellement la présente Politique et les pratiques internes.

·      Fournisseurs : Gérer et documenter les ententes de service avec les tiers qui traitent des RP pour s'assurer qu'ils offrent des garanties de protection adéquates.

·      Formation : S'assurer de la formation des employés sur les obligations en matière de protection des RP.

2. Portée de la Politique

La présente Politique s'applique à tous les renseignements personnels que le CPE collecte, utilise, communique, conserve et détruit, quel que soit leur support (papier, numérique, verbal, ou autre).

Types de Données et Personnes Couvertes :

1.    Enfants Inscrits/Potentiels : Dossier d'inscription, informations de santé (allergies, médication, régime), suivi éducatif, photos/vidéos prises dans le cadre pédagogique.

2.    Parents/Tuteurs : Coordonnées, informations de facturation, informations relatives aux autorisations (cueillette, sorties), preuves de revenu pour fins de subvention.

3.    Employés/Candidats : Dossiers d'embauche, renseignements personnels, bancaires, évaluation du rendement, informations de santé au travail.

4.    Partenaires/Fournisseurs : Coordonnées professionnelles, informations nécessaires à l'exécution de contrats.

Contextes de Collecte Couverts :

La Politique s'applique à toutes les interactions internes et externes, y compris : les formulaires d'inscription papier et numériques, les communications courriel, les applications de gestion de service de garde (ex. : Mozaïk, CPE-App), le site web du CPE, et les communications verbales entre le personnel et les familles.

3. Définitions

Aux fins de la présente Politique, les termes suivants ont le sens qui leur est donné par la Loi 25 ou qui est essentiel à sa compréhension :

·      Renseignement Personnel (RP) : Toute information qui concerne une personne physique et permet de l'identifier, directement ou indirectement (ex. : nom, adresse, courriel, date de naissance, informations de santé).

·      Renseignement Personnel Sensible (RPS) : RP qui, par sa nature (ex. : médical, biométrique, génétique) ou le contexte de son utilisation ou de sa communication, suscite un haut degré d'attente raisonnable en matière de vie privée (ex. : dossier de santé d'un enfant, informations ethniques, opinions politiques d'un employé).

·      Traitement : Toute opération ou ensemble d'opérations appliquées aux RP (ex. : collecte, enregistrement, organisation, conservation, consultation, communication, destruction).

·      Consentement : Manifestation de volonté libre, spécifique, éclairée et expresse par laquelle une personne accepte que ses RP soient traités. Pour les RPS, il doit être particulièrement explicite.

·      Anonymisation : Le processus irréversible qui vise à faire en sorte que le RP ne permette plus, de façon irréversible, d'identifier directement ou indirectement la personne.

·      Communication : La transmission de RP à un tiers (une personne ou organisation externe).

·      Incident de Confidentialité : L'accès, l'utilisation ou la communication non autorisés par la Loi d'un RP, ou sa perte ou toute autre forme d'atteinte à sa protection.

4. Collecte des Renseignements Personnels

Principes Fondamentaux de la Collecte :

·      Minimisation : Le CPE ne collecte que les RP nécessaires aux finalités déterminées.

·      Finalité : La collecte doit être réalisée pour des fins légitimes et déterminées avant la collecte.

·      Transparence (Information Préalable) : Lors de toute collecte (formulaire, application, etc.), le CPE informe obligatoirement la personne concernée de :

1.    La finalité de la collecte.

2.    Les moyens par lesquels le RP est collecté.

3.    Les droits d'accès et de rectification.

4.    L'identité des tiers à qui le RP sera communiqué, le cas échéant.

5.    L'éventualité d'un transfert des RP hors Québec.

Circonstances et Canaux de Collecte :

Type de Renseignement	Circonstances de Collecte	Canaux et Outils Utilisés
Enfants et Parents	Inscription, urgence, suivi éducatif, gestion des allergies, subventions.	Formulaires d'inscription (papier/numérique), communications courriel, applications de gestion (Mozaïk, CPE-App).
Employés	Embauche, paie, évaluation de rendement, formation, obligations légales (CSST/CNESST).	Formulaires RH, logiciels de paie, dossier papier du personnel.
Site Web	Demande d'information, utilisation de témoins (cookies).	Formulaire de contact, outils d'analyse web.

 

Rôle des Éducatrices dans la Collecte :

Les éducatrices et le personnel en contact direct sont des acteurs clés. Elles sont formées pour :

·      Collecter uniquement les RP requis par la direction et pour les fins déterminées (ex. : carnet de santé, fiche d'allergies).

·      Assurer la sécurité immédiate des RP recueillis (ex. : verrouiller les classeurs, ne pas laisser de dossiers ouverts).

·      Référer toute demande complexe ou non prévue au RPRP.

5. Finalités et Base Légale du Traitement

Le CPE traite les RP uniquement aux fins spécifiques et explicites suivantes, en s'appuyant sur la base légale appropriée (Loi 25) :

Finalité du Traitement	Catégories de RP Utilisés	Base Légale du Traitement
Gestion du dossier de l’enfant (admission, fréquentation, suivi éducatif)	Coordonnées, date de naissance, RP de santé, historique de présence, observation pédagogique.	Exécution d’un contrat (Contrat de services de garde) et Intérêt légitime (Assurer un service éducatif adapté).
Santé et Sécurité (Gestion des urgences, allergies, médication)	RP Sensibles de santé, coordonnées d'urgence.	Consentement explicite (pour les RPS) et Obligation légale (Loi sur les services de garde éducatifs à l'enfance).
Gestion financière et Facturation	Coordonnées, informations bancaires, preuves de revenu (pour subventions).	Obligation légale (Loi sur l'impôt, ministère de la Famille) et Exécution d'un contrat.
Ressources Humaines (Paie, gestion des employés)	RP d'identification, bancaires, fiscaux, évaluation du rendement, assurances.	Exécution d'un contrat (Contrat de travail) et Obligation légale (Lois du travail, fiscale).
Communications et Marketing (Infolettres, événements, photos à des fins promotionnelles)	Coordonnées, images.	Consentement (Pour les images et communications non essentielles).

6. Consentement

Le consentement est la pierre angulaire de la Loi 25.

Processus d’Obtention et Documentation :

·      Exigences : Le consentement est demandé pour chaque finalité distincte (il ne doit pas être généralisé). Il est explicite pour les RPS (ex. : données de santé, usage de photo/vidéo) et les usages secondaires.

·      Preuve de Consentement : Le CPE documente la preuve de consentement (date, moyen d'obtention, personne qui l'a donné) et la conserve dans un registre sécurisé.

·      Capacité : Pour les enfants, le consentement est donné par le parent ou tuteur légal.

Retrait du Consentement :

La personne concernée peut retirer son consentement à tout moment.

·      Modalités : Le retrait doit être effectué par écrit (courriel ou formulaire dédié) auprès du RPRP.

·      Effet : Le retrait n'affecte pas la légalité des traitements effectués avant le retrait. Le CPE s'engage à cesser tout nouveau traitement fondé uniquement sur ce consentement dans un délai raisonnable.

·      Exception : Le retrait ne peut empêcher un traitement exigé par une obligation légale (ex. : conserver des dossiers pour fins fiscales).

7. Conservation et Destruction

Durée de Conservation :

Le CPE ne conserve les RP que pour la durée nécessaire à la réalisation des finalités pour lesquelles ils ont été collectés, ou pour se conformer à ses obligations légales ou réglementaires.

·      Registre : Le CPE maintient un registre de conservation détaillé qui précise la durée de conservation pour chaque catégorie de RP (ex. : dossier de l'enfant conservé $X$ années après le départ, dossiers fiscaux $Y$ ans, etc.).

·      Purge : Une vérification de la nécessité de conservation (purge) est effectuée au moins une fois par an.

Destruction, Anonymisation et Accès Contrôlé :

Lorsque la finalité est atteinte, les RP doivent être détruits ou anonymisés de manière sécuritaire.

·      Destruction Sécurisée (Support Papier) : Utilisation de déchiqueteurs de niveau de sécurité approprié (coupe croisée ou micro-coupe).

·      Destruction Sécurisée (Support Numérique) : Effacement certifié ou écrasement des données pour rendre toute récupération impossible.

·      Anonymisation : Si une conservation à des fins statistiques ou de recherche est nécessaire, les RP sont anonymisés de manière à ce qu'il soit impossible d'identifier la personne de manière irréversible.

·      Audit : Le CPE documente la date et la méthode de destruction de tous les ensembles de RP importants.

8. Sécurité des Renseignements

Le CPE met en œuvre des mesures de sécurité raisonnables pour protéger les RP contre la perte, le vol, l'accès, l'utilisation ou la communication non autorisés.

Mesures Physiques :

·      Accès aux Locaux : Accès restreint aux zones contenant des RP sensibles (ex. : bureau de la direction, classeurs).

·      Classement : Les dossiers papier sont conservés dans des classeurs verrouillés.

Mesures Logiques :

·      Gestion des Accès : Accès restreints selon le principe du moindre privilège (seul le personnel qui doit y avoir accès y a accès).

·      Authentification Forte : Utilisation de mots de passe robustes ou de l'authentification multifacteur (AMF) pour les systèmes critiques.

·      Chiffrement : Les RP sont chiffrés sur les supports de stockage et lors de leur transmission sur les réseaux (SSL/TLS).

·      Sauvegardes : Sauvegardes régulières et sécurisées.

Mesures Organisationnelles :

·      Formation : Formation obligatoire de tout le personnel à la protection des RP, y compris sur les politiques et le protocole d'incident.

·      Audits Internes : Révision périodique des pratiques de sécurité.

·      Fournisseurs : Clauses contractuelles imposant des normes de sécurité équivalentes aux tiers (voir section 12).

Réponse aux Incidents :

Des protocoles sont en place pour identifier, contenir et évaluer rapidement tout incident de confidentialité (voir section 13).

9. Communication des Renseignements

Le CPE ne communique des RP à des tiers qu'en respectant un cadre légal strict :

·      Consentement Requis : La communication nécessite le consentement explicite de la personne concernée, sauf exceptions légales.

·      Exemple : Partage du dossier de l'enfant avec une école primaire.

·      Communication sans Consentement (Obligation Légale) :

·      Autorités Publiques : Le CPE doit communiquer des RP aux autorités publiques (ex. : Ministère de la Famille, Santé et Services Sociaux, CAI) si la loi l'exige.

·      Urgence/Danger : Divulgation obligatoire et immédiate des RP si nécessaire pour protéger la vie ou la sécurité d'une personne (ex. : signalement à la DPJ).

·      Ententes Écrites avec Tiers : Pour tout traitement de RP par un tiers (fournisseur de services), une entente écrite est signée, précisant les responsabilités, les mesures de sécurité et l'interdiction d'utiliser les RP à des fins non convenues.

·      Documentation : Tous les partages de RP sensibles à l'extérieur du CPE sont consignés dans un registre de communication.

10. Transfert Hors Québec

La Loi 25 exige un encadrement strict pour le transfert de RP hors du Québec.

Évaluation des Facteurs Relatifs à la Vie Privée (EFVP) :

Avant tout transfert à un tiers situé hors du Québec, le CPE doit effectuer une Évaluation des Facteurs Relatifs à la Vie Privée (EFVP).

Critères de l'EFVP :

L'EFVP évalue notamment :

1.    La sensibilité des RP transférés.

2.    La finalité du transfert.

3.    Le régime juridique applicable dans la juridiction d'accueil (lois de protection des données).

4.    Les mesures de sécurité dont bénéficieraient les RP.

Garanties et Information Préalable :

·      Si l'EFVP conclut que le RP bénéficiera d'une protection adéquate (équivalente à celle du Québec), le CPE peut procéder au transfert.

·      L'entente contractuelle inclura une clause contractuelle type garantissant la protection.

·      Le CPE informe préalablement la personne concernée de l'éventualité du transfert et des implications.

·      Responsabilité Maintenue : Le CPE demeure responsable des RP, même s'ils sont transférés.

11. Droits des Personnes Concernées

Toute personne concernée (parent, employé) dispose de droits exhaustifs sur ses RP détenus par le CPE, et peut les exercer en contactant le RPRP.

Nom du Droit	Description Claire
Droit d'Accès et de Rectification	Demander la confirmation que le CPE détient des RP la concernant, y avoir accès, et demander de corriger toute erreur ou omission.
Droit au Retrait du Consentement	Retirer son consentement au traitement de ses RP à tout moment (voir section 6).
Droit à l'Oubli (ou Désindexation)	Demander au CPE de cesser la diffusion de RP la concernant ou de désindexer un hyperlien rattaché à son nom.
Droit à la Portabilité	Obtenir les RP informatisés (collectés avec son consentement ou nécessaires à l’exécution d’un contrat) dans un format structuré et couramment utilisé (ex. : PDF, CSV).
Droit à l'Information	Être informée lors de toute collecte de RP (voir section 4), de l'utilisation de RPS et de l'occurrence d'un incident de confidentialité (si risque de préjudice sérieux).
Droit à l'Opposition	S'opposer au traitement de ses RP pour un motif légitime et sérieux (sauf obligation légale).
Droit de Plainte	Déposer une plainte formelle auprès du CPE ou, subsidiairement, auprès de la CAI.

12. Utilisation des Ressources Numériques et Logiciels

Le CPE utilise diverses solutions technologiques (ex. : Mozaïk, CPE-App, systèmes de paie) pour la gestion de ses services.

Procédures d'Évaluation :

·      EFVP Systématique : Le CPE s'assure d'effectuer une EFVP avant d'acquérir ou de développer tout système d'information qui traite des RP.

·      Vérification de la Souveraineté : Le CPE vérifie et documente l'emplacement physique des serveurs et des données pour privilégier les fournisseurs qui hébergent leurs données au Québec.

·      Ententes Contractuelles : Les contrats avec les fournisseurs incluent des clauses claires sur la confidentialité, la sécurité, l'interdiction de sous-traiter sans autorisation, et la destruction des données à la fin du service.

Responsabilités du CPE et des Employés :

·      Formation : Le personnel est formé sur l'utilisation sécuritaire des logiciels, y compris les procédures de déconnexion et de gestion des accès.

·      Restrictions d'Accès : Les mots de passe et les accès sont gérés par le RPRP.

·      Révision Périodique : Le CPE révise périodiquement les pratiques de ses fournisseurs pour s'assurer du maintien des standards de sécurité et de conformité (Audit/Vérification de l'interface).

13. Incidents de Confidentialité

Le CPE a mis en place un protocole de gestion des incidents rigoureux.

Protocole Complet :

1.    Identification et Documentation : Tout employé qui prend connaissance d'un incident (ex. : perte d'un dossier, courriel envoyé au mauvais destinataire) doit immédiatement en informer le RPRP. L'incident est consigné dans un registre d'incidents.

2.    Évaluation du Risque de Préjudice : Le RPRP évalue rapidement le risque de préjudice sérieux (ex. : vol d'identité, fraude) en tenant compte de la sensibilité des RP, des conséquences appréhendées et de la probabilité d’utilisation malveillante.

3.   Notification :

·      Notification à la CAI : Si l'incident présente un risque de préjudice sérieux, le RPRP doit aviser la Commission d'accès à l'information (CAI) sans délai.

·      Communication aux Personnes Concernées : Les personnes dont les RP sont concernés et qui subissent un risque de préjudice sérieux sont également avisées, avec des recommandations pour atténuer ce risque.

4.    Plan de Correction : Un plan est mis en œuvre pour contenir l'incident (ex. : désactiver un accès), corriger la vulnérabilité et prévenir la récurrence.

5.    Analyse Post-Incident : Une analyse est effectuée après la résolution de l'incident pour améliorer les mesures de sécurité.

 

14. Témoins de Connexion (Cookies)

Le présent article concerne l'utilisation de témoins de connexion (cookies) sur le site web du CPE.

·      Bannière de Consentement : Une bannière d'information est présentée à l'utilisateur lors de sa première visite pour recueillir son consentement éclairé pour le dépôt de cookies non essentiels (ex. : analytiques, publicitaires).

·      Types de Cookies :

·      Essentiels/Fonctionnels : Nécessaires au fonctionnement du site (ex. : session). Ils ne nécessitent pas de consentement.

·      Analytiques : Permettent de mesurer l'audience et l'utilisation du site (ex. : Google Analytics, si utilisé). Ils nécessitent le consentement.

·      Choix de l'Utilisateur : L'utilisateur est en mesure de gérer ses préférences et de retirer son consentement aux cookies non essentiels à tout moment via un lien visible sur le site.

·      Conservation : Le CPE ne conserve les préférences de cookies que pour la durée nécessaire et documente les politiques de conservation des données associées aux outils analytiques.

 

15. Mise à Jour de la Politique

Le CPE s'engage à maintenir cette Politique à jour pour garantir sa conformité avec la Loi 25 et les meilleures pratiques.

·      Fréquence de Révision : La Politique fait l'objet d'une révision au moins annuelle, ou dès que la législation l'exige, ou en cas de changement majeur dans les pratiques de gestion des RP du CPE.

·      Processus Interne : La mise à jour est validée par le RPRP et la Direction générale.

·      Diffusion et Avis : En cas de modifications substantielles (qui pourraient avoir un impact sur les personnes concernées), un avis de mise à jour est diffusé sur le site web et communiqué aux parents/employés via les moyens habituels.

·      Versions Antérieures : Le CPE conserve les versions antérieures de la Politique à des fins de documentation et d'audit.

 

16. Contact

Pour toute question, demande d'information, d'accès, de rectification, de portabilité, de retrait de consentement ou pour déposer une plainte relative à la protection de vos renseignements personnels, veuillez contacter le Responsable de la Protection des Renseignements Personnels (RPRP) :

Coordonnées du RPRP :

·      Nom et Fonction : Mariana Rufolo Caux |Directrice générale

·      Adresse Postale : 116 18e Avenue, Drummondville, Québec J2B 3T3

·      Courriel : dg@cpelepapillonenchante.com

·      Téléphone : 819 478-0142 poste 2

Modalités de Traitement des Demandes :

·      Engagement de Réponse : Le CPE s'engage à accuser réception de toute demande relative aux droits des personnes concernées (section 11) et à y répondre dans un délai maximum de trente (30) jours suivant la réception.

·      Demandes Complexes : En cas de demande complexe, le CPE avisera la personne concernée de la nécessité d'un délai supplémentaire et maintiendra la communication.

·      Plainte : Si le traitement de votre plainte interne ne vous donne pas satisfaction, vous avez le droit de vous adresser à la Commission d'accès à l'information du Québec (CAI).

Important : La présente Politique de Confidentialité est un document interne de gouvernance qui formalise l'engagement éthique et légal du CPE envers la protection des renseignements personnels. Bien qu'elle soit conçue pour respecter et transcrire les obligations de la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels), elle ne constitue pas un texte de loi et ne saurait avoir force de loi. Elle exprime plutôt la position, la manifestation et l'engagement du CPE à appliquer les plus hauts standards en la matière.

Le CPE est responsable de compléter les sections entre crochets et, de manière impérative, d'assurer la mise en œuvre pratique, concrète et diligente de tous les protocoles, mesures de sécurité et droits mentionnés dans le cadre de sa gestion quotidienne.