L’innovation ouverte, durable et souveraine.

Politique de confidentialité

Révision 1.0 — Conforme à la Loi 25 (L.Q. 2021, c. 25)

Entrée en vigueur : mars 2025

1. Identification de l’organisation

La maison de l’innovation ouverte est un organisme québécois voué au développement et à la diffusion de l’innovation ouverte, au service des communautés, des entreprises et des institutions.

Raison socialeLa maison de l’innovation ouverte
Adresse509, rue du Père-Daniel, Trois-Rivières (Québec)  G9A 5Z7
Site webhttps://www.lamaisondelinnovationouverte.com/

2. Responsable de la protection des renseignements personnels

Conformément à la Loi 25, La maison de l’innovation ouverte a désigné un Responsable de la protection des renseignements personnels (RPRP), chargé d’assurer le respect de la présente Politique et des obligations légales applicables.

NomChristophe Rodrigues
TitreResponsable de la protection des renseignements personnels (RPRP)
Courrielcontact@lamaisondelinnovationouverte.com
Adresse509, rue du Père-Daniel, Trois-Rivières (Québec)  G9A 5Z7

Pour toute question, demande d’accès, plainte ou exercice de vos droits, communiquez directement avec le RPRP aux coordonnées ci-dessus.

3. But et domaine d’application

La présente Politique a pour but de protéger les renseignements personnels détenus et collectés par La maison de l’innovation ouverte, et d’établir des règles précises sur la manière dont ces renseignements sont recueillis, communiqués, conservés et gérés. Elle vise également à informer toute personne concernée sur la façon dont La maison de l’innovation ouverte traite les données personnelles, incluant les témoins (cookies) et les paramètres de consentement associés.

Cette Politique s’applique en tout temps aux employés, stagiaires, bénévoles, membres, partenaires, candidats, visiteurs et utilisateurs du site web de La maison de l’innovation ouverte, indépendamment du canal par lequel les renseignements personnels sont fournis (courriel, en personne, par téléphone ou via le site web).

En fournissant des renseignements personnels, vous acceptez qu’ils soient traités conformément aux dispositions de la présente Politique.

4. Définitions

Renseignements personnels : toute information concernant une personne physique identifiable, directement ou indirectement. Exemples :

  • Identifiants de base : nom, prénom, adresse, numéro de téléphone, adresse courriel
  • Données d’identification officielles : NAS, numéro de passeport, permis de conduire
  • Renseignements financiers : numéro de carte de crédit, compte bancaire, informations fiscales
  • Données professionnelles : poste occupé, employeur, historique d’emploi
  • Renseignements de santé : dossier médical, numéro d’assurance maladie
  • Informations technologiques : adresse IP, identifiants de connexion, empreintes numériques

Un renseignement personnel est dit sensible si sa divulgation non autorisée entraîne un risque élevé pour la personne concernée (ex. : données financières, médicales, biométriques).

5. Catégories de renseignements personnels collectés

La maison de l’innovation ouverte s’engage à ne recueillir que les renseignements strictement nécessaires aux finalités poursuivies (principe de minimisation). Selon le contexte de la relation, les catégories suivantes peuvent être collectées :

  • Renseignements d’identité : nom, prénom
  • Coordonnées : adresse postale, adresse courriel, numéro de téléphone
  • Renseignements biographiques et professionnels : titre de poste, nom d’employeur ou d’organisation
  • Renseignements financiers : adresse de facturation, données de paiement (dons, adhésions, services)
  • Renseignements de recrutement : curriculum vitae, sc olarité, antécédents professionnels
  • Renseignements de paie : numéro d’assurance sociale (NAS)
  • Données de navigation : adresse IP, témoins (cookies), journaux d’accès au site web
  • Tout autre renseignement fourni volontairement

6. Finalités et base de la collecte

6.1 Finalités

Les renseignements collectés sont utilisés aux fins suivantes :

  • Gestion de la relation avec les membres, partenaires et bénévoles
  • Organisation et gestion d’événements, ateliers et activités
  • Communications, informations et offres promotionnelles (avec consentement)
  • Recrutement et gestion des ressources humaines
  • Traitement de la paie et gestion des avantages sociaux
  • Gestion des dons, adhésions et financements
  • Respect des obligations légales et réglementaires
  • Amélioration et gestion du site web

6.2 Base juridique de la collecte

Selon la nature des renseignements et le contexte de leur collecte, La maison de l’innovation ouverte s’appuie sur l’une des bases suivantes, conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (L.R.Q., c. P-39.1) telle que modifiée par la Loi 25 :

Consentement

Pour la collecte de renseignements à des fins commerciales, promotionnelles ou non essentielles au service demandé. Le consentement doit être libre, éclairé, spécifique et donné à une fin précise. Pour les renseignements sensibles, un consentement explicite et actif est requis (une case pré-cochée ne constitue pas un consentement valide). Vous pouvez retirer votre consentement en tout temps.

Exécution d’un contrat ou d’une mesure précontractuelle

Pour les renseignements nécessaires à la fourniture d’un service demandé, à la gestion d’un contrat de travail, d’une adhésion ou à la gestion de la relation avec les membres et partenaires.

Obligation légale

Pour les renseignements dont la collecte est imposée par la loi (ex. : NAS pour les obligations fiscales, registre des incidents de confidentialité, conservation comptable).

Intérêt légitime

Dans certaines circonstances limitées, La maison de l’innovation ouverte peut traiter des renseignements personnels lorsqu’un intérêt légitime le justifie et que cet intérêt ne prime pas sur les droits et libertés de la personne concernée (ex. : sécurité des systèmes informatiques, journalisation).

7. Modes de collecte

Les renseignements personnels sont collectés par les moyens suivants :

Collecte directe

  • Formulaires en ligne sur le site web (formulaire de contact, inscription, adhésion)
  • Communications par courriel, téléphone ou en personne
  • Candidatures à un emploi ou à un bénévolat (CV, lettres de motivation)
  • Signature de contrats, ententes de partenariat ou formulaires d’adhésion

Collecte automatique (via le site web)

  • Témoins (cookies) et technologies similaires déposés lors de la navigation
  • Journaux de serveur web (adresse IP, pages visitées, horodatage)
  • Outils d’analyse d’audience (ex. : statistiques de fréquentation)

Collecte auprès de tiers

  • Agences de recrutement ou plateformes d’emploi (avec votre consentement)
  • Partenaires institutionnels ou organisationnels autorisés (dans le cadre strict de la relation)
La maison de l’innovation ouverte ne collecte jamais de renseignements personnels à votre insu ou par des moyens déloyaux. Toute collecte est accompagnée d’une information claire sur les finalités poursuivies.

8. Témoins (cookies) et technologies similaires

8.1 Témoins nécessaires

Les témoins catégorisés comme nécessaires sont stockés sur votre navigateur car ils sont essentiels au fonctionnement de base du site. Ils ne nécessitent pas votre consentement.

8.2 Témoins analytiques et de préférences

Nous utilisons également des témoins tiers pour analyser l’utilisation du site, mémoriser vos préférences et vous fournir un contenu pertinent. Ces témoins ne seront stockés dans votre navigateur qu’avec votre consentement préalable, exprimé via notre gestionnaire de consentement au premier accès au site. Vous pouvez modifier ou retirer votre consentement à tout moment via les paramètres de cookies accessibles sur notre site.

8.3 Hyperliens et sites tiers

Notre site peut contenir des liens vers des sites ou plateformes tiers. En quittant notre site, votre navigation devient assujettie aux conditions d’utilisation et à la politique de confidentialité de ces tiers. La maison de l’innovation ouverte n’exerce aucun contrôle sur ces plateformes et décline toute responsabilité à leur égard.

9. Partage des renseignements personnels avec des tiers

La maison de l’innovation ouverte peut faire appel à des tiers pour administrer certains services. Dans ces cas :

  • Ces tiers n’ont accès qu’aux renseignements strictement nécessaires à l’exécution des services convenus
  • Ils sont tenus de traiter ces renseignements uniquement aux fins déterminées par La maison de l’innovation ouverte
  • Ils doivent appliquer des mesures de protection offrant un niveau de sécurité équivalent à la présente Politique
  • Des ententes contractuelles encadrant le traitement de vos données sont conclues avec chaque sous-traitant

La maison de l’innovation ouverte peut également partager des renseignements dans le cadre du respect d’une obligation légale ou d’une ordonnance judiciaire.

La maison de l’innovation ouverte s’engage à ne jamais vendre ni louer vos renseignements personnels à des tiers.

10. Sous-traitance et services infonuagiques

La maison de l’innovation ouverte recourt à des fournisseurs de services tiers (« sous-traitants ») pour l’exécution de certaines activités impliquant le traitement de renseignements personnels, notamment :

  • Services infonuagiques : Infomaniak pour le stockage et la collaboration
  • Gestion des communications et des membres (outils à préciser selon la configuration retenue)
  • Traitement de la paie et gestion des ressources humaines
  • Plateformes de gestion d’événements et d’inscription

Pour chacun de ces fournisseurs, La maison de l’innovation ouverte s’assure :

  • Qu’une entente contractuelle (ou des conditions générales de service) encadre explicitement le traitement des renseignements personnels
  • Que le fournisseur n’utilise les renseignements qu’aux fins convenues
  • Que des mesures de sécurité adéquates sont en place (chiffrement, gestion des accès, audits)
  • Que tout incident de sécurité chez le fournisseur est signalé à La maison de l’innovation ouverte dans les meilleurs délais
Les fournisseurs infonuagiques utilisés peuvent stocker des données sur des serveurs situés hors Québec ou hors Canada. Se reporter à la section 11 pour les modalités encadrant ces transferts.

11. Transferts de renseignements personnels hors Québec

Conformément à l’article 17 de la Loi sur la protection des renseignements personnels dans le secteur privé, tel que modifié par la Loi 25, tout transfert de renseignements personnels à l’extérieur du Québec est précédé d’une évaluation des facteurs relatifs à la vie privée (EFVP).

Avant tout transfert hors Québec, La maison de l’innovation ouverte s’assure que :

  • Les renseignements bénéficieront d’une protection adéquate, équivalente à celle offerte par la loi québécoise
  • Une EFVP est réalisée et documentée pour chaque nouveau transfert ou fournisseur concerné
  • Des mesures contractuelles ou techniques compensatoires sont mises en place si le niveau de protection du pays destinataire est jugé insuffisant

Certains fournisseurs utilisés par La maison de l’innovation ouverte (notamment Microsoft pour les services Microsoft 365) peuvent traiter ou stocker des données sur des serveurs situés aux États-Unis ou dans d’autres pays. Ces fournisseurs sont soumis à des engagements contractuels (clauses types, certifications) assurant un niveau de protection adéquat.

Ces renseignements peuvent être soumis aux lois locales des pays où ils sont stockés ou utilisés, ce qui peut inclure l’accès par les autorités locales compétentes.

12. Durée et lieux de conservation

12.1 Durées de conservation

Les renseignements personnels sont conservés uniquement le temps nécessaire aux finalités pour lesquelles ils ont été collectés, ou tel que requis par la loi. Le tableau ci-dessous présente les durées de conservation applicables :

Catégorie de renseignementsDurée de conservation
Données de contact (membres, partenaires, bénévoles)Durée de la relation + 3 ans
Données de facturation et financières7 ans (obligations fiscales et comptables)
Dossiers d’employés (actifs)Durée de l’emploi + 7 ans
Dossiers d’employés (terminés)7 ans après la fin de l’emploi
Curriculum vitae (candidatures non retenues)2 ans
Journaux d’accès et logs système12 mois
Données de navigation (cookies analytiques)13 mois maximum
Correspondance générale3 ans
Registre des incidents de confidentialité5 ans (obligation légale)

Une fois la période de conservation expirée, les renseignements personnels sont détruits de manière sécurisée ou anonymisés. Des statistiques ou rapports contenant uniquement des données anonymisées peuvent être conservés pour des périodes prolongées.

12.2 Lieux de conservation

Les renseignements personnels sont conservés sur des serveurs sécurisés situés au Canada en priorité. La maison de l’innovation ouverte utilise les services infonuagiques Microsoft 365 (OneDrive, SharePoint) où des données confidentielles peuvent être stockées. Se reporter à la section 11 pour les modalités encadrant les transferts hors Québec.

13. Journalisation et traçabilité

La maison de l’innovation ouverte maintient des journaux (logs) systèmes et applicatifs à des fins de sécurité, de détection d’incidents et d’audit. Ces journaux peuvent contenir des renseignements personnels indirects (adresse IP, identifiant de session, horodatage des actions).

La gestion de ces journaux est encadrée par les principes suivants :

  • Les journaux sont utilisés exclusivement à des fins de sécurité, de maintenance et de conformité
  • L’accès aux journaux est restreint au personnel autorisé (administrateurs système, RPRP)
  • Les journaux d’accès et logs système sont conservés pendant 12 mois (voir tableau section 12.1)
  • Les journaux ne sont pas utilisés à des fins de profilage commercial
  • En cas d’incident de sécurité, les journaux pertinents peuvent être conservés au-delà de cette durée aux fins d’enquête ou de procédure légale

14. Mesures de sécurité

La maison de l’innovation ouverte applique des mesures de sécurité organisationnelles, physiques et techniques pour protéger les renseignements personnels contre tout accès, utilisation, divulgation, modification ou destruction non autorisés :

  • Protocole SSL/TLS pour le chiffrement des communications
  • Gestion des accès par rôles et principe du moindre privilège
  • Authentification par identifiant et mot de passe sécurisé
  • Pare-feu (firewalls) et logiciels de surveillance du réseau
  • Sauvegarde informatique régulière
  • Formation et sensibilisation du personnel à la protection des renseignements personnels

En cas d’incident pouvant compromettre la sécurité de vos renseignements personnels, nous utiliserons votre adresse courriel pour vous en informer, conformément aux obligations de la Loi 25.

15. Décisions automatisées et profilage

La maison de l’innovation ouverte n’a pas recours à des systèmes de prise de décision entièrement automatisés produisant des effets juridiques ou significatifs à l’égard des personnes concernées.

Les données de navigation collectées via les témoins analytiques peuvent être utilisées à des fins statistiques globales pour améliorer l’expérience du site web. Ces analyses ne donnent pas lieu à un profilage individuel ni à des décisions automatisées vous concernant personnellement.

Si cette pratique évoluait à l’avenir, la présente Politique serait mise à jour conformément à la section 20, et les personnes concernées en seraient informées préalablement.

16. Vos droits

Conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (L.R.Q., c. P-39.1), telle que modifiée par la Loi 25, vous disposez des droits suivants :

16.1 Droit d’accès et de rectification

Vous pouvez demander à consulter les renseignements personnels que nous détenons à votre sujet et, le cas échéant, en demander la correction. Nous répondrons à votre demande dans un délai de 30 jours suivant sa réception. Une vérification d’identité peut être requise.

16.2 Droit de retrait du consentement

Vous pouvez retirer votre consentement à l’utilisation de vos renseignements à des fins commerciales ou promotionnelles à tout moment, sans frais, sous réserve de restrictions légales ou contractuelles.

16.3 Droit à la portabilité (art. 27 Loi 25 — en vigueur depuis septembre 2024)

Vous pouvez demander que les renseignements personnels informatisés que vous nous avez fournis vous soient communiqués dans un format technologique structuré et couramment utilisé, ou transmis directement à un autre organisme, lorsque techniquement faisable.

16.4 Droit à la désindexation

Vous pouvez demander que tout hyperlien rattaché à votre nom donnant accès à des renseignements personnels vous concernant soit désindexé, ou que les renseignements vous concernant soient réindexés, si leur diffusion contrevient à la loi ou à une ordonnance judiciaire.

16.5 Droit d’opposition

Vous pouvez vous opposer à l’utilisation de vos renseignements personnels à certaines fins, notamment à des fins de prospection commerciale.

Pour exercer l’un de ces droits, communiquez par écrit avec le RPRP aux coordonnées indiquées à la section 2.

17. Mineurs et personnes vulnérables

17.1 Mineurs

La maison de l’innovation ouverte ne recueille pas intentionnellement de renseignements auprès de personnes de moins de 16 ans sans le consentement explicite d’un parent ou d’un tuteur légal, conformément à la Loi 25.

Si un parent ou tuteur constate que des renseignements d’un mineur ont été fournis sans autorisation, il est invité à contacter le RPRP. Dès réception de cette information, des mesures immédiates seront prises pour supprimer ces données.

17.2 Personnes vulnérables

La maison de l’innovation ouverte reconnaît que certaines personnes peuvent être dans une situation de vulnérabilité (ex. : personnes âgées, personnes en situation de handicap cognitif, personnes en détresse). Dans ces situations, nous appliquons des mesures renforcées pour :

  • S’assurer que le consentement obtenu est véritablement libre et éclairé
  • Permettre à un représentant légal d’exercer les droits au nom de la personne vulnérable
  • Offrir une assistance adaptée pour l’exercice des droits (délai supplémentaire, format accessible)

Pour toute situation particulière liée à la vulnérabilité d’une personne, communiquez avec le RPRP.

18. Incidents de confidentialité

18.1 Définition

Un incident de confidentialité est tout événement, intentionnel ou non, entraînant ou pouvant entraîner un accès, une utilisation, une divulgation, une modification, une perte ou une destruction non autorisée de renseignements personnels.

18.2 Catégories d’incidents

Incidents mineurs

Risque limité, corrigeables rapidement. Exemples : courriel envoyé à un destinataire interne non autorisé, affichage accidentel sur écran partagé sans diffusion externe.

Incidents majeurs

Exposition significative nécessitant des mesures correctives approfondies et pouvant entraîner des obligations légales de notification. Exemples : accès non autorisé à des données sensibles, vol d’appareil contenant des données non chiffrées, attaque informatique entraînant une fuite de données.

18.3 Procédure de gestion

Tout employé ou bénévole constatant un incident doit le signaler immédiatement au RPRP. Une analyse sera effectuée pour évaluer l’impact, déterminer les mesures correctives et, si nécessaire, notifier les personnes concernées et la Commission d’accès à l’information du Québec (CAI) dans les délais prévus par la Loi 25.

Un registre de tous les incidents est tenu et conservé pendant au moins 5 ans, conformément aux obligations de la Loi 25.

19. Exercice des droits et gestion des plaintes

Pour exercer l’un de vos droits ou formuler une plainte, soumettez une demande écrite au RPRP (voir section 2). La demande doit inclure une description des faits et, si possible, les documents pertinents.

La maison de l’innovation ouverte accuse réception de toute demande ou plainte et y répond dans un délai de 30 jours. Une réponse écrite exposant les conclusions et les mesures correctives sera communiquée.

Si la réponse ne satisfait pas le plaignant, il peut s’adresser aux autorités compétentes :

  • Commission d’accès à l’information du Québec (CAI) : www.cai.gouv.qc.ca
  • Commissariat à la protection de la vie privée du Canada : www.priv.gc.ca

20. Date d’entrée en vigueur et mises à jour

La présente Politique entre en vigueur en mars 2025 (Révision 1.0).

La maison de l’innovation ouverte peut modifier cette Politique à tout moment afin de refléter les évolutions législatives, organisationnelles ou technologiques. La date d’entrée en vigueur de la version courante est indiquée en en-tête et en pied de page. Les personnes concernées seront informées des modifications significatives par courriel ou par affichage sur le site web.

Les versions archivées sont conservées en interne et consultables sur demande auprès du RPRP.

21. Documents référencés

  • Loi sur la protection des renseignements personnels dans le secteur privé, L.R.Q., c. P-39.1
  • Loi 25 (L.Q. 2021, c. 25) — modifications en vigueur depuis 2022, 2023 et 2024
  • Liste des exigences légales, réglementaires, contractuelles et autres
  • Registre des incidents de confidentialité

Je veux collaborer

Prêt(e) à lancer un projet ?

👉 Parlons-en autour d’un café ou d’un sprint.




    509 rue du Père-Daniel, Trois-Rivières Québec G9A5Z7 Canada