Politique de données

Dernière mise à jour : 20 janvier 2026

Cette Politique de Données explique comment Le Réseau Enchanté (opérant sous le nom de Le Réseau Enchanté) (“TEN”, “nous”) gère les données à travers nos programmes, recherches, opérations et services numériques. Elle complète notre Politique de Confidentialité et se concentre sur la gouvernance, la qualité, l'accès et l'utilisation responsable.

Notre objectif est d'utiliser les données pour servir les gens—et non pour les surveiller. Nous privilégions le consentement, la clarté et le soin.

But et portée

Cette politique s'applique à :

  • Données recueillies via notre site web, formulaires, enquêtes et outils numériques.

  • Données créées par la programmation, les événements, l'évaluation et la recherche.

  • Données opérationnelles (finances, RH, approvisionnement) et données de communications (listes d'email, CRM).

  • Données partagées avec nous par des partenaires ou des bailleurs de fonds.

Principes fondamentaux

  • Minimum nécessaire : collecter seulement ce qui est nécessaire.

  • Transparence : explications claires de ce que nous collectons et pourquoi.

  • Consentement et choix : participation significative et possibilités de désinscription lorsque cela est possible.

  • Équité et réduction des risques : réduire les risques pour les communautés structurellement exclues et éviter les pratiques de données qui pourraient permettre la discrimination.

  • Qualité et intégrité : maintenir des données précises et appropriées à l'usage.

  • Sécurité par conception : protéger les données tout au long de leur cycle de vie.

  • Responsabilité : rôles clairs, auditabilité et amélioration continue.

Classifications des données

Nous classifions les données par sensibilité afin d'appliquer les bonnes mesures de protection.

A. Public

  • Informations destinées à être publiées (par exemple, rapports publiés, contenu web).

B. Interne

  • Informations opérationnelles non destinées à la distribution publique (par exemple, planification interne, indicateurs non sensibles).

C. Confidentiel

  • Informations personnelles et données opérationnelles sensibles (par exemple, listes de contacts, contrats, factures).

D. Très sensible

Informations qui pourraient causer des dommages si elles sont mal utilisées ou exposées, y compris :

  • Informations sensibles sur l'identité ou l'expérience vécue (lorsqu'elles sont recueillies).

  • Informations liées à la santé.

  • Informations liées à la sécurité.

  • Informations sur les mineurs.

Règle : Les données très sensibles nécessitent une justification explicite de l'objectif, un accès restreint et des contrôles de sécurité renforcés.

Gestion du cycle de vie des données

A. Collecte

  • Collectez à l'aide d'outils sécurisés et approuvés.

  • Fournissez des avis de confidentialité au moment de la collecte.

  • Là où cela est approprié, utilisez des champs optionnels pour les questions sensibles et expliquez « pourquoi nous demandons. »

B. Stockage

  • Stockez les données dans des systèmes approuvés (p. ex., Google Workspace/Microsoft 365, CRM, entrepôt de données) avec des contrôles d'accès.

  • Évitez de stocker des données personnelles sur des appareils personnels ou des feuilles de calcul non gérées.

C. Utilisation

  • N'utilisez les données que pour les finalités déclarées.

  • Désidentifiez ou agrège chaque fois que cela est possible.

  • Utilisez un accès basé sur les rôles (principe du moindre privilège).

D. Partage

  • Partagez uniquement ce qui est nécessaire.

  • Utilisez des accords (p. ex., accords de partage de données, NDA) lorsque cela est approprié.

  • Utilisez des méthodes de transfert sécurisées (liens chiffrés, dossiers à accès contrôlé).

E. Conservation et élimination

  • Définissez des calendriers de conservation par type de données.

  • Éliminez en toute sécurité : supprimez des systèmes et des sauvegardes lorsque cela est réalisable, révoquez les liens, purgez les exports.

Normes de qualité des données

Nous visons des données qui sont utilisables, précises et respectueuses.

Normes minimales

  • Précision : contrôles de routine et voies de correction.

  • Complétude : champs obligatoires seulement lorsque cela est nécessaire.

  • Consistance : définitions et formats standardisés.

  • Actualité : cycles de mise à jour pour les tableaux de bord et les rapports.

  • Documentation : dictionnaires de données clairs et instruments d'enquête.

Désidentification, anonymisation et agrégation

Lors de la communication ou du partage d'informations, nous privilégions :

  • Rapports agrégés.

  • Suppression des identifiants directs (noms, courriels, numéros de téléphone).

  • Réduction des identifiants indirects lorsque de petits groupes pourraient être identifiables.

Données de recherche et d'évaluation

Lorsque nous recueillons des données pour la recherche/l'évaluation :

  • Fournir une déclaration de participation claire (but, nature volontaire, risques, avantages).

  • Utiliser un langage de consentement qui est compréhensible.

  • Séparer l'identité/l'information de contact des données de réponse lorsque cela est possible.

  • Veiller à ce que les données sensibles ne soient collectées qu'avec une justification claire et des mesures de protection supplémentaires.

IA, automatisation et prise de décision

Si nous utilisons des outils d'IA ou de l'automatisation :

  • Nous les utilisons pour soutenir les flux de travail (par exemple, la synthèse, la rédaction), et non pour prendre des décisions importantes concernant des individus.

  • Nous évitons d'utiliser des informations personnelles sensibles comme entrées, sauf si cela est explicitement approuvé et protégé.

  • Nous documentons lorsque les résultats assistés par l'IA influencent les rapports.

Rôles et responsabilités

A. Propriétaire des données

  • Responsable des objectifs, de la légalité et des décisions d'accès d'un ensemble de données.

B. Intendant des données

  • Responsable de la qualité, de la documentation et des contrôles au jour le jour.

C. Utilisateurs de données

  • Utilisent les données selon les objectifs approuvés et complètent la formation requise.

D. Responsable de la vie privée / DPD (le cas échéant)

  • Supervise la conformité en matière de vie privée, la réponse aux incidents et les demandes de données.

Gestion des accès

Règles d'accès

  • Accès basé sur les rôles (minimum de privilèges).

  • Accès limité dans le temps pour les entrepreneurs.

  • Authentification à deux facteurs lorsque disponible.

  • Aucun compte partagé.

Demandes d'accès

Les demandes doivent inclure :

  • Ensemble de données nécessaire

  • Objectif et résultats escomptés

  • Durée

  • Plan de sécurité

Les approbations sont documentées.

Partage de données et tiers

Nous n'engageons que des fournisseurs qui respectent des normes raisonnables de confidentialité et de sécurité.

Pour le partage externe, nous utilisons un ou plusieurs des éléments suivants :

  • Accord de partage de données (ASD)

  • Accord de confidentialité

  • Conditions des fournisseurs avec des clauses de confidentialité/sécurité

Réponse aux incidents

Un "incident de données" comprend une perte suspectée, un accès non autorisé ou une exposition.

Étapes

  1. Contenir : révoquer l'accès, désactiver les liens, isoler les systèmes.

  2. Évaluer : ce qui s'est passé, quelles données, qui peut être affecté.

  3. Notifier : la direction interne, les individus concernés le cas échéant, les régulateurs pertinents le cas échéant.

  4. Récupérer : restaurer les services, corriger les vulnérabilités.

  5. Améliorer : documenter les leçons apprises et mettre à jour les contrôles.

Signalez les incidents immédiatement à : info@enchantenetwork.ca.

Formation et conformité

  • Tous les employés/entrepreneurs ayant accès aux données complètent la formation sur la confidentialité, la sécurité et les pratiques de données éclairées par l'équité.

  • Nous examinons cette politique au moins une fois par an.

Demandes et plaintes

Pour des questions, des demandes d'accès/correction de données ou des préoccupations :

Courriel : info@enchantenetwork.ca
Adresse postale : Toronto, Ontario, Canada