⚠️ Projet — Version 1.0. Document soumis à la même revue juridique que la politique de confidentialité avant publication officielle.

#1. Engagement

Popote s'engage à appliquer un cadre formel de gouvernance en matière de protection des renseignements personnels (RP) conforme à la Loi 25 art. 3.2 (modernisant les dispositions législatives du Québec en matière de protection des RP).

Cette politique encadre :

• la désignation du responsable de la protection des RP (PRP) ;
• les rôles des personnes ayant accès aux RP ;
• les mesures de sécurité organisationnelles et techniques ;
• le traitement des incidents de confidentialité ;
• la gestion des plaintes des personnes concernées.

#2. Responsable de la protection des renseignements personnels (PRP)

Marc-Antoine Lemire assume actuellement la fonction de PRP pour la plateforme Popote.

Le PRP :

• assure le respect de la Loi 25 et des présentes politiques ;
• autorise les communications de RP non prévues à l'origine (transferts hors Québec, partages exceptionnels, etc.) ;
• traite les demandes d'accès, de rectification et de retrait du consentement (cf. §5 ci-dessous) ;
• gère les incidents de confidentialité (Loi 25 art. 3.5, voir §4) ;
• assure la formation continue des autres intervenants techniques.

Contact PRP	privacy@malemire.ca

#3. Personnes ayant accès aux RP

#3.1 Au sein de Popote (la plateforme)

• Mainteneur principal (Marc-Antoine Lemire) : accès complet aux bases de données master et tenants pour les opérations de maintenance, de mise à jour et de support.
• Sous-traitants techniques : aucun ne dispose d'un accès direct aux RP. Cf. §10 de la politique de confidentialité (registre des sous-traitants).

#3.2 Au sein de chaque OBNL cliente

Les OBNL clientes déterminent qui, au sein de leur organisation, a accès aux RP de leurs bénéficiaires et bénévoles. Popote fournit un système de rôles (RBAC) :

Rôle	Accès
Administrateur	Toutes les RP du tenant + paramètres
Coordonnateur	RP nécessaires aux opérations (clients, bénévoles, routes)
Bénévole / Livreur	Uniquement les RP nécessaires aux livraisons du jour (nom, adresse, allergies pertinentes)
Trésorier	RP financières (factures, paiements)

Chaque OBNL est responsable de l'attribution appropriée de ces rôles au sein de son organisation (Loi 25 art. 11 — principe de minimisation).

#4. Traitement des incidents de confidentialité

Tout incident impliquant les RP (accès non autorisé, perte, vol, fuite) doit être :

1. Découvert et contenu par les personnes constatant l'incident ;
2. Signalé sans délai au PRP par courriel à privacy@malemire.ca ;
3. Enregistré dans le registre des incidents maintenu par Popote (Loi 25 art. 3.5) ;
4. Évalué par le PRP qui détermine :
   • si l'incident présente un risque sérieux de préjudice (Loi 25 art. 3.6) ;
   • si la Commission d'accès à l'information (CAI) doit être avisée (échéance : 72 h après découverte) ;
   • si les personnes concernées doivent être notifiées (Loi 25 art. 3.8).
5. Documenté : actions de confinement, mesures correctives, leçons apprises.

Le registre interne des incidents est conservé pendant 5 ans et peut être inspecté par la CAI sur demande.

#5. Gestion des plaintes

#5.1 Comment porter plainte

Toute personne qui estime que ses droits n'ont pas été respectés peut porter plainte :

1ʳᵉ étape — directement à Popote (PRP) :

• Courriel : privacy@malemire.ca
• Décrivez : la nature de la plainte, la date des faits, les personnes/services concernés, le résultat souhaité
• Délai de réponse : 30 jours (Loi 25 art. 32)
• Vous recevrez :
  • un accusé de réception sous 48 h
  • une réponse substantielle sous 30 j (motivée, explicitant les actions prises ou refusées)

2ᵉ étape — à la Commission d'accès à l'information du Québec (CAI) si la réponse de Popote ne vous satisfait pas :

• Site : https://www.cai.gouv.qc.ca
• Formulaire en ligne : https://www.cai.gouv.qc.ca/citoyens/comment-formuler-plainte
• Téléphone : 418-528-7741 (Québec) ou 1-888-528-7741 (sans frais)

#5.2 Engagement de non-représailles

Aucune plainte adressée à Popote ou à la CAI ne donnera lieu à des représailles contre la personne plaignante (refus de service, réduction d'accès, etc.). Tout manquement à cet engagement constitue en lui-même un nouveau motif de plainte.

#5.3 Confidentialité du processus

Les plaintes sont traitées de manière confidentielle. Seules les personnes ayant le besoin opérationnel d'en connaître (PRP, équipe technique pour l'enquête) ont accès au dossier. Aucune information nominative n'est divulguée hors du processus de traitement.

#6. Formation continue

Le PRP suit annuellement une mise à jour de ses connaissances sur la Loi 25 et les pratiques de protection des RP. Toute personne ayant accès aux RP via la plateforme Popote (incluant les sous-traitants techniques) est informée de ses obligations à l'entrée en fonction et reçoit des rappels périodiques.

#7. Évaluation et mise à jour de la présente politique

Cette politique est revue annuellement par le PRP et mise à jour en cas de :

• modification législative ou réglementaire ;
• changement matériel des opérations de Popote ;
• incident sérieux exposant une faiblesse procédurale.

Les versions précédentes restent accessibles publiquement à /politique/gouvernance/v1/, /politique/gouvernance/v2/, etc., avec date d'entrée en vigueur et sha256 du contenu.

#8. Contact

Pour toute question sur cette politique	privacy@malemire.ca

---

Version 1.0 · Effective : 2026-05-21 · Statut : draft — publication officielle après revue juridique.