Privacy policy
1. ÉNONCÉ
La présente politique vise à préciser les actions à réaliser pour la protection des renseignements personnels au sein de notre entreprise.
2. OBJECTIFS
Notre politique de protection des renseignements personnels décrit les normes de collecte, d’utilisation, de divulgation et de conservation de vos renseignements personnels. Elle explique également les façons dont nous protégeons vos renseignements personnels et votre droit d’accès à ceux-ci.
3. TERMINOLOGIE
Renseignement personnel :
Un renseignement personnel est défini comme étant tout renseignement ou combinaison de renseignements qui concerne une personne physique et qui permet de l’identifier et comprennent :
- le nom, la race, l’origine ethnique, la religion, l’état matrimonial et le niveau d’instruction;
- l’adresse électronique personnelle, les messages de courriel personnels et l’adresse IP (protocole Internet) personnelle;
- la date de naissance, l’âge, la taille, le poids, les dossiers médicaux, le groupe sanguin, l’ADN, les empreintes digitales et la signature vocale;
- les revenus, les achats, les habitudes de consommation, les renseignements bancaires, les données sur les cartes de crédit ou de débit, les rapports de prêt ou de solvabilité et les déclarations de revenus;
- le numéro d’assurance sociale (NAS) ou d’autres numéros d’identification.
Par contre, le nom d’un individu, de même que ses coordonnées professionnelles, soit son titre, adresse, numéro de téléphone et adresse électronique professionnels ne sont pas des renseignements personnels. Les renseignements personnels doivent être protégés peu importe la nature de leur support et quelle que soit leur forme : écrite, graphique, audio, visuelle, informatisée ou autre.
4. ÉLÉMENTS DE LA POLITIQUE
Consentement :
Lorsque nous obtenons de l’information vous concernant, nous demandons en premier lieu votre consentement par écrit à la collecte, à l’utilisation ou à la divulgation de vos renseignements recueillis pour les fins indiquées. Nous solliciterons votre consentement lors de toute autre utilisation, divulgation ou collecte de vos renseignements personnels ou lorsque les fins pour lesquelles vos renseignements ont été collectés changent.
Notre entreprise s’engage à utiliser les renseignements fournis uniquement aux fins pour lesquelles ils ont été recueillis et à les conserver pour la durée nécessaire à la réalisation du service demandé. Nous pouvons toutefois les recueillir, les utiliser ou les divulguer sans votre consentement lorsque cela est permis ou exigé par la loi. Dans certaines circonstances particulières, nous pouvons recueillir, utiliser ou divulguer des renseignements personnels sans que vous en soyez informés ou que vous n’ayez donné votre consentement. De telles circonstances sont réunies lorsque, pour des raisons juridiques, médicales ou de sécurité, il est impossible ou peu probable d’obtenir votre consentement ou lorsque les renseignements sont nécessaires en vue de mener une enquête sur une possible rupture de contrat, de prévenir ou de détecter une fraude ou encore d’appliquer la loi.
Limites de la collecte, de l’utilisation et de la divulgation des renseignements personnels :
Les fins pour lesquelles des renseignements personnels sont recueillis sont généralement pour confirmer l’identité d’une personne, créer un dossier employé et se conformer aux exigences légales (certains renseignements exigés pour fins de l’impôt, par exemple).
Nous limitons la collecte, l’utilisation et la divulgation de vos renseignements personnels uniquement aux fins que nous vous avons indiquées. Vos renseignements personnels ne peuvent être consultés que par certaines personnes autorisées, et ce, uniquement dans le cadre des tâches qui leur ont été attribuées. Seul le personnel autorisé peut avoir accès aux renseignements vous concernant. L’entreprise s’assure que ces personnes sont qualifiées pour accéder à ces renseignements et que l’accès est nécessaire dans l’exercice de leurs fonctions.
Conservation des renseignements :
Nous conservons vos renseignements personnels aussi longtemps que nécessaire aux fins pour lesquelles ils ont été recueillis. Nous devons détruire ces renseignements conformément à la loi et à notre politique de conservation des dossiers. Lorsque nous détruisons vos renseignements personnels, nous prenons les mesures nécessaires pour en assurer la confidentialité et veiller à ce qu’aucune personne non autorisée ne puisse y avoir accès pendant le processus de destruction.
Politique de conservation des dossiers :
Nous conserverons vos renseignements personnels pour une période de sept (7) années financières complètes après votre départ de notre entreprise afin de respecter les normes légales des lois sur les impôts fédérales et provinciales. Après cette période, les dossiers physiques contenant vos renseignements personnels seront déchiquetés tandis que les dossiers électroniques contenant vos renseignements personnels seront anonymisés ou détruits. Les dossiers électroniques inclus dans nos logiciels comptables et/ou de feuilles de temps seront anonymisés. Tous les autres dossiers électroniques seront détruits.
Exactitude :
Les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés. Les renseignements personnels qui servent de façon continue, y compris les renseignements personnels qui peuvent être communiqués à des tiers, seront généralement exacts et à jour à moins que des limites se rapportant à l’exactitude de ces renseignements ne soient clairement établies. Nous ne mettons pas systématiquement à jour les renseignements personnels à moins que cela ne soit nécessaire pour atteindre les fins auxquelles ils ont été recueillis. Le degré d’exactitude et de mise à jour ainsi que le caractère complet des renseignements personnels dépendront de l’entrée de vos données lors du formulaire de consentement à la collecte.
Responsabilité :
Nous sommes responsables des renseignements personnels que nous avons en notre possession ou qui sont sous notre garde, y compris les renseignements que nous confions à des tiers aux fins de traitement. Nous exigeons de ces tiers qu’ils conservent ces renseignements selon des normes strictes de confidentialité et de sécurité. Notre responsable de la protection des renseignements personnels supervise la présente politique de protection des renseignements personnels et les processus qui y sont liés ainsi que les procédures à respecter afin de protéger ces renseignements. Notre personnel est renseigné et adéquatement formé sur nos politiques et pratiques en matière de protection des renseignements personnels.
Gestion des incidents de confidentialité :
On parle d’incident de confidentialité dans les cas suivants :
- Accès non autorisé par la loi à un renseignement personnel;
- Utilisation non autorisée par la loi d’un renseignement personnel;
- Communication non autorisée par la loi d’un renseignement personnel;
- Perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
Si notre entreprise a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient, elle doit prendre des mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.
Pour tout incident de confidentialité, l’entreprise doit évaluer la gravité du risque de préjudice pour les personnes concernées. Pour ce faire, elle doit considérer, notamment :
- la sensibilité des renseignements concernés;
- les conséquences appréhendées de leur utilisation;
- la probabilité qu’ils soient utilisés à des fins préjudiciables.
L’entreprise doit consulter son responsable de la protection des renseignements personnels. Elle peut également impliquer d’autres acteurs, comme le VP – Opérations
ou des experts externes.
Si l’analyse fait ressortir un risque de préjudice sérieux, l’entreprise doit aviser la Commission d’accès à l’information du Québec et les personnes concernées de l’incident avec diligence. Dans le cas contraire, elle doit tout de même poursuivre ses travaux pour réduire les risques et éviter qu’un incident de même nature se produise à nouveau dans le futur. Toutefois l’entreprise n’a pas à aviser les personnes dont les renseignements personnels sont concernés tant que cela serait susceptible d’entraver une enquête faite par une personne ou un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois.
L’avis à la personne concernée par un incident présentant un risque de préjudice sérieux devrait permettre de la renseigner adéquatement sur la portée et les conséquences de l’incident. L’entreprise doit y décrire notamment les renseignements personnels visés, les circonstances de l’incident, les mesures qu’elle a prises ou prendra pour diminuer les risques de préjudice ou atténuer le préjudice et les coordonnées d’une personne à joindre pour avoir plus d’information.
L’entreprise doit tenir un registre colligeant l’ensemble des incidents de confidentialité impliquant un renseignement personnel qu’elle détient, même ceux ne présentant pas de risque de préjudice sérieux. L’entreprise doit transmettre une copie du registre à la Commission d’accès à l’information du Québec lorsqu’elle le demande. Le registre des incidents de confidentialité devrait notamment décrire les renseignements personnels visés par l’incident et contenir des informations sur les circonstances de l’incident, le nombre de personnes visées, l’évaluation de la gravité du risque de préjudice et les mesures prises en réaction à l’incident. Les dates pertinentes devraient aussi y figurer : survenance de l’incident, détection par l’organisation, transmission des avis (s’il y a lieu), etc….
Demande d’accès aux renseignements et modifications :
Vous avez le droit de savoir si nous détenons des renseignements personnels à votre sujet et de consulter ces renseignements personnels. Vous avez également le droit de poser des questions sur la manière dont ces renseignements ont été recueillis et utilisés et à qui ils ont été divulgués. Nous vous transmettrons de telles informations dans un délai raisonnable, à compter de la date de réception de la demande écrite. Des frais raisonnables pourraient également être exigés pour traiter votre demande.
Dans certaines circonstances particulières, nous pouvons refuser de vous fournir les renseignements demandés. Les exceptions à votre droit d’accès se traduisent notamment par le fait que les renseignements demandés concernent d’autres individus, que l’information qui ne peut être divulguée pour des raisons légales, de sécurité ou de droits d’auteur, que l’information a été obtenue dans le cadre d’une enquête sur une fraude, que l’information ne peut être obtenue qu’à des coûts prohibitifs ou encore que l’information fait l’objet d’un litige ou est privilégiée.
Lorsque nous détenons des renseignements médicaux vous concernant, il est possible que nous refusions de vous les communiquer directement et demandions à ce qu’ils soient transmis à un professionnel de la santé que vous aurez désigné pour vous les communiquer. Vous pouvez vérifier l’exactitude et de l’exhaustivité de vos renseignements personnels et, le cas échéant, en demander la modification. Toute demande de modification sera traitée dans un délai raisonnable.
Toute demande d’accès à des renseignements personnels ou de modification des renseignements personnels peut être envoyée par courriel au responsable de la protection des renseignements personnels aux coordonnées ci-dessous :
Pierre Poulin
Président
pierre.poulin@cdid.com
Plaintes et questions :
Vous pouvez communiquer avec le responsable de la protection des renseignements personnels à l’adresse susmentionnée. Toute plainte concernant la protection des renseignements personnels doit être acheminée au responsable de la protection des renseignements personnels à l’adresse figurant ci-dessus. Nous ferons enquête sur toutes les plaintes. Si une plainte est jugée fondée, nous prendrons les mesures appropriées, y compris, au besoin, la modification de ces politiques et de ces pratiques.
Formation et sensibilisation :
L’entreprise fait la promotion de meilleures pratiques et du respect des droits en matière de transparence et de protection des renseignements personnels de différentes façons. Elle informe tout le personnel de son équipe (formulaire de consentement). Elle affiche le nom et les coordonnées de la personne responsable des renseignements personnels. Elle mobilise divers moyens de sensibilisation, entre autres : des séances d’informations sur la protection des renseignements personnels, des rappels lors des réunions d’équipe, de la formation à son personnel, etc….
5. RESPONSABILITÉS, APPLICATION ET RÉVISION
Le comité de direction de CDID est responsable de proposer la révision de la présente politique au besoin, mais au minimum tous les trois (3) ans.
6. DÉLÉGATION
N/A
7. ENTRÉE EN VIGUEUR
La présente politique entre en vigueur lors de son adoption par le comité de direction.
8. ANNEXES
N/A