Politique encadrant la protection des renseignements personnels

Portée

La présente politique s’applique à tout le personnel de l’entreprise qui traite des renseignements personnels. Elle vise à compléter le Code d’éthique et les politiques de l’entreprise.

But de la politique

La présente politique en matière de confidentialité des renseignements personnels (la « politique de confidentialité ») précise les politiques, les procédures et les pratiques que doivent respecter l’entreprise et tout le personnel visé par celle-ci relativement à la collecte, à l’utilisation et à la divulgation des renseignements personnels (les « renseignements personnels ») d’une personne identifiable (la « personne »).

L’entreprise reconnaît la nature confidentielle des renseignements personnels qui lui sont confiés et est responsable de sa conformité et de celle de ses administrateurs, dirigeants, gestionnaires, employés, représentants et agents, y compris les consultants et les entrepreneurs indépendants (collectivement, le « personnel ») aux mesures de protection des renseignements personnels.

Pour toute question sur les renseignements personnels ou la confidentialité en général, veuillez-vous adresser directement au responsable de la protection des renseignements personnels, Renaud Lambert, directeur des finances et de la comptabilité par courriel à l’adresse suivante : rlambert@groupelambert.com

Les droits et obligations décrits dans la présente politique de confidentialité s’appliquent à tout le personnel qui traite des renseignements personnels. L’entreprise et son personnel doivent se conformer aux politiques, aux procédures et aux pratiques qui y sont décrites.

 

Définition des renseignements personnels

Aux fins de la présente politique de confidentialité, le terme « renseignements personnels » désigne toute information sous quelque forme que ce soit – orale, électronique ou écrite – qui se rapporte à une personne, à l’exclusion des renseignements accessibles au public dans leur intégralité. Les renseignements personnels désignent également tous les renseignements accessibles au public qui sont combinés à des renseignements non accessibles au public.

Les renseignements personnels comprennent, sans s’y limiter, le nom, l’adresse, le numéro de téléphone, l’adresse courriel, les renseignements obtenus dans le cadre de la vérification de l’identité (comme les pièces d’identité émises par le gouvernement), le numéro d’assurance sociale, les descriptions physiques, l’âge, le sexe, le salaire, les études, les passe-temps personnels, les champs d’intérêt et les activités, les antécédents médicaux, les antécédents professionnels, les antécédents de crédit, le contenu du curriculum vitæ, les références, les notes d’entrevue, les notes d’évaluation de la performance et les coordonnées générales d’une personne.

Les renseignements personnels ne comprennent généralement pas le titre professionnel, l’adresse professionnelle ou les coordonnées d’une personne lorsqu’ils sont utilisés ou divulgués à des fins raisonnables de communication dans un contexte professionnel ou de gestion d’une relation d’affaires ou d’emploi.

L’entreprise mettra en œuvre et développera des politiques et des procédures qui appuieront présente politique de confidentialité, y compris des procédures de protection des renseignements personnels, des procédures de réception, de traitement et de règlement des plaintes, des procédures pour assurer une formation adéquate des employés au sujet des politiques de confidentialité et des procédures à des fins de distribution de l’information nouvelle et à jour relative à la politique de confidentialité.

Politique de confidentialité des renseignements personnels

L’entreprise et le personnel doivent, en tout temps, respecter la confidentialité des renseignements personnels qui leur sont confiés. L’entreprise s’efforcera de veiller à ce que les politiques en matière de collecte, de stockage et de divulgation des renseignements personnels reflètent la nature confidentielle des renseignements.

L’entreprise se conformera à toutes les lois et à tous les règlements en vigueur aujourd’hui et à l’avenir relatifs à la protection de la vie privée et des renseignements personnels.

Les renseignements personnels sont recueillis, utilisés et divulgués à des fins liées à la relation que la personne entretient avec l’entreprise. Il peut s’agir de fournir des renseignements personnels dans le cadre d’une transaction au détail ou de l’obtention d’un emploi.

Les raisons qui justifient la collecte de renseignements personnels sont documentées par l’entreprise. Les renseignements personnels sont uniquement utilisés aux fins énoncées lorsqu’ils sont initialement recueillis. Les fins pour lesquelles les renseignements personnels sont recueillis sont communiquées verbalement ou par écrit à la personne concernée avant leur collecte (le consentement de la personne peut être obtenu expressément ou implicitement dans le cadre d’une relation d’affaires existante ou d’une participation à un programme de fidélisation).

La personne est informée des raisons de la collecte de renseignements et est invitée à consulter l’engagement de l’entreprise en matière de confidentialité pour en savoir plus sur la façon dont cette dernière traite et utilise les renseignements personnels, et sur le moyen de communiquer au responsable de la protection des renseignements personnels.

L’entreprise peut utiliser les renseignements personnels à d’autres fins que celles initialement énoncées lorsqu’une telle utilisation est requise par la loi ou après l’obtention du consentement de la personne concernée pour chaque nouvelle raison. Le personnel doit obtenir l’approbation du responsable de la protection des renseignements personnels avant d’utiliser des renseignements personnels à des fins autres que celles pour lesquelles ils ont été initialement recueillis.

Connaissance, transparence et consentement

La connaissance, la transparence et le consentement sont des piliers fondamentaux de la collecte de renseignements personnels. Tous les renseignements personnels doivent être recueillis, utilisés et divulgués de manière honnête, éthique et transparente. Le consentement doit être obtenu avant la collecte des renseignements personnels.

Le consentement ne doit pas être obtenu grâce à la ruse ou à une fausse déclaration.

Toute divulgation de renseignements personnels se fait selon les attentes raisonnables de la personne. En cas de questions ou de préoccupations concernant l’utilisation autorisée des renseignements personnels, le personnel doit demander des directives, des conseils et une approbation auprès du responsable de la protection des renseignements personnels.

En tout temps, les personnes peuvent retirer leur consentement à l’utilisation de leurs renseignements personnels par l’entreprise. L’entreprise publiera un engagement de confidentialité à jour sur son site Web afin que les personnes puissent prendre connaissance de la façon dont leurs renseignements personnels sont utilisés.

Lois et règlements

L’entreprise est assujettie à la Loi sur la protection des renseignements personnels dans le secteur privé. Les règlements sur l’obtention du consentement sont, quant à eux, sont définis par le gouvernement fédéral dans la Loi canadienne anti-pourriel (LCAP).

Il incombe à chaque membre du personnel de s’assurer que sa conduite respecte les exigences de la province lors du traitement des renseignements personnels. Si un membre du personnel se questionne au sujet des règlements en matière de protection des renseignements personnels, il doit communiquer directement avec le responsable de la protection des renseignements personnels.

Lorsqu’un membre du personnel traite des renseignements personnels sur la santé, ses obligations en matière de confidentialité et de protection des renseignements personnels sur la santé sont régies par les lois en la matière qui sont en vigueur dans sa province.

Collecte de renseignements personnels

La nature et la quantité de renseignements personnels recueillis par l’entreprise se limitent au minimum requis pour les fins visées. L’entreprise ne recueille que les renseignements nécessaires aux fins énoncées. Les renseignements personnels ne sont jamais recueillis dans une intention malveillante, de façon arbitraire ou sans motif d’affaires valable.

Tous les renseignements personnels sont recueillis dans le respect des lois et de manière juste, claire et transparente.

Exactitude des renseignements personnels

L’entreprise s’efforce de s’assurer que tous les renseignements personnels recueillis sont exacts et validés au moyen de pratiques et de procédures administratives raisonnables. L’entreprise s’engage également à veiller à ce que les renseignements personnels demeurent exacts pour les fins énoncées et pour lesquelles ils ont été recueillis.

 

Droits d’accès

L’entreprise déploie des efforts raisonnables pour s’assurer que les renseignements personnels en sa possession sont complets et exacts pour leur utilisation aux fins énoncées et compte sur la personne pour veiller à ce que ses renseignements personnels soient à jour et justes.

Toute personne peut demander l’accès à ses renseignements personnels ou un exemplaire de ses renseignements personnels en soumettant une demande écrite accompagnée d’une preuve d’identité adéquate au responsable de la protection des renseignements personnels. Lorsqu’une telle demande est présentée, il confirme l’identité de la partie requérante et utilise son pouvoir discrétionnaire pour vérifier l’identité de la personne. Cette dernière recevra un exemplaire de tous les renseignements dont la société dispose qui ne font pas l’objet de restrictions ou d’autres exemptions en vertu des lois en vigueur. Tous les renseignements personnels seront fournis gratuitement ou à un coût minimal abordable.

L’entreprise fournira également un résumé de la façon dont les renseignements personnels ont été utilisés et, le cas échéant, à qui ils ont été divulgués. Les renseignements personnels seront divulgués à la personne sous une forme raisonnable et compréhensible. Lorsque le sens des renseignements communiqués n’est pas clair, le Bureau de la protection de la vie privée fournira des précisions et de l’aide sans frais.

Lorsqu’une personne soupçonne une erreur dans ses renseignements personnels, elle peut soumettre une demande écrite de rectification. L’entreprise déploiera des efforts raisonnables pour répondre à toute demande de rectification. Si la personne démontre la présence d’une erreur dans les renseignements personnels que possède l’entreprise, cette dernière apportera les corrections appropriées.

L’entreprise répondra rapidement à toute demande raisonnable de divulgation et de rectification présentée par une personne afin d’assurer l’exactitude continue des renseignements personnels. Les demandes sont traitées dans un délai de 30 jours, conformément aux lois applicables en matière de protection de la vie privée. Si une prolongation est nécessaire, la raison de la prolongation ainsi que les recours à la disposition de la personne doivent être communiqués.

L’entreprise peut refuser l’accès à la totalité ou à une partie des renseignements personnels d’une personne s’il s’avère qu’ils contiennent des renseignements personnels concernant une autre personne ou lorsque les lois en vigueur dans la province ou le territoire stipulent explicitement les exemptions à l’obligation de divulguer des renseignements personnels. Les décisions de communiquer des renseignements personnels, d’en refuser l’accès ou d’en restreindre la divulgation doivent être approuvées par le Bureau de la protection de la vie privée.

 

Utilisation et divulgation des renseignements personnels

L’entreprise et le personnel garderont confidentiels tous les renseignements personnels en leur possession, sauf si une ou plusieurs des conditions suivantes s’appliquent :

  • lorsque la personne qui fait l’objet de la divulgation a donné son consentement écrit;
  • lorsque la divulgation est conforme aux fins pour lesquelles les renseignements personnels ont été initialement recueillis;
  • lorsque la divulgation vise à fournir des références à des employeurs potentiels et que les renseignements personnels divulgués se limitent aux renseignements jugés raisonnablement nécessaires aux fins de fournir une confirmation d’emploi (titre et durée des fonctions);
  • lorsque l’entreprise est autorisée ou tenue de divulguer des renseignements personnels en vertu des lois fédérales ou provinciales en vigueur, et que le responsable de la protection des renseignements personnels a approuvé une telle divulgation;
  • lorsque des renseignements personnels sont divulgués à des fournisseurs de soins de santé et que l’objet de la divulgation correspond aux fins pour lesquelles les renseignements personnels ont été recueillis;
  • lorsque la divulgation est exigée par une autorité gouvernementale autorisée (ou un organisme d’enquête officiel) qui agit pour garantir l’application d’une loi fédérale, provinciale ou territoriale, qui mène une enquête relative à l’application d’une loi fédérale, provinciale ou territoriale ou qui recueille des renseignements aux fins de l’application d’une loi fédérale, provinciale ou territoriale;
  • lorsque l’entreprise est tenue de se conformer à des ordonnances, mandats ou assignations à comparaître valides du tribunal ou à d’autres procédures judiciaires valides;
    en cas d’urgence pour protéger la sécurité physique de toute personne ou de tout groupe de personnes.

Avant de divulguer des renseignements personnels ou de refuser une telle divulgation, le personnel doit obtenir l’approbation du responsable de la protection des renseignements personnels.

 

Conservation et suppression des renseignements personnels

Tous les renseignements personnels recueillis par l’entreprise seront conservés conformément à sa politique et à son calendrier de conservation des données.

À moins qu’une exemption particulière n’ait été appliquée, l’entreprise conservera les renseignements personnels pendant la durée nécessaire aux fins pour lesquelles ils ont initialement été recueillis ou conformément aux lois ou règlements en vigueur.

Les renseignements personnels qui ne sont plus requis ou qui n’ont plus besoin d’être conservés aux fins pour lesquelles ils ont été recueillis seront détruits, effacés, anonymisés de façon permanente ou autrement rendus anonymes, conformément à la politique et au calendrier de conservation des données de la société.

 

Sécurité

L’entreprise prendra et appliquera toutes les mesures de sécurité raisonnables qui conviennent à la sensibilité de l’information pour s’assurer que les renseignements personnels sont protégés contre toute utilisation non autorisée, y compris, sans s’y limiter : la divulgation accidentelle ou malveillante, l’accès non autorisé, la modification non autorisée, la duplication ou le vol.
Les mesures de sécurité mises en œuvre comprennent, sans s’y limiter :

  • des mesures de sécurité physique, y compris des classeurs verrouillés et des bureaux à accès sécurisé;
  • des mesures de sécurité organisationnelle, y compris des autorisations d’accès; un accès limité selon le principe de besoin de connaître;
  • des mesures de sécurité technologique, y compris l’utilisation de mots de passe, le hachage et le chiffrement, conformément aux politiques et pratiques applicables en matière de sécurité des TI énoncées dans la PUAT.

En plus de veiller au respect de la politique de confidentialité, l’entreprise sensibilisera et informera son personnel à cette politique et aux procédures connexes ainsi qu’à l’importance de la confidentialité des renseignements personnels.

 

Signalement d’une utilisation ou divulgation non autorisée

Les membres du personnel qui utilisent des renseignements personnels doivent se conformer aux politiques, aux procédures et aux pratiques stipulées dans la présente politique de confidentialité. Toute violation d’une modalité ou d’une condition de la présente politique de confidentialité, qu’elle soit intentionnelle ou non, justifie la prise de mesures disciplinaires pouvant aller jusqu’au congédiement.

Les membres du personnel qui prennent connaissance ou soupçonnent un accès non autorisé à des renseignements personnels ou une atteinte à la confidentialité des renseignements personnels doivent communiquer immédiatement avec leur gestionnaire et le responsable de la protection des renseignements personnels. Tous les membres du personnel doivent se familiariser avec le processus de signalement d’une atteinte à la vie privée.

Les incidents liés à la confidentialité des renseignements personnels feront l’objet d’une enquête par le responsable de la protection des renseignements personnels, qui documentera ces incidents et tiendra des dossiers. Au besoin, le responsable de la protection des renseignements personnels signalera à l’organisme de réglementation compétent tout incident lié à la confidentialité des renseignements personnels qui présente un risque réel de préjudice ou de dommage important pour les personnes touchées.