POLITIQUE DE GOUVERNANCE À L’ÉGARD DES RENSEIGNEMENTS PERSONNELS

1. CONTEXTE ET OBJECTIFS

Dans le cadre de ses activités, l’Employeur, SOTREM (1993) INC., recueille, traite, conserve et communique des renseignements personnels.

L’Employeur est responsable de la protection des renseignements personnels qu’il détient.

La présente politique a pour objectif d’encadrer la gouvernance à l’égard des renseignements personnels, d’assurer la protection de ces renseignements et de mettre en place des pratiques propres à assurer le respect des obligations de l’Employeur envers toutes personnes desquelles il détient des renseignements personnels.

2. DEFINITIONS

Commission :  Commission d’accès à l’information.

Renseignement personnel : Tout renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier.

Personne responsable : Personne responsable de la protection des renseignements personnels détenus par l’Employeur, qui veille à assurer le respect et la mise en œuvre de la Loi sur la protection des renseignements personnels dans le secteur privé.

Incident de confidentialité : Accès, utilisation ou communication non autorisés par la loi d’un renseignement personnel, ainsi que sa perte ou toute autre atteinte à sa protection.

Loi : Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ c P-39.1).

3. PORTÉE

La présente politique s’applique à tous les salariés, fournisseurs et partenaires de l’Employeur à l’égard des renseignements personnels détenus par celui-ci ou par des tierces parties en son nom, sans égard à la nature de leur support ou leur forme (écrite, graphique, sonore, visuelle, informatisée ou autre), et ce, qu’il s’agisse de ceux relatifs à ses salariés ou à toute autre personne.

4. PROCÉDURE RELATIVE AU CYCLE DE VIE DES RENSEIGNEMENTS PERSONNELS

Dans le cadre de la collecte de renseignements personnels, l’Employeur, en collaboration avec le tiers, le mandataire ou le prestataire de services, le cas échéant :

a. Détermine les fins de la collecte. À cette fin, un intérêt sérieux et légitime motive la constitution d’un dossier sur une personne.

b. Limite la collecte de renseignements personnels. À cet égard, la collecte se limite aux renseignements nécessaires aux fins déterminées. En cas de doute, un renseignement est réputé non nécessaire.

c. Recueille les renseignements personnels par des moyens légaux et légitimes. À cet égard, sous réserve d’exception, la collecte se fait auprès de la personne concernée.

d. Informe la personne concernée, avant de constituer un dossier :

i. De l’objet du dossier;

ii. Des fins auxquelles ces renseignements sont recueillis;

iii. Des moyens par lesquels les renseignements sont recueillis;

iv. De l’utilisation qui sera faite des renseignements personnels;

v. Des catégories de personnes qui y auront accès au sein de l’organisation de l’Employeur;

vi. De l’endroit où ils seront détenus;

vii. De ses droits d’accès et de rectification;

viii. Obtient le consentement des personnes concernées avant de collecter leurs renseignements personnels auprès des tiers, à moins  d’une exception prévue par la loi.

Dans le cas où les renseignements personnels sont recueillis pour un tiers, la personne concernée est informée du nom du tiers pour qui la collecte est faite, de sa catégorie et de la possibilité que les renseignements soient communiqués à l’extérieur du Québec, et ce, sous réserve des exceptions prévues par la loi.

Dans le cadre de l’utilisation de renseignements personnels, l’Employeur, en collaboration avec le tiers, le mandataire ou le prestataire de services, le cas échéant :

a. Limite l’accès aux renseignements personnels aux seules personnes ayant la qualité pour les recevoir au sein de son organisation lorsque ces renseignements sont nécessaires à l’exercice de leurs fonctions.

b. Limite l’utilisation des renseignements personnels, à moins d’une exception prévue par la loi.  L’Employeur obtient le consentement de la personne concernée pour utiliser ses renseignements une fois l’objet du dossier accompli.

Dans le cadre de la communication de renseignements personnels, l’Employeur, en collaboration avec le tiers, le mandataire ou le prestataire de services, le cas échéant :

a. Obtient le consentement des personnes concernées pour communiquer leurs renseignements à un tiers (ex : assureur ou prestataire de service), à moins d’une exception prévue par la loi.

b. Respecte les obligations prévues par la loi lorsqu’il communique des renseignements personnels sans le consentement de la personne concernée.

c. Respecte les obligations particulières, applicables à la communication de renseignements personnels à l’extérieur du Québec.

Dans le cadre de la conservation de renseignements personnels, l’Employeur, en collaboration avec le tiers, le mandataire ou le prestataire de services, le cas échéant :

a. Assure la qualité des renseignements personnels en veillant à ce que ceux qu’il détient soient à jour et exacts au moment où il les utilise pour prendre une décision relative à la personne concernée. Ces renseignements sont conservés pendant au moins un (1) an suivant la décision.

b. Prend les mesures de sécurité propres à assurer la sécurité des renseignements personnels.

Dans le cadre de la destruction de renseignements personnels, l’Employeur, en collaboration avec le tiers, le mandataire ou le prestataire de services, le cas échéant :

a. Détruit les renseignements personnels de manière sécuritaire dès que la finalité pour laquelle ils ont été collectés est accomplie, sous réserve du délai prévu par la loi ou par un calendrier de conservation établi par règlement du gouvernement (ex : pour des obligations fiscales).

5. RÔLES ET RESPONSABILITÉS

Directeur général 

a. Assure la mise en œuvre, le suivi et la mise à jour de la présente politique.

b. Voit à l’application de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ c P‑39.1) et de la présente politique.

c. Informe la Personne responsable des incidents de confidentialité pour qu’ils soient consignés dans un registre.

Administrateur réseaux et systèmes

a. Met en place des moyens raisonnables afin de procéder à la détection et au traitement des incidents de confidentialité.

b. Tient le registre des incidents de confidentialité prévu à la loi et informe la Commission des événements qui y sont consignés.

c. Agit à titre de Personne responsable de la protection des renseignements personnels détenus par l’Employeur.

d. Veille à assurer le respect et la mise en œuvre de la Loi sur la protection des renseignements personnels dans le secteur privé.

Comité de gestion 

a. Mettent en place des moyens raisonnables visant à s’assurer que les renseignements personnels sous leur responsabilité sont collectés, conservés, sécurisés et utilisés dans le respect des encadrements applicables (notamment, les lois, les politiques et les directives).

b. Déclarent les incidents de confidentialité portés à leur connaissance à la Personne responsable.

Salariés de l’organisation 

a. Respectent la présente politique.

b. Agissent conformément à la procédure relative au cycle de vie des renseignements personnels.

c. Déclarent les incidents de confidentialité portés à leur connaissance à la Personne responsable.

d. Déclarent tout manquement à la présente politique ou tout évènement pouvant causer un risque de préjudice au sens de celle-ci qui est porté à leur connaissance à la Personne responsable.

6. CONTRAT DE SERVICE OU D’ENTREPRISE

L’Employeur peut, sans le consentement de la personne concernée, communiquer un renseignement personnel à toute personne ou à tout organisme, si cette communication est nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise qu’elle confie à cette personne ou à cet organisme.

Dans ce cas, l’Employeur :

a. Confie le mandat ou le contrat par écrit.

b. Indique dans le mandat ou le contrat, les mesures que le mandataire ou l’exécutant du contrat doit prendre pour assurer la protection du caractère confidentiel du renseignement personnel communiqué, pour que ce renseignement ne soit utilisé que dans l’exercice de son mandat ou l’exécution de son contrat et pour qu’il ne le conserve pas après son expiration.

La personne ou l’organisme qui exerce le mandat ou exécute un contrat de service ou d’entreprise conformément au présent article, doit aviser sans délai la Personne responsable de toute violation ou tentative de violation par toute personne d’une obligation relative à la confidentialité du renseignement communiqué et permettre à la Personne responsable d’effectuer toute vérification relative à cette confidentialité.

Cependant, le paragraphe 2 du deuxième alinéa ne s’applique pas lorsque le mandat ou le contrat de service ou d’entreprise est confié à un organisme public au sens de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels ou un membre d’un ordre professionnel.

7. RESPONSABLE DE L’APPLICATION

La personne occupant le poste d’administrateur réseaux et systèmes.

L’Employeur s’assure que le titre et les coordonnées de la Personne responsable sont publiés sur son site Internet ou, à défaut, accessibles par tout autre moyen approprié.

Demande d’accès ou de rectification

La Personne responsable répond par écrit aux demandes d’accès ou de rectification, avec diligence et au plus tard dans les trente (30) jours de la date de réception de la demande.

À défaut, la Personne responsable est réputée avoir refusé la demande. Tout refus d’acquiescer à une demande est motivé et appuyé par une disposition de la Loi.

Elle indique les recours qui s’offrent au requérant en vertu de la loi, ainsi que le délai dans lequel ceux-ci peuvent être exercés. La Personne responsable doit porter assistance au requérant qui le demande, pour l’aider à comprendre le refus.

Lorsque la Personne responsable acquiesce à une demande d’accès ou de rectification, celle-ci transmet sans frais à la personne qui en fait la demande une copie de tout renseignement personnel modifié ou ajouté, ou selon le cas, une attestation de la suppression d’un tel renseignement.

Dans le cadre d’une demande d’accès, l’Employeur peut exiger des frais raisonnables du requérant pour la transcription, la reproduction ou la transmission de ces renseignements. Pour ce faire, l’Employeur informe le requérant du montant approximatif exigible, et ce, avant de procéder à la transcription, la reproduction ou la transmission de ces renseignements.

8. INCIDENT DE CONFIDENTIALITÉ

a. Registre des incidents de confidentialité

L’Employeur tient un registre colligeant l’ensemble des incidents de confidentialité impliquant un renseignement personnel qu’il détient, même ceux ne présentant pas de risque de préjudice sérieux. L’Employeur transmet une copie du registre à la Commission lorsqu’elle le demande.

  • Le registre des incidents de confidentialité décrit notamment :
  • Les renseignements personnels visés par l’incident;
  • Les informations sur les circonstances de l’incident;
  • Le nombre de personnes visées;
  • L’évaluation de la gravité du risque de préjudice;
  • Les mesures prises en réaction à l’incident;
  • Les dates pertinentes :
  • Survenance de l’incident;
  • Détection par l’organisation;
  • Transmission des avis (s’il y a lieu), etc.

Les renseignements contenus au registre des incidents sont tenus à jour et conservés pendant une période minimale de cinq (5) ans après la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident.

b. Procédure à suivre advenant un incident de confidentialité

Lorsque l’Employeur a des motifs de croire qu’un incident de confidentialité impliquant un renseignement personnel qu’il détient, s’est produit, celui-ci :

i. Prend les mesures pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se        produisent.

ii. Évalue les risques de préjudice.

Afin d’évaluer les risques, l’Employeur considère :

  • La sensibilité du renseignement concerné;
  • Les conséquences appréhendées de son utilisation;
  • La probabilité qu’il soit utilisé à des fins préjudiciables.

Il doit également consulter la Personne responsable.

iii. Si l’incident présente un risque qu’un préjudice sérieux soit causé, l’Employeur avise la Commission d’accès à l’information ainsi que    la personne dont le renseignement personnel est concerné par l’incident.

L’Employeur peut également aviser toute personne ou organisme susceptible de diminuer ce risque, en ne lui communiquant que les renseignements nécessaires à cette fin sans le consentement de la personne concernée.

Dans ce cas, la Personne responsable enregistre la communication.

Cependant, une personne dont un renseignement personnel est concerné par l’incident, n’a pas à être avisée tant que cela est susceptible d’entraver une enquête faite par une personne ou un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois.

iv. Complète le registre des incidents de confidentialité.

9. PROCÉDURE DE TRAITEMENT DES PLAINTES

Toute personne qui croit être l’objet d’un manquement par l’Employeur à l’égard de la protection des renseignements personnels le concernant doit formuler sa plainte par écrit, directement à la Personne responsable, à l’aide du formulaire de plainte prévu à l’annexe I de la présente. L’Employeur s’engage à rendre ce formulaire disponible sur son site Internet. Toute plainte est traitée de façon confidentielle.

La Personne responsable traite la plainte dans un délai raisonnable, soit dans les trente (30) jours suivant la réception de tous les renseignements nécessaires à son étude.

Une fois la plainte examinée et l’analyse complétée, la Personne responsable transmet au plaignant une réponse finale, écrite et motivée.

10. REPRÉSAILLES

Il est interdit d’exercer des représailles contre une personne, pour le motif qu’elle a de bonne foi déposé une plainte à la Commission ou collaboré à une enquête ou de menacer une personne pour qu’elle s’abstienne de le faire.

11. APPROBATION DE LA PERSONNE RESPONSABLE

Je, soussigné(e), Simon Duhamel, Personne responsable de la protection des renseignements personnels, déclare avoir pris connaissance et approuver la présente politique.

 

_____________________________

SIMON DUHAMEL

Administrateur réseaux et systèmes

 

 

Formnulaire de plainte

MM slash JJ slash AAAA

COORDONNÉES DE LA PERSONNE RESONSABLE

NOM ET PRÉNOM DE LA PERSONNE RESPONSABLE: SIMON DUHAMEL

COORDONNÉES DE LA PERSONNE RESPONSABLE:

1685, rue Manic, Chicoutimi

(Québec) G7K 1G8

Tél. : (418) 696-2019

Poste: 146

Courriel: sduhamel@sotrem-maltech.com