Politique de confidentialité des renseignements personnels
Préambule
9284-8746 Québec inc. est une entreprise exerçant ses activités sous le nom Cercle Kaizen (ci-après : « CK ») dans le domaine du service aux entreprises, plus précisément le réseautage d’affaires. Elle est une entreprise assujettie à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, sanctionnée le 22 septembre 2021, qui apporte des changements majeurs aux dispositions de la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après la « Loi »). CK a l’obligation de respecter le cadre législatif mis en place par la Loi pour assurer la confidentialité des renseignements personnels des personnes qui utilisent ses services et, le cas échéant, de ses employés. Ainsi, la présente politique visant ses activités et ses pratiques est établie en accord avec la Loi (ci-après la « Politique »).Fondement
- CK reconnaît l’importance de la protection de la vie privée, de la sécurité et de la protection des renseignements personnels ou confidentiels qu’elle recueille et conserve. Elle s’engage ainsi à respecter les dispositions, les valeurs et les principes fondamentaux établis par la Loi et toutes autres législations applicables.
- CK met en œuvre les mesures nécessaires pour garantir le respect de la confidentialité des renseignements personnels ou confidentiels qui lui sont communiqués dans le cours de ses activités.
Objectifs
- La Politique a pour objet d’établir et de préciser les pratiques à l’égard des renseignements personnels collectés, conservés par CK dans le cadre de ses opérations, de renforcer la protection de la vie privée des personnes visées par ceux-ci, de favoriser la transparence et de moderniser l’encadrement applicable à la protection des renseignements.
- La Politique vise notamment les objectifs suivants :
- Désigner le responsable de la protection des renseignements personnels et définir son rôle et ses responsabilités.
- Définir les rôles et responsabilités de chacun des membres de l’organisation.
- Définir un cadre de gestion des incidents de confidentialité.
- Définir le processus de traitement des plaintes.
Définitions
- Renseignement personnel : Tout renseignement qui concerne une personne physique et qui permet directement ou indirectement de l’identifier, quelle que soit la nature de son support et quelle que soit la forme sous laquelle il est accessible. Ces renseignements peuvent être notamment l’adresse personnelle, le numéro de téléphone personnel ou des renseignements concernant l’entreprise de cette personne physique.
- Renseignement confidentiel : Tout renseignement de nature stratégique ou secret d’entreprise pour CK ou tout renseignement habituellement traité de façon confidentielle par ce dernier.
- Administrateur : Les membres du conseil d’administration (ci-après : « CA ») de CK.
- Incident de confidentialité : Un incident de confidentialité correspond à un accès non autorisé par la Loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection.
Champ d’application
- La Politique s’applique à tous les employés, mandataires et co-contractants de CK, ainsi qu’à ses administrateurs dans le cadre de l’exercice de leurs fonctions. La Politique peut également s’appliquer après la fin de l’emploi/mandat lorsque cela est prévu expressément ou lorsque le contexte s’y prête.
Rôles et responsabilités
- Le CA veille à assurer le respect et la mise en œuvre de la Loi. Il nomme le Responsable de l’accès et de la protection des renseignements personnels et adopte la présente politique.
- Le Responsable de l’accès et de la protection des renseignements personnel veille à la conformité de CK aux obligations en matière de protection des renseignements personnels et met en œuvre les politiques et pratiques encadrant la gouvernance à l’égard des renseignements personnels afin d’assurer leur protection.
- Le Responsable assure le respect de la Politique par les employés et les mandataires.
- Le Responsable tient un registre des incidents de confidentialité.
- Le Responsable communique les informations concernant les incidents et les plaintes au CA.
- Les employés et les mandataires sont tenus de respecter la Politique.
- Les employés et les mandataires, le cas échéant, sont tenus de collaborer dans la recherche de documents et d’informations faisant l’objet de toute demande d’accès.
- Les employés et les mandataires, le cas échéant, sont tenus de veiller à la protection des renseignements personnels et confidentiels.
Règles et procédures applicables
Principes généraux- CK s’engage à maintenir et mettre en œuvre un ensemble les mesures requises afin d’assurer la sécurité des renseignements personnels ou confidentiels qu’il détient, notamment en s’assurant des éléments suivants :
- La disponibilité des renseignements de façon qu’ils soient accessibles, au moment convenu et de la manière requise, par les personnes autorisées à avoir accès;
- L’intégrité des renseignements, de manière que ceux-ci ne soient pas détruits ou altérés, de quelque façon sans autorisation, et en respect du calendrier de conservation de CK, en s’assurant que le support de ces renseignements leur procure la stabilité et la pérennité voulues;
- La confidentialité des renseignements personnels ou confidentiels, en limitant leur divulgation aux seules personnes autorisées à en prendre connaissance;
- L’identification et l’authentification, de façon à confirmer, lorsque requis, l’identité d’une personne ou l’identification d’un document ou d’un dispositif;
- L’irrévocabilité, afin d’assurer qu’une action, un échange ou un document est clairement attribué à l’entité qui l’a généré;
- La conformité aux exigences légales, règlementaires ou d’affaires auxquelles CK est assujetti.
- Les renseignements personnels doivent être recueillis pour un motif sérieux et légitime en lien avec les activités de CK.
- La collecte de renseignements personnels par CK doit s’effectuer en toute transparence, avec le consentement libre et éclairé de la personne concernée et en indiquant clairement les fins pour lesquelles ces renseignements sont recueillis.
- CK doit obtenir un nouveau consentement pour utiliser les renseignements personnels à des fins qui ne sont pas compatibles avec celles pour lesquelles ils ont été recueillis initialement.
- Tous les renseignements personnels collectés, quel que soit leur support, sont conservés dans un environnement sécurisé. Ces renseignements sont accessibles uniquement aux employés ou mandataires ou membres du CA de CK qui en ont nécessairement besoin pour l’exercice de leurs fonctions et ces derniers sont tenus de respecter le caractère confidentiel de ces renseignements.
- CK requière le consentement de la personne concernée avant de communiquer à un tiers un renseignement personnel lui appartenant, à moins que les lois applicables en autorisent la communication sans ce consentement.
- Avant toute communication de renseignement personnels à un tiers, CK doit demander une copie de la politique sur la protection des renseignements personnels de celui-ci.
- Les renseignements personnels sont conservés pour la période nécessaire à la réalisation des fins prévues par leur collecte et, par la suite, sont détruits de façon sécuritaire dans les délais prévus au calendrier de conservation de CK.
- En respect des lois applicables, CK s’engage à recueillir uniquement les renseignements personnels nécessaires pour l’exercice de ses activités.
- La collecte de renseignements personnels peut s’effectuer notamment par l’entremise de formulaires, de différents moyens technologiques, d’entretiens téléphoniques, de sondages d’opinion ou de questionnaires.
- Toute personne qui recueille, au nom de CK, des renseignements personnels auprès de la personne concernée ou d’un tiers doit s’identifier et fournir les informations suivantes :
- Mentionner son nom et sa fonction au sein de CK;
- Les fins pour lesquelles ces renseignements sont recueillis;
- Les catégories de personnes qui auront accès à ces renseignements;
- L’endroit où sera détenu son dossier;
- Le caractère obligatoire ou facultatif de la demande;
- Les conséquences pour la personne concernée ou, selon le cas, pour le tiers, d’un refus de répondre à la demande;
- Les droits d’accès, de rectification et de retrait du consentement.
- Tous les renseignements personnels collectés, quel que soit leur support, sont conservés dans un environnement sécurisé. Ces renseignements sont accessibles uniquement aux employés ou mandataires ou membres du CA de CK qui en ont nécessairement besoin pour l’exercice de leurs fonctions et ces derniers sont tenus de respecter le caractère confidentiel de ces renseignements.
- CK doit veiller à ce que les renseignements personnels qu’il conserve soient à jour, exacts et complets dans le but de servir aux fins pour lesquelles ils ont été recueillis.
- Lorsque CK collecte et conserve des renseignements personnels, son objectif est d’offrir un service personnalisé et sécuritaire à ses clients, dans le respect des lois applicables et des règles de sécurité.
- CK utilisera les renseignements personnels seulement aux fins pour lesquelles ils ont été recueillis.
- Toute personne qui en fait la demande a droit d’accès aux renseignements personnels qui la concernent et qui sont détenus par CK, à moins d’exceptions prévues aux lois applicables.
- Une personne peut demander que ses renseignements personnels soient corrigés, détruits ou qu’ils ne soient plus utilisés pour les fins pour lesquelles ils ont été recueillis.
- En conformité avec les lois applicables, CK s’engage à respecter toute demande de rectification, de retrait ou de destruction, à moins d’obligations légales à l’effet contraire.
- Les renseignements personnels sont conservés pour la période nécessaire à la réalisation des fins prévues par leur collecte et, par la suite, sont détruits dans les délais prévus au calendrier de conservation de CK.
- Toute personne qui désire déposer une plainte concernant la collecte, la conservation, l’utilisation, la communication, la destruction ou les droits d’accès ou de rectification à ses renseignements personnels par CK doit adresser celle-ci par écrit au responsable de l’accès aux documents et de la protection des renseignements personnels, soit le directeur général.
- Afin d’assurer la protection des renseignements personnels, ceux-ci doivent être :
- Enregistré directement sur le réseau informatique;
- Imprimé qu’en cas de nécessité;
- Communiqué par envoi sécurisé.
- Tout document papier contenant des renseignements personnels doit être classé sous clé.
- CK utilise les technologies de l’information pour supporter ses processus d’affaires afin d’offrir une meilleure prestation de services.
- CK met en place des mesures de sécurité et de gestion des accès adéquates pour assurer la confidentialité, l’intégrité et la disponibilité des renseignements qu’il détient en fonction de la sensibilité de ces renseignements, des risques auxquels ils sont exposés et des obligations auxquelles CK est soumis.
- Toute personne qui achemine des renseignements à CK est responsable de l’exactitude de ceux-ci ainsi que du maintien de la confidentialité de ses renseignements. CK ne peut être tenu responsable d’un usage non autorisé par cet utilisateur.
- Toute personne qui achemine des renseignements à CK doit également s’assurer que le système ou l’équipement avec lequel il transmet ou reçoit de l’information de CK est suffisamment sécuritaire et faire preuve de vigilance. CK ne peut être tenue responsable d’un accès non autorisé à des renseignements découlant d’une négligence ou des vulnérabilités présentes sur l’équipement ou le système d’un utilisateur.
- Dans l’éventualité où la confidentialité de ses renseignements venait à être compromise ou son identité usurpée, l’utilisateur est tenu d’en aviser CK le plus rapidement possible.
- Le site Internet de CK propose des hyperliens vers d’autres sites Internet. Les renseignements échangés sur ces sites ne sont pas assujettis à la présente politique, mais à celle du site externe. CK n’est pas responsable du contenu de ces sites et ne peut être tenue responsable des dommages, de quelque nature qu’ils soient, découlant de la navigation ou de l’utilisation de ces sites.
Incidents de confidentialité
- Un incident de confidentialité correspond à un accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection.
- Si CK a des motifs de croire qu’un incident de confidentialité impliquant un renseignement personnel qu’il détient s’est produit, il doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.
- CK procède à l’évaluation du préjudice.
- CK doit tenir un registre des incidents de confidentialité et, sur demande de la Commission d’accès à l’information, lui en transmettre une copie.
- Les renseignements contenus au registre des incidents de confidentialité doivent être tenus à jour et conservés pendant une période minimale de cinq (5) ans après la date ou la période au cours de laquelle CK a pris connaissance de l’incident.
Mise à jour
- Le directeur général de CK est responsable de soumettre au CA la mise à jour de la Politique.
- La Politique doit être révisée au minimum lors de changements significatifs, au mois de septembre de chaque année.
- La Politique entre en vigueur le 31 juillet 2024.