Politique de protection des renseignements personnels

OBJET

Le présent document a pour objet de décrire les modalités de protection des Renseignements Personnels en application chez Alten Canada (ci-après « l’Entreprise »).
Les prescriptions de la présente politique s’appliquent exclusivement aux activités d’affaires réputées comme normales de l’Entreprise effectuées dans le cadre de son opération.
Ces prescriptions s’adressent à toute personne pouvant être en contact avec des Renseignements Personnels dans le cadre d’activités impliquant directement ou indirectement l’Entreprise.

Les objectifs de cette politique sont :

Assurer la conformité de l’Entreprise aux obligations de Loi sur la Protection des Renseignements Personnels dans le secteur privé (R.L.R.Q., c. P-39.1, ci-après « LPRPSP »)

Protéger les droits du personnel, des clients et des partenaires de l’Entreprise en vertu des articles 35 à 40 du Code civil du Québec en matière de protection des renseignements personnels.

Prévenir les risques à la Disponibilité, l’Intégrité ou la Confidentialité des renseignements personnels détenus, utilisés ou entreposés par l’Entreprise dans le cadre de ses activités.

Ce document contient des Informations classifiées comme étant Publiques. Son contenu peut être diffusé ou distribué à l’extérieur de l’Entreprise après approbation et doit faire l’objet de contrôles appropriés à son classement.

RESPONSABILITÉ POLITIQUE

La responsabilité de la mise en œuvre de cette politique incombe à la présidence de l’Entreprise.
La responsabilité de supervision en vue de conformité de cette politique revient à la présidence de l’Entreprise.

DÉFINITIONS

Autorisation : permission d’effectuer une action spécifique.

Confidentialité: Propriété d’une information qui est accessible seulement par les personnes autorisées.

Confidentiel : catégorie de Classification de l’Information à risque élevé, disponible à l’intérieur des secteurs désignés de l’Entreprise et qui, si elle est révélée, peut définitivement porter atteinte à l’intégrité financière, judiciaire, physique ou morale de l’Entreprise ou de ses employés, fournisseurs et clients.

Classification de l’Information : processus de distribution de l’Information selon des catégories prédéfinies.

Disponibilité: Propriété d’une information pouvant être utilisée en temps voulu et de manière adéquate par les personnes autorisées.

Incident: tout événement qui compromet potentiellement la confidentialité, l’intégrité, la disponibilité ou qui constitue une déviation significative des fonctions normales d’un Système d’Information contenant des renseignements personnels.

Information : ensemble de données susceptibles d’être conservées, traitées ou communiquées.

Intégrité: Propriété d’une information n’ayant pas été altérée, modifiée ou détruite sans autorisation.

Interne : catégorie de Classification de l’Information à risque moyen, disponible à l’intérieur des secteurs désignés de l’Entreprise, et qui, si elle est révélée, peut potentiellement porter atteinte à l’intégrité financière, judiciaire, physique ou morale de l’Entreprise ou de ses employés, fournisseurs et clients.

Publique : catégorie de Classification de l’Information à faible risque, disponible au grand public et qui, si elle est révélée, est sans atteinte à l’intégrité financière, judiciaire, physique ou morale de l’Entreprise ou de ses employés, fournisseurs et clients.

Système d’Information: ensemble de supports (physiques ou numériques) ayant pour fonction la conservation, le traitement ou la communication d’information.

Tierce Partie: personne ou entreprise qui ne possède pas de lien d’emploi contemporain avec
L’Entreprise.

Alten Canada: ensemble regroupant les compagnies Alten Canada, MDC, QAC, Proex et toute autre entreprise externe ayant fait l’objet d’une acquisition.

Renseignements personnels: En vertu de la Loi sur la protection des renseignements personnels dans le secteur privé, un renseignement personnel « est […] tout renseignement qui concerne une personne physique et permet de l’identifier » (R.L.R.Q., c. P-39.1, a.2).
Renseignement personnel d’une personne (considérez si le renseignement est mentionné avec un autre renseignement concernant une personne ou lorsque sa seule mention révélerait l’identité de la personne concernée) :

Son nom;
Son numéro d’assurance sociale;
Son numéro de permis de conduire;
Son numéro d’assurance maladie;
Son adresse;
Son numéro de téléphone
Son numéro matricule;
Son âge;
Son genre;
Sa race, sa nationalité ou son origine ethnique
Sa religion
Son état civil;
Ses antécédents médicaux, scolaires ou professionnels
Ses identifiants en ligne;
Son numéro d’identification d’employé;
Les informations bancaires ou de cartes de crédit;
Les informations collectées permettant la vérification d’identité impliquant la biométrie;
L’information permettant de géolocaliser une personne;

S’ajoutent à la liste plusieurs éléments propres à son identité physique (dont la photographie), physiologie, génétique, psychique, santé, économique, culturelle ou sociale.
Informations qui ne sont pas considéré comme des renseignements personnels:

Les renseignements qui ne concernent pas directement un individu (ex. code postal)
Les renseignements sur une entreprise
Les renseignements anonymisés (dans la mesure qu’il est impossible de les relier à une personne identifiable)
Les renseignements gouvernementaux

DROITS DES INDIVIDUS

L’Entreprise respecte les droits des individus concernant la protection des renseignements personnels dans les limites des lois et réglementations. Les individus ont le droit:
D’être informé du traitement de leurs données personnelles.
De savoir comment, quand et pourquoi leurs données personnelles sont partagées
D’avoir accès à leurs données.
D’être oubliés.
De pouvoir recevoir une copie de leurs données personnelles.
De refuser des services tels que la prise de décision automatisée, de recevoir des chaînes de courriels, et autres messages électroniques.
De faire rectifier leurs données si elles sont inexactes.
De limiter le traitement de leurs données.
De se voir demander le consentement lorsque des données personnelles sont divulguées ou demandées à des tierces parties si elles ne sont pas clairement exemptées par la loi.

L’Entreprise doit s’assurer de nommer un responsable de la protection des renseignements personnels qui répondra des droits individuels, du traitement des demandes et des plaintes en matière de renseignements personnels dans les délais prescrits par les lois et les réglementations en vigueur.

L’Entreprise doit s’assurer que les personnes sont conscientes que leurs données sont traitées et qu’elles comprennent comment elles peuvent exercer leurs droits.

L’Entreprise assure la récupération, la correction ou la suppression sécurisée des données suivant la réception d’une demande. Elle pourrait refuser une demande avec justification ou dans les limites de la Loi.

Une documentation des demandes et des plaintes sera maintenue.

PROCESSUS DE PROTECTION DES RENSEIGNEMENTS PERSONNELS

Rôles et responsabilités

Les rôles et responsabilités décrits ci-dessous sont requis par la LPRPSP. L’Entreprise a donc l’obligation de désigner des personnes occupant ces rôles. Un comité de gestion de la protection des renseignements personnels peut également être mis sur pied selon les besoins légaux, contractuels et contextuels de l’Entreprise.

Autorité Exécutive de l’Entreprise
Doit absolument être la personne la plus en autorité de l’Entreprise

Mise en œuvre des politiques et procédures en matière de protection des renseignements personnels

Supervision en vue de conformité des politiques et procédures en matière de Protection des Renseignements Personnels

Nomination d’un délégué responsable de la Protection des Renseignements Personnels

Approbation des plans d’action et de distribution de ressources humaines et financières

Délégué Responsable de la Protection des Renseignements Personnels
Documentation des Incidents de Confidentialité

Maintien d’un registre des Incidents de Confidentialité

Signalement des divulgations accidentelles des Renseignements Personnels aux autorités compétentes

Compréhension et application de la législation portant sur la Protection des Renseignements Personnels

Formation continue et Sensibilisation des employés dans le cadre du programme de Protection des Renseignements Personnels

Participation aux exercices d’Évaluation des Facteurs relatifs à la Vie Privé (E.F.V.P.)

Gestion des demandes d’accès à l’information.

Gestion des plaintes concernant la Protection des Renseignements Personnels

Employés, Fournisseurs et autres Tierces Parties
Adhésion aux règles de gouvernance en matière de Protection des Renseignements Personnels

Participation au programme de formation et de sensibilisation à la protection des renseignements personnels

Signalement des Incidents de Confidentialité suspectés ou confirmés

Obligations

Les obligations décrites ci-dessous sont décrites explicitement ou implicitement par la LPRPSP. L’Entreprise et son programme de protection des renseignements personnels est contrainte de respecter ces obligations.

Générales
L’Entreprise a l’obligation de nommer une personne responsable du respect des lois applicables en matière de protection des renseignements personnels. Les coordonnées (courriel et téléphone) de cette personne sont publiées sur le ou les sites web de l’Entreprise.

L’Entreprise a l’obligation de protéger tous renseignements personnels, sans égard au support (physique ou numérique) ou à l’état (au repos, en transit ou en utilisation), requis par un ou plusieurs de ses processus d’affaires.

L’Entreprise a l’obligation de respecter tous les principes de protection des renseignements personnels édictés dans la LPRPSP et de leur démonstration dans le cadre d’évaluations ou d’audits.

L’Entreprise a l’obligation de rendre publiquement accessibles les renseignements précis sur ses politiques et ses pratiques concernant la protection des renseignements personnels.

L’Entreprise a l’obligation d’apporter les modifications pertinentes à son programme de protection des renseignements personnels selon la ratification, modification ou suppression des lois applicables, et ce dans les plus brefs délais.

Collecte de renseignements personnels
L’Entreprise a l’obligation de déterminer a priori les fins utiles des renseignements personnels avant toute collecte, utilisation, communication ou divulgation (non-accidentelle) de renseignements personnels.

L’Entreprise a l’obligation d’informer et d’obtenir a priori le consentement de tout individu visé par une collecte, une utilisation, une communication ou une divulgation (non-accidentelle) de renseignements personnels à moins qu’il ne soit pas approprié de le faire.

L’Entreprise a l’obligation de ne recueillir que les renseignements personnels qu’il peut démontrer comme étant utiles à un ou des processus d’affaires de l’Entreprise.

L’Entreprise a l’obligation de détruire ou rendre anonymes les renseignements personnels une fois qu’ils ne sont plus nécessaires aux fins pour lesquelles ils ont été recueillis.

L’Entreprise a l’obligation de divulguer l’existence, la nature et l’utilisation faites des renseignements personnels sous sa responsabilité au propriétaire des renseignements personnels visés qui en fait la demande.

L’Entreprise a l’obligation de permettre la consultation des renseignements personnels sous sa responsabilité, au propriétaire des renseignements personnels visés, qui en fait la demande.

Inventaire des renseignements personnels
L’Entreprise a l’obligation de créer, mettre en place et documenter et maintenir un inventaire des renseignements personnels sous sa responsabilité. Cet inventaire doit traiter des caractéristiques suivantes pour chacun des renseignements personnels sous sa responsabilité:
Lieux d’entreposage
Description des renseignements personnels
Support utilisé pour la conservation
Types de renseignements personnels
Schéma d’accès aux renseignements personnels visés
Classification du renseignement personnel
Liste des contrôles appliqués aux renseignements personnels visés
Durée de conservation maximale
Méthode de destruction prescrite

L’Entreprise a l’obligation de maintenir l’exactitude des renseignements personnels contenus dans l’inventaire.

L’Entreprise a l’obligation de maintenir l’exactitude de l’inventaire visant les renseignements personnels afin de satisfaire aux exigences législatives en matière d’utilisation, de conversation et de destruction des renseignements personnels.

Protection des renseignements personnels

L’Entreprise a l’obligation de créer, mettre en place, documenter et maintenir un processus de gestion du risque appliqué à la protection des renseignements personnels. Ce processus de gestion des risques doit traiter des caractéristiques suivantes pour chacun des risques:
Date d’identification
Personne rapportant
Type de menace
Type de vulnérabilité
Actifs informationnels visés
Mesure d’impact du risque
Mesure de probabilité du risque
Contrôles de sécurité en place
Identification des risques résiduels
Contrôles de sécurité à mettre en place
Plan d’action sur les risques résiduels
Responsable du risque visé

L’Entreprise a l’obligation de mettre en place et d’utiliser les contrôles de sécurité nécessaires et prescrits par niveau de classification des renseignements personnels.

L’Entreprise a l’obligation de mesurer l’efficacité des contrôles de sécurité en place en tout temps.

L’Entreprise a l’obligation d’utiliser et de maintenir les systèmes, les outils technologiques et l’expertise nécessaires à la protection des renseignements personnels.

L’Entreprise a l’obligation de créer, mettre en place et entretenir un schéma d’accès aux renseignements personnels restrictif. Ce schéma doit veiller à ce que les individus aient seulement un accès minimal aux renseignements personnels nécessaires à l’accomplissement de leurs tâches, et seulement en temps opportuns. Ce schéma d’accès doit traiter des caractéristiques suivantes pour chacun des accès:
Individu ou groupe visé par l’accès
Renseignement personnel visé par l’accès
Type de renseignement personnel
Type de support contenant le renseignement personnel
Type d’accès (écriture / lecture / suppression)
Date d’entrée en fonction de l’accès
Dernière date de modification de l’accès
Date de péremption de l’accès

Utilisation des renseignements personnels
L’Entreprise a l’obligation de s’assurer que les renseignements personnels ne soient pas utilisés autrement que de la manière déclarée lors de la collecte de ces renseignements personnels.

L’Entreprise a l’obligation de ne pas vendre, louer ou échanger les renseignements personnels sans le consentement explicite du propriétaire des renseignements personnels.

L’Entreprise a l’obligation d’obtenir le consentement du responsable à la protection des renseignements personnels avant toute communication interne ou externe des renseignements personnels.

L’Entreprise a l’obligation de mettre en place, d’utiliser et de maintenir les processus formels et nécessaires à la communication interne et externe des renseignements personnels. Cette obligation contient des exceptions prévues par les lois et réglementations en vigueur.

L’Entreprise a l’obligation de mettre en place, d’utiliser et de maintenir une liste de tous les tierces parties impliquées dans la collecte, le traitement ou la communication des renseignements personnels. Cette liste doit traiter des caractéristiques suivantes pour chacune des tierces parties:
Tierces parties visées par l’accès
Renseignement personnel visé par l’accès
Type de renseignement personnel
Type de support contenant le renseignement personnel
Localisation géographique du stockage du renseignement personnel chez la tierce partie
Type d’utilisation du renseignement personnel
Type d’accès (écriture / lecture / suppression)
Date d’entrée en fonction de l’accès
Date de péremption de l’accès

L’Entreprise a l’obligation d’utiliser des ententes contractuelles avec les tierces parties encadrant toute action affectant les renseignements personnels sous la responsabilité de l’Entreprise. Ces ententes définissent les obligations et les responsabilités de chacune des parties.

Transfert de données hors Québec
L’Entreprise a l’obligation de limiter le transfert de renseignements personnels transfrontaliers sans égard au support.

L’Entreprise a l’obligation, dans l’inévitabilité d’un transfert de renseignements personnels transfrontalier, d’informer le propriétaire des renseignements personnels et d’obtenir son consentement a priori.

L’Entreprise a l’obligation de veiller à ce que toutes les exigences légales pour les transferts de renseignements personnels transfrontaliers soient respectées avant qu’un transfert ait lieu. Une évaluation des facteurs de la vie privée (E.F.V.P.) sera produite pour chaque cas.

Consentement

Avant de procéder à la collecte, l’utilisation, la communication ou à la divulgation volontaire de renseignements personnels, l’Entreprise doit obtenir le consentement du propriétaire des renseignements personnels visés.

Caractéristiques du consentement
L’Entreprise a l’obligation d’obtenir un consentement manifeste: de sorte que la personne potentiellement consentante puisse comprendre de manière évidente l’objet du consentement.

L’Entreprise a l’obligation d’obtenir un consentement libre: de sorte que la personne potentiellement consentante ne subisse aucune coercition ou contrainte et agisse de sa propre volonté.

L’Entreprise a l’obligation d’obtenir un consentement éclairé: de sorte que la personne potentiellement consentante puisse effectuer un choix en connaissance des implications et des conséquences évidentes de son choix.

L’Entreprise a l’obligation d’obtenir un consentement spécifique: de sorte que la personne potentiellement consentante puisse consentir à un objectif précis et clairement circonscrit.

L’Entreprise a l’obligation d’obtenir un consentement granulaire: de sorte que la personne potentiellement consentante puisse consentir à chaque fin particulière.

L’Entreprise a l’obligation d’obtenir un consentement compréhensible: de sorte que la personne potentiellement consentante puisse consentir à des termes simples et clairs.

L’Entreprise a l’obligation d’obtenir un consentement distinct: de sorte que la personne potentiellement consentante puisse consentir distinctement de toute autre information, lorsque la demande est faite par écrit.

L’Entreprise a l’obligation d’obtenir un consentement temporaire: de sorte que la personne potentiellement consentante puisse consentir pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.

L’Entreprise a l’obligation de fournir un mécanisme simple permettant à l’individu de retirer son consentement à tout moment et pour toutes fins et de l’informer des conséquences d’un retrait. Ce mécanisme doit être accessible à tous et publiciser.

Consentement des mineurs
Au Québec, est considéré mineur toute personne de moins de 18 ans.

Si le mineur a moins de 14 ans, le consentement à l’utilisation ou à la communication de ses renseignements personnels devra être donné par le parent ou le titulaire de l’autorité parentale.

Si le mineur a 14 ans ou plus, le consentement pourra être donné par le mineur lui-même ou par le parent ou le titulaire de l’autorité parentale.

Si cette collecte est manifestement au bénéfice du mineur, l’Entreprise pourra toutefois procéder à cette collecte sans consentement parental.

Exceptions au consentement
Quand la santé ou la sécurité d’une personne est menacée par une situation urgente et dangereuse:

L’Entreprise peut communiquer les renseignements personnels de cette personne sans son consentement à toute personne à qui cette communication doit être faite.

L’Entreprise doit établir le caractère urgent et dangereux de la situation pour qu’elle puisse communiquer les renseignements sans consentement.

Dans le but de prévenir un acte de violence, dont un suicide, l’Entreprise peut:
Communiquer des renseignements personnels sans le consentement des personnes concernées. Cette communication doit cependant se limiter aux personnes exposées à ce danger, à leur représentant et à toute personne susceptible de leur porter secours, par exemple un policier, un centre de prévention du suicide, l’intervenant d’un CLSC, la DPJ, un professionnel de la santé, etc.

Autres considérations

Afin de se conformer aux exigences légales de la LPRPSP, d’autres éléments sont à considérer.

L’Entreprise a l’obligation de mettre en place, utiliser et maintenir un processus de gestion des incidents des actifs informationnels.

L’Entreprise a l’obligation de mettre en place, utiliser et maintenir une politique sur la classification des données générales; incluant la classification des renseignements personnels.

L’Entreprise a l’obligation de mettre en place, utiliser et maintenir une politique sur la gestion des demandes et des plaintes visant la gestion des renseignements personnels.

L’Entreprise a l’obligation de mettre en place, utiliser et maintenir une politique sur la formation et le sensibilisation des risques visant les renseignements personnels.

CONFORMITÉ

Mesures de conformité

L’Entreprise établit cette politique et s’assure qu’on y adhère et s’y conforme en utilisant:
Des outils de contrôle
Des audits internes et externes
De la rétroaction au responsable de la politique

Exceptions

Toute exception à ces lignes directrices doit préalablement faire l’objet d’une demande par écrit et approuvée par l’Entreprise en utilisant les documents appropriés.
Toute exception sans Autorisation préalable sera traitée comme un cas de non-conformité à ces lignes directrices.

Non-conformité

Quiconque déroge significativement de ces lignes directrices peut faire l’objet de mesures disciplinaires pouvant aller jusqu’à la cessation du lien d’emploi.

RÉVISION

La présente politique sera révisée dans un délai de 2 ans ou au besoin suivant des changements contractuels, légaux, ou contextuels. En cas de modification ou mise à jour de la présente politique, vous serez informés par un affichage sur le site.