Politique de confidentialité
- Objet
- Domaine d’application
- Définitions des termes
- Consentement
- Activités de la société
- Collecte et traitement
- Témoins de connexion (« cookies »)
- Conservation, transfert et destruction
- Mesures de sûreté et de sécurité
- Garantie des droits de la personne concernée
- Responsable de la protection des renseignements personnels
- Évaluations des facteurs relatifs a la vie privée
- Incident de confidentialité
- Gestion des plaintes et réclamations
- Modification(s) de la politique
Introduction
La Société s’engage à respecter l’ensemble des nouvelles obligations imposées par le Gouvernement du Québec, visant à protéger et à assurer la confidentialité des Renseignements personnels (« Renseignements ») que la Société collecte dans le cadre de ses activités, directement auprès de la Personne concernée ou indirectement auprès d’un
tiers.
La Société reconnaît l’importance d’édicter des règles de gouvernance sur la protection des Renseignements qu’elle détient, la Société garantie que l’ensemble des Renseignements collectés et traités sont strictement nécessaires à l’exercice de ses activités, en l’absence de collecte de ces Renseignements, la Société ne pourrait pas accomplir ses missions.
Dans ce contexte, la Société s’engage à prendre des mesures de sécurité dès la collecte d’un renseignement et jusqu’à sa destruction, anonymisation, dépersonnalisation ou conservation en fonction du type de renseignement concerné et, en fonction des délais prévus par la loi ou par un calendrier de conservation établi par règlement du gouvernement, ou en l’absence d’un tel calendrier, par le délai de conservation déterminé par la Société.
1.Objet
La Politique encadre la gouvernance des Renseignements dont la Société est responsable, et respecte les dispositions du Code civil du Québec, de la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c. P-39.1 (« Loi sur le privé »), de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c. A-2.1 (« Loi sur l’accès ») et leur(s) règlement(s) associé(s), ainsi que du projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, 2021 chapitre 25 (« Loi 25 »). La Société garantie la confidentialité des Renseignements collectés et conservés dans le cadre de ses activités.
La Politique assure et garantie l’exercice des droits de la personne concernée.
2.Domaine d’application
La Politique s’applique à l’ensemble des Renseignements collectés par la Société, qu’il s’agisse des Renseignements relatifs aux clients, au personnel de la Société, aux candidats à
un emploi ouvert par la Société ou à toute autre personne dont la Société collecte des Renseignements personnels. Les Renseignements de nature purement professionnelle ne sont pas concernés par la Politique. La Politique est accessible et disponible à tout moment sur notre site web en vous rendant à l’adresse : https://www.dionrheaume.com/
3.Définitions des termes
Pour une meilleure compréhension des termes employés dans la Politique, la Société a décidé de mettre en exergue quelques définitions, si vous souhaitez en savoir plus nous vous invitons à vous rendre sur le site web de la Commission d’accès à l’information.
Commission d’Accès à l’Information
La Commission d’accès à l’information du Québec est à la fois un tribunal administratif et un organisme de surveillance qui veille à l’application de la Loi sur l’accès et de la Loi sur le privé, disposant d’un pouvoir décisionnaire en matière de protection des Renseignements personnels1.
Confidentialité par défaut d’un Renseignement personnel
Les Renseignements personnels sont confidentiels. Leur confidentialité découle du droit à la vie privée, permettant à toute personne d’exercer un contrôle sur l’utilisation et la circulation de ses Renseignements2.
Personne concernée
Personne physique identifiée ou identifiable à qui se rapportent les Renseignements personnels3.
Renseignement personnel
Est un Renseignement personnel, tout renseignement qui concerne une personne physique et permet de l’identifier4.
Renseignement personnel sensible
Un Renseignement personnel est sensible lorsque, de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée5.
Responsable de la protection des Renseignements personnels
Le responsable de la protection des Renseignements personnels met en place des outils et des mesures préventives avec pour seule finalité la protection des Renseignements personnels. Il est informé de toute violation ou tentative de violation de confidentialité. Il est le contact privilégié des Personnes concernées souhaitant utiliser leurs droits d’accès, de rectification, de retrait ou de plainte. Il prend part à l’approbation des pratiques et Politiques de la Société encadrant sa gouvernance à l’égard des Renseignements personnels6.
Traitement des Renseignements personnels
Un traitement de Renseignements personnels se définit comme toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Renseignements ou des ensembles de Renseignements personnels, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la
modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction7.
Un traitement de Renseignements personnels n’est pas nécessairement informatisé : les fichiers papiers sont également concernés et doivent être protégés dans les mêmes conditions.
Un traitement de Renseignements personnels doit avoir un objectif et une finalité déterminée préalablement au recueil des Renseignements et à leur utilisation.
4.Consentement
La Société s’engage à utiliser les Renseignements personnels collectés avec le consentement de la Personne concernée, uniquement pour les finalités pour lesquelles ils ont été recueillis, sauf en cas de consentement exprès de la Personne concernée. Dans certains cas limitativement prévus par la loi, la Société peut utiliser un Renseignement
personnel à une autre fin sans le consentement de la Personne concernée. La Société précise que l’alinéa précédent ne s’applique pas en présence de Renseignement personnel sensible, dans ce cas, le consentement de la Personne concernée doit être manifeste et exprès, sans exception.
Consentement à la collecte de Renseignements personnels directement auprès de la Personne concernée :
La Société collecte les Renseignements personnels directement auprès de la Personne concernée, lorsqu’il s’agit des clients, du personnel de la Société et des candidats à un
emploi ouvert par la Société.
La Société informe par tout moyen les personnes mentionnées ci-dessus avant de collecter leurs Renseignements personnels :
- Des finalités de la collecte
- Des moyens utilisés pour recueillir leur consentement
- Des droits d’accès et de rectification
- Du droit de retirer leur consentement
- Des catégories de personnes ayant accès à leurs Renseignements personnels
- De la durée de conservation des Renseignements personnels
- Des coordonnées du Responsable de la protection des Renseignements personnels
La Société précise que si vous fournissez volontairement des Renseignements personnels vous concernant et que vous ne vous opposez pas à leur collecte, cela vaut consentement à la collecte.
Consentement à la collecte de Renseignements personnels indirectement auprès d’un tiers :
La Société peut collecter des Renseignements personnels indirectement auprès de deux catégories de tiers, les filiales et les partenaires commerciaux, dans le cadre d’accords commerciaux ces deux catégories de tiers peuvent transférer à la Société des Renseignements personnels relatifs à leurs clients, afin de répondre à des demandes qui correspondent aux activités de la Société.
Les filiales et partenaires commerciaux communiquent les Renseignements personnels de leurs clients strictement nécessaires à la Société pour exécuter ses activités.
Un contrat est conclu entre la Société et les filiales et la Société et les partenaires commerciaux pour assurer la protection des Renseignements personnels communiqués et
répartir la responsabilité de chacun :
Les filiales et partenaires commerciaux s’engagent à collecter les Renseignements personnels de leurs clients, en obtenant en amont leur consentement, conformément à la règlementation sur la protection des Renseignements personnels en vigueur dans la province de Québec. Les filiales et partenaires commerciaux doivent informer leurs clients
des finalités de la collecte et du transfert de leurs Renseignements personnels vers la Société.
La Société s’engage à protéger la confidentialité des Renseignements personnels et garantie la confidentialité des Renseignements personnels dès leur réception, et pendant toute la durée de leur utilisation.
5.Activités de la société
La Société procède à la collecte des Renseignements personnels strictement nécessaires à l’accomplissement des activités listées ci-après :
Droit des affaires :
- Droit de la protection des Renseignements personnels
- Fusions-acquisitions
- Droit des contrats
- Droit corporatif
- Droit immobilier
Droit notarial :
- Droit de la personne
- Droit de la famille (succession, mariage, divorce à l’amiable, médiation, testament et
autre) - Hypothèques mobilières et immobilières
- Mandat de protection
- Procédures non contentieuses
- Droit immobilier
Droit de l’immigration :
- Procédures et règlementations relatives au droit d’entrer sur le territoire Canadien
- Droit du travail
- Procédures et règlementations relatives au droit de travailler sur le territoire Canadien
Gestion des ressources humaines :
- Gestion de la paie
- Gestion du personnel
- Gestion du recrutement
- Déclaration aux impôts
- Gestion du contenu du site web : https://www.dionrheaume.com/
6.Collecte et traitement
Dans le cadre de ses activités et de la gestion de son personnel, la Société est susceptible de recueillir les Renseignements personnels suivants :
Renseignements relatifs aux clients pour les activités en Droit des affaires :
- Numéro de téléphone ;
- Date de naissance ;
- Prénom et nom ;
- Adresse postale ;
- Adresse courriel ;
- Carte d’identité ;
- État civil ;
- Numéro d’assurance sociale ;
- Liste des employés avec indication du montant des salaires (uniquement dans le cadre des Fusions-acquisitions).
Renseignements relatifs aux clients pour les activités en Droit notarial :
- Numéro de téléphone ;
- Date de naissance ;
- Prénom et nom ;
- Adresse postale ;
- Adresse courriel ;
- Carte d’identité ;
- Numéro d’assurance sociale ;
- Numéro d’assurance maladie ;
- État civil ;
- Certificat de mariage ;
- Jugement de divorce ;
- Régime de protection ;
- Certificat de naissance ;
- Tout renseignement relatif à la filiation ;
- Testament ;
- Certificat de décès ;
- Billet de médecin dans le cadre des mandats de protection (avec uniquement la mention de l’état de capacité ou d’incapacité de la personne concernée) ;
- État des finances détaillé (actif/passif) dans le cadre des successions ;
- Tout renseignement transmit par le liquidateur sur l’état des finances du défunt. Le notaire peut également procéder à une enquête « Equifax », avec le consentement du liquidateur et obtenir des Renseignements sur l’état des finances.
Renseignements relatifs aux clients pour les activités en Droit de l’immigration :
- Numéro de téléphone ;
- Date de naissance ;
- Prénom et nom ;
- Adresse postale ;
- Adresse courriel ;
- Carte d’identité ;
- Photographies ;
- Certificat de mariage ;
- Jugement de divorce ;
- Certificat de naissance ;
- État civil ;
- Diplômes et relevés de notes ;
- Curriculum Vitae (CV) ;
- Renseignements sur le parcours scolaire et professionnel ;
- Attestation d’employeur.
Renseignements relatifs à la gestion des ressources humaines de la Société :
- Diplômes et relevés de notes ;
- Curriculum Vitae (CV) ;
- Renseignements sur le parcours scolaire et professionnel ;
- Renseignements relatifs à la présence d’un arrêt maladie (sans aucun détail sur l’état de santé, ni information de la maladie) ;
- Photographie (uniquement pour la publication sur le site internet de la Société) ;
- Numéro d’assurance sociale ;
- Numéro de téléphone ;
- Spécimen chèques ;
- Date de naissance ;
- Nom et prénom ;
- Adrese postale ;
- Adresse courriel ;
- Salaires ;
- Permis de travail ;
- Coordonnées personne contact en cas de problème ;
- Opinion dans le cadre d’une enquête de satisfaction ou d’une consultation.
La Société précise que cette liste est non exhaustive et que d’autres Renseignements personnels peuvent également être demandés, la Société garantie que ces Renseignements sont strictement nécessaires à l’exercice de ses activités.
La Société dispose de différents modes de recueillement des Renseignements :
- Courriels reçus via les applications de messageries suivantes : « Outlook » ou « Zimbra » ;
- Formulaire et dépôt de pièces en ligne sur la plateforme web sécurisée de notre prestataire « Zoho » ;
- Remise en version papier, en main propre ou par courrier postal ;
- Appel téléphonique ;
- Transmission par un tiers par courriel ou par téléphone (filiale ou un partenaire commercial) ;
- Témoins de connexions ou cookies (site web de la Société).
L’ensemble des collectes effectuées par la Société sont réalisées pour des finalités déterminées (qui peuvent être principales ou secondaires) et strictement nécessaires à l’accomplissement des missions de la Société dans le cadre de ses relations avec les clients où, dans le cadre de ses relations avec son personnel
Renseignements relatifs aux clients en Droit des affaires :
- Authentification du client et vérification de la qualité pour agir ;
- Préparation et rédaction d’actes juridiques et réalisation de formalités pour tout type de dossiers relatifs à des Sociétés par actions provinciales ou fédérales (corporations) principalement, mais également pour répondre aux demandes de toutes forme d’entreprise à but lucratif ou non (Société en nom collectif, Société en commandite, Société en participation, Personne morale sans but lucratif, Syndicat de copropriété, Association, Groupement de personne, Coopérative, fiducie, organisme sans but lucratif (OSBL) et organisation à but non lucratif (OBNL)) ;
- Certains Renseignements peuvent être transférés par la Société à des institutions publiques pour répondre aux obligations de transparence des entreprises et pour effectuer les demandes des clients ;
- Communications aux clients des évolutions législatives et des nouvelles obligations à respecter en matière de droit des affaires.
Renseignements relatifs aux clients en Droit notarial :
- Authentification du client et vérification de la qualité pour agir ;
- Vérification de la capacité à agir ;
- Préparation et rédaction d’actes juridiques et réalisation de formalités pour tout type de dossiers relatifs à des achats ou ventes immobilières, hypothèques mobilières ou
immobilières, succession, testament, mandat de protection, droit corporatif, procédure non contentieuse, prescription acquisitive, vérification auprès de la Cour de Québec, divorce à l’amiable, médiation et contrat de mariage ; - Certains Renseignements peuvent être transférés par la Société à des institutions publiques, vers des organismes financiers ou vers pour répondre aux demandes des clients ;
- Communications aux clients des évolutions législatives et des nouvelles obligations àrespecter en matière de droit notarial.
Renseignements relatifs aux clients en Droit de l’immigration :
- Authentification du client et vérification de la qualité pour agir ;
- Préparation et rédaction d’actes juridiques et réalisation de formalités pour tout type de dossiers relatifs à des demandes de permis de travail et autre forme d’autorisation d’entrer sur le territoire canadien ;
- Certains Renseignements sont transférés par la Société aux institutions publiques du service de l’immigration, pour répondre aux demandes des clients ;
- Communications aux clients des évolutions législatives et des nouvelles obligations à respecter en matière de droit de l’immigration.
Renseignements relatifs au personnel de la Société :
- Gestion du personnel, gestion de la paie, ordre de virement à l’institution financière, déclaration aux impôts, gestion administrative des dossiers du personnel ;
- Gestion des recrutements, vérifications du parcours universitaire et professionnel, et vérification des références.
Quel que soit le(s) types de collecte(s) de renseignement(s) effectué(s) par la Société, la Société s’engage à respecter l’ensemble des règlementations en vigueur en matière de protection des Renseignements personnels, et s’assure de leur confidentialité tout au long du processus de collecte.
7.Témoins de connexion (« cookies »)
Sur le site web de la Société : https://www.dionrheaume.com/ une bannière s’affiche dès votre entrée pour demander votre consentement à l’utilisation des cookies présents sur le site web. Vous pouvez « Accepter » ou « Refuser » les cookies facultatifs présents sur le site web. Certains cookies sont obligatoires et nécessaires au fonctionnement de notre site Web.
Ces cookies ne nécessitent pas votre consentement car ils fonctionnent toujours. Veuillez garder à l’esprit qu’en acceptant les cookies requis, vous acceptez également les cookies tiers, qui peuvent être utilisés via des services fournis par des tiers.
La Société utilise les cookies uniquement pour les finalités suivantes :
- Collecter, stocker et suivre des informations à des fins statistiques ou marketing ;
- Faire fonctionner notre site Web ;
- Améliorer et personnaliser le contenu du site web.
La Société et ses partenaires utilisent les cookies ou des technologies similaires pour stocker, accéder et traiter des Renseignements personnels non sensibles tels que vos visites sur notre site Web, les adresses IP et les identifiants des cookies, pour améliorer nos services et afficher des publicités et contenus personnalisés.
Actuellement un partenaire est présent sur notre site web :
- Google Analytics Products
Les partenaires peuvent également réaliser des collectes de Renseignements personnels pour les finalités suivantes :
- Assurer la sécurité du site web ;
- Prévenir la fraude et déboguer ;
- Diffuser techniquement les publicités ou le contenu ;
- Relier différents terminaux.
Vous pouvez « Autoriser » ou « Refuser » les cookies des partenaires de la Société.
Pour plus d’informations sur l’utilisation de notre site web, nous vous invitons à vous rendre à la rubrique « Termes et conditions » de notre site web.
8.Conservation, transfert et destruction
Transfert de données vers l’hébergeur Microsoft
La Société a recours à des transferts continus de Renseignements vers deux hébergeurs situés à Ville de Québec et à Toronto, pour effectuer du stockage de Renseignements personnels. Seuls les services « Exchange Online Protection » et « Viva Connections » sont stockés aux États-Unis. Il est interdit au prestataire d’utiliser les Renseignements personnels à des fins autres que celles d’exécuter un service d’hébergement.
Transfert de Renseignements vers d’autres prestataires
La Société a recours à des transferts de Renseignements nécessaires, vers d’autres prestataires pour répondre à différents besoins dans le cadre de ses activités :
- « Zoho »
Fonction : Logiciel de gestion de la relation client (CRM)
Localisation : 4141 Hacienda Drive Pleasanton, Californie 94 588, USA
Mesure de sécurité complémentaire : Règles contraignantes d’entreprise (Binding Corporate
Rules) conformément au RGPD. - « Procardex » :
Fonction : Logiciel de gestion conçu pour les notaires et recommandé par la Chambre des
notaires.
Localisation des Renseignements : Canada - « ConsignO Cloud » :
Fonction : Signature de documents, recommandé par la Chambre des notaires.
Localisation des Renseignements : Canada - « Sunlife » :
Fonction : assurance santé souscrite par l’employeur pour son personnel
Localisation des Renseignements : ______________ - Docusign :
Fonction : Signature de documents.
Localisation des Renseignements : Etats-Unis et pays tiers
Mesure de sécurité complémentaire : Règles contraignantes d’entreprise (Binding Corporate Rules) conformément au RGPD.
Hébergement de Renseignements au sein de la Société
La Société conserve certains Renseignements exclusivement à son siège pour des raisons de confidentialité, ils sont conservés pour une durée limitée, en format papier ou dématérialisé, avec un accès limité à certaines personnes.
La Société s’est assurée que chaque prestataire de services destinataire de Renseignements dispose d’une gouvernance en matière de confidentialité des Renseignements et assure un niveau de protection suffisant.
Durée de conservation des Renseignements
La Société s’engage à ne conserver les Renseignements que pour une durée strictement nécessaire à l’objet du dossier, et garantie leur accessibilité pendant toute leur période de conservation à la Personne concernée sur demande écrite (voir partie « Garantie des droits de la Personne concernée »).
La Société garantie que les Renseignements collectés seront conservés après usage par la Société, pendant une période suffisante pour permettre à la Personne concernée d’exercer ses droits (voir partie « Garantie des droits de la personne concernée »).
En dehors des cas où un délai de conservation est prévu par la Loi ou par un calendrier de conservation établi par règlement du gouvernement, la Société a mis en œuvre des règles de gouvernance en interne encadrant la durée de conservation, la dépersonnalisation ou la destruction des Renseignements personnels collectés. L’ensemble des Renseignements collectés par la Société sont identifiés et une durée de conservation leur est attribuée au regard de plusieurs critères tels que la catégorie de renseignement, le type de collecte, la finalité de la collecte, cette liste est non exhaustive et la Société détermine au cas par cas une durée de conservation adéquate.
9.Mesures de sûreté et de sécurité
La Société s’engage à mettre en place toutes les mesures de suretés et de sécurité afin de prévenir toute intrusion et violation des Renseignements personnels, tels que :
- Identification d’une personne autorisée à avoir accès aux Renseignements
- Gestion des accès du personnel de la Société aux Renseignements
- Durée de conservation déterminée pour chaque renseignement
- Sauvegarde des Renseignements chez un prestataire externe
- Mise en place de logiciels anti-intrusion
La Société précise que cette liste est non exhaustive.
La Société s’engage à prendre les mesures de sûreté et de sécurité propres à assurer par défaut le plus haut niveau de confidentialité aux Renseignements personnels utilisés, conservés, communiqués ou détruits et qui sont raisonnables compte tenu de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.
La Société garantie que toute collecte de renseignement se fera en conformité avec les règles de confidentialité et de sécurité édictées par la Loi sur le privé. La Société garantie que les Renseignements personnels ne sont accessibles qu’à un personnel limité, et que ce personnel n’a accès qu’aux Renseignements lui permettant d’effectuer ses missions conformément aux pouvoirs et latitudes qui lui seront conférés.
10.Garantie des droits de la personne concernée
La Société garantie le respect de l’ensemble des droits de la Personne concernée.
La Société précise que la demande d’accès, de rectification ou de retrait des Renseignements ne pourra être considérée que si elle est faite par écrit, par une personne justifiant de son identité.
La Société s’engage à répondre à cette demande avec diligence, au plus tard dans les trente (30) jours de la date de réception de la demande.
La Société peut également refuser la demande d’accès ou de retrait des Renseignements pour des motifs légitimes, elle notifiera par écrit le motif légitime de son refus et informera la Personne concernée de ses voies de recours.
Droit d’accès
La Société s’engage à fournir à toute personne qui en fait la demande, les informations qu’elle détient sur elle, dans un format compréhensible. La Personne concernée peut en faire la demande écrite à tout moment en utilisant le formulaire disponible sur le site de la Commission d’accès à l’information, à compléter et à adresser à l’attention de notre Responsable de la protection des Renseignements personnels.
Des frais raisonnables peuvent être exigés par la Société pour la transcription, la reproduction ou la transmission de ces Renseignements. Le montant approximatif exigible sera indiqué à la Personne concernée avant la transmission des Renseignements.
Droit de rectification et de retrait
La Société s’engage à rectifier ou à retirer les Renseignements personnels de toute personne qui en fait la demande, une copie de tout renseignement personnel modifié, ajouté ou une attestation du retrait, sera notifiée à la Personne concernée. La Personne concernée peut en faire la demande écrite à tout moment en utilisant le formulaire disponible sur le site de la Commission d’accès à l’information à compléter et à adresser à l’attention de notre Responsable de la protection des Renseignements personnels.
Droit de faire retrancher d’une liste nominative
La Société s’engage à faire retrancher d’une liste nominative les Renseignements personnels de toute personne qui en fait la demande. La Personne concernée peut en faire la demande
à tout moment, la demande peut être verbale ou écrite en utilisant le formulaire disponible sur le site de la Commission d’accès à l’information à compléter et à adresser à l’attention de notre Responsable de la protection des Renseignements personnels.
Si la réponse que la Société apporte ne vous convient pas, vous avez toujours la possibilité de saisir la Commission d’accès à l’information en utilisant le formulaire de demande d’examen en cas de mésentente, disponible sur le site de la Commission d’Accès à l’Information.
11.Responsable de la protection des renseignements personnels
Le Responsable de la protection des renseignements personnels est garant du respect par la Société des politiques et pratiques encadrant la gouvernance des Renseignements personnels.
Toute modification de la Politique doit faire l’objet d’une approbation par le Responsable de la protection des Renseignements personnels avant d’être communiquée.
Pour l’exercice de vos droits et pour toute question relative à la protection de vos Renseignements personnels, vous devez adresser vos demandes à notre Responsable de la
protection des Renseignements personnels Monsieur Richard Dion, à l’adresse suivante :
Adresse postale :
580 Grande Allée Est, bureau 20
Québec (Québec) G1R 2K2
Canada
Courriel : rdion@dionrheaume.com
Téléphone : 418 529 6888 (poste 301)
Ses coordonnées sont également publiées sur le site web de la Société rubrique « Contact » :
https://www.dionrheaume.com/
12.Évaluations des facteurs relatifs a la vie privée
La Société pratique une évaluation des facteurs relatifs à la vie privée pour chaque nouveau projet impliquant un ou plusieurs traitements de Renseignements personnels, tels que :
- Le développement d’un nouveau système d’information ou d’une technique de personnalisation d’un produit ou d’un service ;
- L’acquisition d’un système d’intelligence artificielle ou de caméras de surveillance ;
- Le stockage de Renseignements personnels dans un centre infonuagique situé à l’extérieur du Québec ;
- La communication de Renseignements personnels à un tiers, sans le consentement des personnes concernées, pour une utilisation à des fins d’étude, de recherche ou de production de statistiques.
La Société précise qu’il s’agit d’une liste non exhaustive et qu’elle réalisera une évaluation des facteurs relatifs à la vie privée sur avis du Responsable de la protection des
Renseignements personnels, pour tout projet qui touche à la protection des Renseignements personnels. La Société consultera dès le début du projet le Responsable de la protection des Renseignements personnels.
Les outils utilisés pour effectuer l’évaluation sont mis en place et élaborés en collaborationavec l’ensemble des services de la Société concernée et le Responsable de la protection des
Renseignements personnels. Ils sont adaptés au niveau de sensibilité des Renseignements, à leur finalité, à leur quantité, à leur répartition et à leur support.
13.Incident de confidentialité
Un incident de confidentialité se définit comme l’accès, l’utilisation ou la communication non autorisée de Renseignements personnels, la perte de Renseignements personnels ou toute autre atteinte à la protection de Renseignements personnels8.
Dès que la Société identifie ou à connaissance d’un incident de confidentialité, elle applique sans délai des mesures de sécurité avec l’accompagnement du Responsable de la protection des Renseignements personnels et prend des dispositions pour diminuer les risques qu’un préjudice soit causé, et éviter que de nouveaux incidents de même nature ne se produisent.
La Société informe la Commission d’accès à I ’Information une fois l’identification d’un incident de confidentialité et avant de procéder à l’évaluation des risques. La Société mentionne tous les Renseignements dont elle a connaissance (description des Renseignements personnels visés ou explication de l’impossibilité de fournir une telle description, les circonstances de l’incident, la date approximative). En fonction du type d’incident de confidentialité, la Société avisera les services de police.
La Société désigne une Personne ou une équipe responsable de la gestion de la situation, en charge d’informer les intervenants.
La Société mène toutes les actions utiles pour limiter l’atteinte à la vie privée et procède à une évaluation des risques.
La Société avisera les personnes concernées par l’incident de confidentialité si le résultat de l’évaluation indique qu’un risque de préjudice sérieux est causé.
La Société informera en continue la Commission d’accès à l’information de toutes les nouvelles mesures de sécurité prises et actions menées suite à l’incident de confidentialité.
La Société prendra toutes les mesures nécessaires pour diminuer les risques de survenance d’un tel incident de confidentialité, elle conservera à jour un registre des incidents de confidentialité intervenus au sein de la Société et le tiendra à la disposition de la Commission d’accès à l’information sur demande. Le but étant de diminuer les risques en améliorant les mesures de cybersécurité mises en place et en anticipant les éventuelles failles.
Les Renseignements personnels contenus dans ce registre seront conservés pendant une période minimale de 5 ans après la date, ou la période au cours de laquelle la Société a pris connaissance de l’incident 9.
14.Gestion des plaintes et réclamations
La Société a mis en place un processus de traitement des plaintes et réclamations relatives à la protection des Renseignements personnels au sujet de la qualité de service.
La Société s’engage à traiter la plainte ou réclamation sous un délai raisonnable, en garantissant la confidentialité des Renseignements personnels.
Toute personne peut à tout moment adresser une plainte ou réclamation à l’adresse du Responsable de la gestion des plaintes : Monsieur Richard Dion
580 Grande Allée Est, bureau 20
Québec (Québec) G1R 2K2
Canada
Courriel : rdion@dionrheaume.com
Téléphone : 418 529 6888 (poste 301)
La Société s’engage à rechercher en amont un accord à l’amiable avec toute personne faisant une réclamation.
La Société par le biais du responsable de la gestion des plaintes, tient à jour un registre des plaintes afin de s’assurer du suivi du traitement des plaintes ou réclamations et d’améliorer sa Politique de confidentialité et de protection des Renseignements personnels.
Si vous estimez que la Société n’a pas suffisamment répondu à votre demande, vous pouvez faire une demande d’examen de mésentente auprès le Commission d’accès à l’information en remplissant le formulaire disponible sur le site de la Commission.
15.Modification(s) de la politique
La Société est consciente que des évolutions législatives sont en cours en matière de protection des Renseignements personnels, tant au niveau fédéral que provincial, la Société
mettra à jour la Politique en tenant compte de ces évolutions.
La Société modifiera la Politique si la fonction de représentant de la protection des Renseignements personnels est déléguée à une autre personne.
Toute modification et mise à jour de la Politique se fera dans les mêmes conditions de publication que la présente. La date de dernière mise à jour de la Politique figure sur ce document.
La Société s’engage irrévocablement et sans discussion à appliquer la Politique.
Le Responsable de la protection des Renseignements personnels a approuvé cette Politique.
Signature du Responsable de la protection des renseignements personnels :
- Politique de traitement des plaintes liées à la qualité des services de la Commission d’accès à l’information, disponible sur le site web de la Commission.
- Site web de la « Commission d’accès à l’information »
- Article 2 de la « Loi sur le privé »
- Article 2 de la « Loi sur le privé »
- Articles 13 et 110 de la « Loi 25 »
- Site web de la Commission d’accès à l’information, section entreprises privées, responsable de la protection des Renseignementspersonnels
- Article 4 alinéa 2 du « Règlement Général sur la Protections des données »
- Article 3.6 de la « Loi 25 ».
- Article 8 du « Règlement sur les incidents de confidentialité, chapitre A-2.1, r. 3.1