Politique de protection des renseignements personnels et politique de confidentialité

Politique de protection des renseignements personnels et politique de confidentialité

1. Contexte

La présente politique vise à assurer la protection des renseignements personnels et à encadrer la manière dont l’entreprise les collecte, les utilise, les communique, les conserve et les détruit ou dont, autrement, elle les gère.

De plus, elle vise à informer toute personne intéressée sur la manière dont l’entreprise traite leurs renseignements personnels.

2. Application et définitions

Cette politique s’applique à l’entreprise, ce qui inclut notamment ses dirigeants, employés, consultants, partenaires, ainsi qu’à toute personne qui, autrement, fournit des services pour le compte de l’entreprise. Elle s’applique également à l’égard du site internet de l’entreprise.

Elle vise tous les types de renseignements personnels gérés par l’entreprise, que ce soit les renseignements de ses clients, potentiels ou actuels, ses consultants, ses employés, ses membres ou toutes autres personnes (comme les visiteurs de ses sites internet ou autre).

Pour l’application des présentes, un renseignement personnel est un renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier, toutefois, les coordonnées professionnelles ou d’affaires d’une personne ne constituent pas des renseignements personnels.

Veuillez noter que les services et programmes de l’entreprise ne visent pas les personnes mineures et que l’entreprise ne collecte pas de renseignement personnels sensibles.

3. Responsabilités de l’entreprise

De manière générale, l’entreprise est responsable de la protection des renseignements personnels qu’elle détient.

Le directeur général, Yan Balthazar le responsable de la protection des renseignements personnels de l’entreprise. Il peut être joint par courriel à [email protected].

Il doit veiller à assurer le respect de la législation applicable concernant la protection des renseignements personnels et approuver, mettre en oeuvre les politiques et pratiques encadrant la gouvernance des renseignements personnels et traité les demandes et les plaintes.

Les membres du personnel, consultants et partenaires associés de l’entreprise ayant accès à des renseignements personnels ou étant autrement impliqués dans la gestion de ceux-ci doivent en assurer leur protection et respecter la présente politique.

4. Sécurité des données

L’entreprise s’engage à mettre en place des mesures de sécurité raisonnables pour assurer la protection des renseignements personnels qu’elle gère. Les mesures de sécurité en place correspondent, entre autres, à la finalité, à la quantité, à la répartition, au support et à la sensibilité des renseignements.

5. Collecte, utilisation et communication à un tier

Dans le cadre de ses activités, l’entreprise collecte généralement des coordonnées professionnelles. L’entreprise informera les personnes concernées, au moment de la collecte de renseignements personnels des fins pour lesquelles ils sont collectés et les moyens de la collecte, en plus des autres informations à fournir tel que requis par la loi.

L’entreprise applique les principes généraux suivants relativement à la collecte, l’utilisation et la communication de renseignements personnels :

Consentement :

1. 1. • De façon générale, l’entreprise collecte les renseignements personnels directement auprès de la personne concernée et avec son consentement.

Collecte :

1. 1. • Dans tous les cas, l’entreprise ne collecte des renseignements que s’il a une raison valable de le faire. De plus, la collecte ne sera limitée qu’aux renseignements nécessaires dont il a besoin pour remplir l’objectif visé.

Détention et utilisation :

1. 1. • L’entreprise veille à ce que les renseignements qu’elle détient soient à jour et exacts au moment de leur utilisation pour prendre une décision relative à la personne visée.
      • L’entreprise ne peut utiliser les renseignements personnels d’une personne que pour les raisons fournies lors de la collecte.
      • Accès limité. L’entreprise limite l’accès à un renseignement personnel aux personnes (incluant ses consultants et partenaires) pour qui ce renseignement est nécessaire dans l’exercice de leurs fonctions.

Communication a un tiers :

• 1. • Généralement, l’entreprise obtiendra le consentement de la personne concernée avant de communiquer ses renseignements personnels à un tiers.
     • Cependant, la communication des renseignements personnels à des tiers est parfois nécessaire. Ainsi, des renseignements personnels peuvent être communiqués à des tiers sans le consentement de la personne concernée dans certains cas, notamment, mais non exclusivement, dans les cas suivants:
       • organisme public (comme le gouvernement) qui, par un de ses représentants, le recueille dans l’exercice de ses attributions ou la mise en œuvre d’un programme dont il a la gestion.
       • fournisseurs de service à qui il est nécessaire de communiquer les renseignements, et ce, sans le consentement de la personne. Par exemple, ces fournisseurs de services peuvent être des organisateurs d’événements, des sous-traitants de l’entreprise désignés pour l’exécution de mandats dans les programmes administrés par l’entreprise et des fournisseurs de services infonuagiques.
       • Communication à l’extérieur du Québec : Il est possible que les renseignements personnels détenus par l’entreprise soient communiqués à l’extérieur du Québec, par exemple, lorsque l’entreprise a recours à des fournisseurs de services infonuagiques dont le ou les serveurs se situent hors Québec ou lorsque l’entreprise fait affaire avec des sous-traitants situés en dehors de la province.
  2. • Dans les deux derniers cas, l’entreprise doit avoir des contrats écrits avec ces fournisseurs qui indique les mesures qu’ils doivent prendre pour assurer la confidentialité des renseignements personnels communiqués, que l’utilisation de ces renseignements ne soit faite que dans le cadre de l’exécution du contrat et qu’ils ne peuvent conserver ces renseignements après son expiration. De plus, ces contrats doivent prévoir que les fournisseurs doivent aviser le responsable de la protection des renseignements personnels de l’entreprise de toute violation ou tentative de violation des obligations de confidentialité concernant les renseignements personnels communiqués et doivent permettre à ce responsable d’effectuer toute vérification relative à cette confidentialité.

6. Conservation et destruction des renseignements personnels

Sauf si une durée minimale de conservation est requise par la loi ou la réglementation applicable, l’entreprise ne conservera les renseignements personnels que pour la durée nécessaire à la réalisation des fins pour lesquelles ils ont été collectés.

À la fin de la durée de conservation ou lorsque les renseignements personnels ne sont plus nécessaires, l’entreprise s’assurera de les détruire.

La destruction de renseignements par l’entreprise doit être faite de façon sécuritaire, afin d’assurer la protection de ces renseignements.

7. Droits d’accès, de rectification, de retrait du consentement et plaintes

Sous réserve de certaines restrictions légales, les personnes concernées peuvent demander l’accès à leurs renseignements personnels détenus par l’entreprise, en demander leur correction, retirer leur consentement à la communication ou à l’utilisation des renseignements recueillis, les catégories de personnes qui y ont accès et leur durée de conservation.

Pour faire valoir ses droits ou soumettre une plainte, la personne concernée doit soumettre une demande écrite à cet effet, à l’adresse courriel responsable de la protection des renseignements personnels.

Le responsable de la protection des renseignements personnels de l’entreprise doit répondre par écrit à ces demandes dans les 30 jours de la date de réception de la demande. Tout refus doit être motivé et accompagné de la disposition légale justifiant le refus. Dans ces cas, la réponse doit indiquer les recours en vertu de la loi et le délai pour les exercer. Le responsable doit aider le requérant à comprendre le refus au besoin.

8. Site web et témoins de connections

Des témoins de connexion sont des fichiers de données transmis à l’ordinateur du visiteur d’un site internet par son navigateur Web lorsqu’il consulte ce site et peuvent avoir plusieurs utilités.

Les sites internet contrôlés par l’entreprise utilisent les types de témoins suivants :

1. 1. • Témoins de session: Il s’agit de témoins temporaires qui sont gardés en mémoire pour la durée de la visite du site internet seulement.
      • Témoins persistants: Ils sont gardés sur l’ordinateur jusqu’à ce qu’ils expirent et ils seront récupérés lors de la prochaine visite du site.

Certains témoins de connexion pourront être désactivés par défaut et les visiteurs pourront choisir d’activer ces fonctions ou non, lors de la consultation des sites internet de l’entreprise.

9. Approbation

La présente politique est approuvée par le responsable de la protection des renseignements personnels de GL&A, dont les coordonnées d’affaires sont les suivantes :

Responsable de la protection des renseignements personnels :
Yan Balthazar
Directeur général
[email protected]
T. +1 (514) 426-9200

Pour toute demande, question ou commentaire dans le cadre de la présente politique, veuillez communiquer avec le responsable par courriel.

10. Publication et modifications

La présente politique est publiée sur le site internet de l’entreprise, ainsi que sur tous les sites internet contrôlés et maintenus par l’entreprise, auxquels s’applique la présente politique, et ce, relativement aux renseignements personnels qui y sont recueillis.

Tableau des versions et des changements :