- Introduction
La présente politique entend répondre aux exigences de la loi et au désir de notre entreprise de respecter ses employées et d’inspirer la confiance à ses partenaires. À cette fin, notre politique présente les mesures adéquates pour protéger les renseignements personnels contre l’accès non autorisé, le vol et l’altération indueet pour assurer leur intégrité, leur confidentialité ainsi que leur disponibilité auprès des personnes admissibles seulement.
- Objectifs
Dans le cadre de ses activités, Enseignes ESM (11631276 Canada Inc.), recueille, détient, utilise et communique des renseignements personnels. Ceux-ci peuvent revêtir différent caractères (légal, administratif, financier, gestion de la clientèle, etc.) et sont essentiels à nos activités. Les objectifs de cette politique visent à :
- Assurer la protection des renseignements personnels recueillis, détenus et communiqués par notre entreprise, par de bonnes pratiques de leur gestion.
- Déployer des mesures de protection permettant de réduire les risques d’atteinte à la vie privée, tels que l’accès non autorisé aux renseignements personnels, incluant notamment le vol d’informations.
- Préserver l’intégrité de l’information, tout au long de son cycle de vie.
- Portée
La présente politique s’adresse et s’applique à toute personne physique ou morale (partenaire régulier ou occasionnel) ayant accès aux renseignements personnels, et ce, sans égard au statut de l’emploi, y compris les propriétaires, dirigeants, employés permanents ou occasionnels, administrateurs, fournisseurs etc. qui sont en relation avec l’entreprise.
- Application
Les employés sont informés de l’existence de la politique, doivent la consulter périodiquement et se conformer aux exigences qui y sont énoncées. De plus, les fournisseurs de services à qui des renseignements personnels sont confiés dans le cadre de nos activités doivent respecter les principes énoncés dans la PGRP. La direction, en collaboration avec la personne responsable de la protection des renseignements personnels (RPRP), s’assure de l’application de la PGRP et veille à instaurer au sein de l’entreprise une culture de sécurité sur les renseignements personnels.
- Renseignements concernés
La présente politique concerne tout renseignement identifiant directement ou indirectement une personne, ou susceptible de procurer des informations privées (par exemple : le statut matrimonial), voire intime (par exemple : les données médicales) sur une personne.
- Étendue
6.1. Collecte
La présente politique autorise uniquement la collecte des renseignements personnels nécessaires à l’exercice de nos différentes activités, ces derniers ne peuvent être obtenus qu’auprès des personnes autorisées, le tout à la connaissance et avec l’approbation de la personne à laquelle se rapportent les renseignements complémentaires en cause, à moins d’exigences contraires (par exemple : légales). Dans toute la mesure du possible, l’entreprise s’assure que les renseignements personnels admissibles recueillis sont exacts, à jour, fiables et traçables.
6.2. Utilisation
La présente politique requiert à déterminer les fins de la collection avant de recueillir des renseignements personnels. Elle permet la collecte, l’utilisation et la conservation de ces renseignements exclusivement aux fins pour lesquelles ils ont été demandés. Lesdits renseignements personnels pourront être communiqués uniquement aux personnes, physiques ou morales, auxquelles il est requis de les communiquer dans le cadre de nos activités, et lorsque requis, seulement sur approbation de la personne concernée par ces renseignements personnels. Toutefois, il est important de noter que certains de ceux-ci pourraient être divulgués sans l’autorisation de la personne visée dans les cas où la chose est prévue et imposée par la loi.
6.3. Protection des renseignements personnels
La présente politique prévoit que l’entreprise prend les mesures requises pour que ses dirigeants et ses employés respectent la confidentialité des renseignements personnels et les préserve de toute divulgation, tout accès ou toute utilisation non autorisée. Elle prévoit également que des ententes de confidentialité seront convenues avec tous les intervenants externes auxquels recourt notre organisation (fournisseurs, consultant, etc.). À cette fin, ont été mis au point :
- Une catégorisation des renseignements personnels permettant, notamment de les protéger en fonction de leur valeur et des risques auxquels ils sont exposés, et de limiter la divulgation des renseignements personnels aux personnes autorisées à les utiliser par nécessité, le tout afin d’assurer la confidentialité des renseignements personnels tout au long de leur cycle de vie. Cela doit se faire en respectant les exigences légales et selon le niveau de sensibilité de ces données.
- Une procédure de traitement des plaintes concernant la protection des renseignements personnels.
- Des mesures ou contrôles permettant de prévenir les incidents de confidentialité (notamment la procédure de gestion des incidents de confidentialité et le registre afférent), la fraude, les fuites d’information ou d’exfiltration, les attaques informatiques, les erreurs accidentelles, les actions délibérées et l’atteinte à la vie privée.
- Une méthode de sensibilisation des dirigeants / employés / intervenants aux risques, à la sécurité et la protection des renseignements personnels, notamment en offrant des formations adaptées sur la gestion des renseignements personnels, sur leur rôle et responsabilités à l’égard des renseignements personnels, et sur les éléments en place permettant de parer aux incidents de confidentialité.
- L’obligation de signaler sans tarder à l’autorité compétente (responsable ou comité de la protection des renseignements personnels) tout problème lié aux renseignements personnels, tel que tout incident ou tout acte susceptible de représenter un incident de confidentialité ou un incident de sécurité tel que le vol, l’intrusion abusive, la fraude, les tentatives d’accès non autorisés ou évènements de même nature.
- Une procédure permettant d’aviser la Commission sur l’accès à l’information si un incident de confidentialité présente un risque qu’un préjudice sérieux soit causé.
6.4. Conservation des renseignements personnels
La présente politique vise aussi la conservation sécuritaire des renseignements personnels. Ainsi, l’entreprise dispose de méthodes uniformisées de classement et de dénomination des documents. La conservation sécuritaire implique aussi que nous conservons sous clé des documents physiques, s’il y en a, et la conservation sécurisée des renseignements personnels détenus au format électronique.
D’autre part, la conservation des renseignements personnels durera uniquement le temps requis pour leur utilisation justifiée, à moins d’obligation légale. À cet effet, un calendrier de conservation des renseignements personnels a été défini.
6.5. Destruction des renseignements personnels
La présente politique prévoit que les renseignements personnels devenus inutiles en fonction de l’usage qui leur était assigné seront détruits de façon sécuritaire dans le respect des politiques de l’entreprise et des lois applicables. Une destruction sécuritaire implique ici que le support des renseignements personnels doit être physiquement supprimé, selon le médium de conservation, en vue de rendre impossible la récupération des dits renseignements personnels après qu’on en aura disposé. La présente disposition de destruction s’applique aussi en cas de décès de la personne concernée.
6.6. Désindexation des renseignements personnels
La présente politique prévoit, dans les cas où la chose pourrait s’appliquer, dedésindexer dans toute la mesure du possible les renseignements personnels,en les extrayant par exemple des moteurs de recherches informatiques et dusite web de l’organisation s’il y a lieu.
6.7. Droit de la personne concernée par les renseignements personnels
La présente politique entend respecter rigoureusement le droit de la personne concernée d’exiger qu’on obtienne son consentement avant d’utiliser ses renseignements personnels, de refuser de donner certains renseignements personnels, d’accéder en tout temps à ses renseignements personnels et d’obtenir des réponses aux questions qu’elle pose à propos de ses renseignements personnels.
- Rôles et responsabilités
- Le Directeur Général est responsable de l’approbation, de l’application du calendrier de conservation des renseignements personnels et le porte à l’attention de tous les dirigeants / employés / intervenants par une diffusion adéquate.
- L’adjointe administrative est responsable d’établir et mettre en œuvre des politiques et des pratiques encadrant sa gouvernance à l’égard des renseignements personnels, tenir un registre des incidents, sensibiliser le personnel, les partenaires et les tiers à la protection des renseignements personnels.
- Dirigeants / employés / intervenants : chaque personne s’engage à respecter tous les éléments de la présente politique sous peine de sanction appropriée ou disciplinaire pouvant aller jusqu’au congédiement. Elle s’engage également à signaler tout acte dont elle a connaissance, susceptible de constituer une violation réelle ou présumée des règles de sécurité ainsi que tout anomalie pouvant nuire à la sécurité et à la protection des renseignements personnels.
- Révision
La présente politique s’engage à garder à jour tout ce qui s’y rapporte et sera en conséquence révisée lorsque les circonstances l’exigeront, tout comme les mesures de protection et de sécurité qui en découlent.
Responsable de la protection des renseignements personnels
Jacques Ste-Marie
Directeur Général
418-548-3131 poste 402
info@enseigneesm.com