Politique de protection des renseignements personnels

  1. Énoncé et objectifs

En vertu de la Loi 25 qui est la Loi sur la protection des renseignements personnels dans le secteur privé, CAM Mécanique Inc. met en place sa politique de protection des renseignements personnels. Nous nous engageons à tout mettre en œuvre pour protéger vos renseignements personnels et visons à encadrer la façon dont ces informations confidentielles seront traitées.

  1. Définition

Renseignement personnel : Renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier. Par exemple, il pourrait s’agir du nom, de l’adresse, de l’adresse courriel, du numéro de téléphone, du genre ou de renseignements bancaires d’une personne, de renseignements sur sa santé, son origine ethnique, sa langue, etc.

Cette définition très large englobe la plupart des types de renseignements recueillis, notamment ceux sur la race ainsi que les antécédents médicaux, judiciaires, professionnels et financiers.

Renseignement personnel sensible : Un renseignement personnel est sensible lorsque, par sa nature, le contexte de son utilisation ou de sa communication, son degré de sensibilisation est très élevé et requiert une attention particulière quant à sa protection. Sont notamment, considérés comme sensibles les renseignements suivants : des renseignements médicaux, renseignements biométriques, génétiques ou financiers, ou, encore, des renseignements sur la vie ou l’orientation sexuelle, les convictions religieuses ou bien l’origine ethnique.

Consentement : Le consentement est l’autorisation de la personne titulaire des renseignements personnels à recueillir et utiliser ses renseignements personnels. Le consentement ne se présume pas. Il doit être manifeste, libre, éclairé et être donné à des fins spécifiques, en termes simples et clairs, pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.

Mineur : Personne âgée de moins de 18 ans.

Majeur : Personne âgée de 18 ans et plus ou personne âgée de moins de 18 ans émancipée.

  1. Types de renseignements
  • Renseignements d’identification (nom et/ou prénom, date de naissance, adresse, courriel, état civil, coordonnées, renseignements de pièces d’identités telles que permis de conduire, passeport, ou numéro d’assurance social, etc);
  • Renseignements pour confirmer l’identité (identifiant, signature, renseignement sur les comptes, etc);
  • Renseignements personnels reliés à votre personne (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, orientation sexuelle, identité de genre, etc);
  • Renseignements reliés au recrutement (curriculum vitae, scolarité, antécédents professionnels, formations, dossier médical, etc)
  • Renseignements biographiques (titre de poste, nom d’un employeur, lieux, etc)
  • Photos, contenu vidéo, contenu audio
  • Renseignements relatifs à la facturation (adresse de facturation, information de compte bancaire, données de paiement);
  • Renseignements financiers (salaire, revenus, soldes, rapports de solvabilité et cote de crédit, antécédents professionnels et financiers, etc);
  • Renseignements relatifs à des services, comme des détails des services que nous vous avons rendus;
  • Renseignements relatifs au marketing (commentaires, réponses à des sondages, interactions sur les réseaux sociaux, listes de courriels, etc);
  • Renseignements généraux (pourquoi vous faites affaire avec nous, préférences en termes de langue de communication,
  1. Fins auxquelles les renseignements personnels sont recueillis
  • Établir et gérer des relations avec nos clients;
  • Fournir nos services en termes de sous-traitant dans le domaine de la climatisation, ventilation, chauffage et réfrigération;
  • Établir des relations commerciales avec nos clients notamment pour la gestion de la facturation, l’administration de comptes, la perception et le traitement des paiements, limiter le risque d’impayés, permettre le recouvrement de paiements dus;
  • Satisfaire aux obligations légales et réglementaires;
  • Prévenir la fraude et/ou effectuer toute vérification d’antécédents requise par la loi ou la réglementation applicable;
  • Effectuer du développement et de la recherche afin de s’assurer de maintenir une sécurité du plus haut standard, de comprendre les exigences de notre clientèle pour améliorer notre offre;
  • Recruter du personnel, traiter les candidatures et évaluer le profil du ou de la candidate en lien avec les exigences du poste;
  • Tel que cela est permis ou exigé, pour toute obligation ou disposition légale ou réglementaire applicable;
  • Toute autre fin à laquelle vous avez consenti.
  1. Nos rôles, responsabilités et champs d’application de la loi

CAM Mécanique Inc. prend la responsabilité de mettre en application la présente politique et d’instaurer des mécanismes et actions pour recueillir, conserver, utiliser, communiquer et détruire les renseignements personnels que nous recueillons.

Une personne au sein de l’organisation est responsable de la protection des renseignements personnels.

Sandrine Leblanc, directrice ressources humaines

[email protected] ou 438-883-7491

La personne responsable:

  • Veillera à ce que les politiques et procédures en place soient suivies par les employés(es);
  • Établira des normes pour la classification de la sensibilité des renseignements personnels afin de déterminer le niveau de protection approprié ainsi que la méthode de conservation;
  • Assurera une communication ouverte, transparente et complète avec les employés(es) et autres personnes ayant accès aux renseignements personnels relativement aux attentes, aux bonnes pratiques et au respect des procédures et politiques en place;
  • Offrira la même formation à tous les employés(es) pour comprendre, appliquer et traiter les procédures et politiques en place;
  • S’assurera que des procédures sont en place pour aviser les personnes de toute collecte, conservation, utilisation, communication, protection ou destruction inappropriées de leurs renseignements personnels;
  • Veiller au respect du degré de conformité à la présente politique et la mettre à jour au besoin.

Les employés(es) doivent :

  • S’informer au sujet de leurs obligations quant à la conservation, l’utilisation, la communication, la protection et/ou la destruction de ces renseignements personnels;
  • Signaler toute violation de la politique en vigueur à leur supérieur(e);
  • S’informer des fins auxquelles l’information est obtenue. S’ils ne peuvent le faire, ils/elles devront de tourner vers un(e) autre employé(e) qui pourra expliquer la raison de la collecte.

Les gestionnaires, cadres et/ou superviseurs doivent, en plus des responsabilités mentionnées ci-haut :

  • Informer leurs employés quant à leurs obligations quant à la conservation, l’utilisation, la communication, la protection et/ou la destruction de ces renseignements personnels;
  • Examiner toute question portée à leur attention quant à la présente politique;
  • Aviser le/la responsable des ressources humaines lors de questions et/ou interrogations.
  1. Limite quant à la collecte quant à l’utilisation et à la divulgation de renseignements personnels

CAM Mécanique Inc. s’efforce de limiter la collecte de renseignements personnels à ce qui est strictement nécessaire afin d’accomplir les fins pour lesquelles ils sont recueillis. Soyez assurés(es) que nous ne divulguerons ni n’utiliserons vos renseignements personnels à des fins autres, à moins que vous n’y consentiez ou que la loi ne le prévoie.

De plus, nous limitons l’accès de vos renseignements personnels qu’aux personnes ayant la qualité et la nécessité d’y accéder, et ce, pour une fin spécifique.

À noter que nous ne collectons pas volontairement des renseignements auprès de personnes âgées de moins de 18 ans.

  1. Mesures et actions prises pour la conservation, la protection et la destruction des renseignements personnels
  • Politiques, pratiques et procédures

Nous avons mis en place des politiques, pratiques et procédures relatives à la gestion des renseignements personnels que nous détenons.

Ces politiques et procédures internes régissent la collecte, l’utilisation, la divulgation, la conservation et la destruction des renseignements personnels ainsi que le traitement des plaintes, la sécurité de l’information et la gouvernance des données. Elles fournissent également le cadre de la mise en œuvre des évaluations des facteurs relatifs à la vie privée ainsi qu’en matière de prévention et de réponse potentielle aux incidents de confidentialité.

  • Conservation d’une durée limitée

Les renseignements seront conservés selon les standards applicables dans la loi. La conservation des renseignements de tous supports (numériques ou physiques) prend en compte le degré de sensibilité ou la nature de ces dits renseignements, ce qui fait en sorte que certains de ces renseignements pourraient être conservés plus longtemps.

  • Lieux de conservation

Que la conservation soit numérique ou physique, CAM Mécanique Inc. s’assure de respecter la législation en vigueur quant à la sécurité informatique et la sécurité physique des renseignements personnels. De ce fait, différentes actions telles que des mots de passe sécurisés, des serrures ou un cryptage des informations sont mises en place.

  • Destruction

Selon le support utilisé, la méthode de destruction appropriée sera choisie. Cela peut passer par différents moyens, tels que : déchiqueteuse, incinération, formatage, réécriture, destruction physique, démagnétiseur, écrasement des informations, et/ou remplacement du disque dur.

  1. Obtention du consentement

Dans la mesure du possible, nous essayons d’obtenir le consentement de la personne avant de recueillir ses renseignements personnels. La forme du consentement peut varier selon les circonstances et le type de renseignements recherchés. Le consentement peut être explicite ou implicite et peut être fourni directement par la personne ou par son/sa représentant(e) autorisé(e).

Nous préférons obtenir un consentement explicite, que ce soit verbalement, par voie électronique ou par écrit. Le consentement implicite peut être raisonnablement déduit de l’action ou l’inaction d’une personne, par exemple, le fait de fournir un nom et une adresse pour recevoir une information ou un nom et un numéro de téléphone pour obtenir une réponse à une question. Pour déterminer le type de consentement approprié, nous tenons compte de la sensibilité des renseignements personnels en cause, des fins auxquelles ils sont recueillis et des attentes raisonnables de la personne. Si nous voulons utiliser les renseignements personnels à une nouvelle fin, nous décrirons l’utilisation prévue et demanderons à nouveau le consentement.

Il n’est pas toujours possible en cours d’enquête d’obtenir le consentement de la personne pour recueillir, utiliser ou communiquer ses renseignements personnels. Si par exemple, vous demandez des renseignements sur l’un de nos services, nous allons considérer que vous acceptez que nous communiquions avec vous en vue de répondre à vos questions.

Nous n’utiliserons pas vos renseignements personnels sans votre consentement, sauf :

  • s’ils doivent servir aux mêmes fins que celles pour lesquelles l’information a initialement été recueillie ou compilée;
  • si nous devons nous conformer à une ordonnance du tribunal ou autre demande contraignante;
  • s’il y a enquête sur la violation d’un contrat et/ou d’une loi;
  1. Droits d’une personne à l’égard de ses renseignements personnels;

 

  • Droit d’accepter ou de refuser de fournir vos renseignements personnels

Vos renseignements vous appartiennent en tout temps. Vous avez le droit de retirer votre consentement face à la collecte, l’utilisation ou la communication de vos renseignements. Une demande de votre part à ce niveau sera traitée dans les meilleurs délais.

Toutefois, certains renseignements sont essentiels pour que nous puissions vous fournir les services et produits que nous offrons. Si vous refusez de les fournir, il peut être difficile, sinon impossible d’établir, de maintenir une relation d’affaires avec vous ou même de vous offrir certains de nos services.

  • Droit de refuser l’utilisation de vos renseignements à certaines fins

Vous avez le droit de refuser que nous utilisions vos renseignements ou retirer votre consentement aux fins de communications promotionnelles, publicités/publications sur les réseaux sociaux, nos services en lignes de paiement de facteurs et autres moyens dont nous recueillons l’information.

Pour retirer votre consentement, vous devez en faire la demande à la personne responsable de la protection des renseignements personnels indiquée dans la politique. Cette demande sera traitée dans les meilleurs délais.

  1. Gestion des incidents de confidentialité
    • Définitions

Au sens de la présente politique, constitue un incident de confidentialité :

  1. L’accès non autorisé par la Loi sur l’accès à un renseignement personnel. Par exemple :
  • Un(e) employé(e) qui consulte des renseignements personnels non nécessaires l’exercice de ses fonctions en outrepassant les droits d’accès qui lui ont été consentis ou un pirate informatique qui s’infiltre dans un système;
  • Une personne qui s’immisce dans une banque de données contenant des renseignements personnels afin de les altérer;
  • Un(e) employé(e) consulte un renseignement personnel sans autorisation;
  • L’organisation est victime d’une cyberattaque, comme de l’hameçonnage ou un rançongiciel.
  1. L’utilisation non autorisée par la Loi sur l’accès d’un renseignement personnel. Par exemple :
  • Un(e) employé(e) qui utilise des renseignements personnels d’une base de données à laquelle il/elle a accès dans le cadre de ses fonctions dans le but d’usurper l’identité d’une personne.
  1. La communication non autorisée par la Loi sur l’accès d’un renseignement personnel. Par exemple :
  • Une communication faite par erreur à la mauvaise personne par son employeur;
  • La communication d’un renseignement personnel contraire aux dispositions de la Loi sur l’accès;
  • Un(e) employé(e) communique des renseignements personnels au mauvais destinataire.
  1. La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement. Par exemple :
  • Une personne qui perd ou se fait voler des documents contenant des renseignements personnels;
  • L’oubli de caviarder des renseignements personnels dans un document;
  • L’envoi d’un courriel contenant des renseignements personnels.

Traitement d’un incident de confidentialité

Si CAM Mécanique Inc. a des motifs de croire que s’est produit un incident de confidentialité a eu lieu, l’entreprise prendra des mesures raisonnables pour éliminer le risque à la source et mettre en place des actions et mécanismes pour éviter qu’un autre incident du même type se produise, ce qui peut inclure la sanction de la personne en cause.

Si l’incident de confidentialité présente un risque qu’un préjudice sérieux soit causé, CAM Mécanique Inc. doit, avec diligence, aviser la Commission d’accès à l’information et toute personne concernée par l’incident. L’entreprise devra alors considérer :

  1. La sensibilité du renseignement concerné
  2. Les conséquences appréhendées de son utilisation; et
  3. La probabilité qu’une soit utilisé à des fins préjudiciables.

La personne responsable des renseignements personnels sera donc avisée dans les meilleurs délais.

  • Registre des incidents de confidentialité

CAM Mécanique Inc. tiendra un registre des incidents de confidentialité, conformément aux exigences de la Commissions d’accès à l’information. Le registre contiendra, notamment :

  • Une description des renseignements personnels visés par l’incident;
  • Les circonstances de l’incident;
  • La date, le lieu;
  • La ou les personne(s) visée(es)
  • L’évaluation de la gravité du risque de préjudice;
  • Les mesures prises en réaction à l’incident.
  1. Processus de traitement des plaintes relatives à la protection des renseignements personnels

Dépôt de la plainte

Toute personne qui a des motifs de croire qu’un incident de confidentialité s’est produit et qui considère que CAM Mécanique Inc. a fait défaut de protéger la confidentialité des renseignements personnels doit déposer une plainte auprès de la personne responsable des renseignements personnels. La plainte doit être déposée par écrit avec différents détails nécessaires (heure, date, lieu, la nature des renseignements, etc). La situation sera adressée dans un délai jugé raisonnable par CAM Mécanique Inc. Dans le cas où la plainte concernerait la personne responsable de la protection des renseignements personnels, la plainte devra être déposée au vice-président à [email protected] dès que possible.

Traitement de la plainte

La personne responsable de la protection des renseignements personnels ou le vice-président, le cas échéant, a la responsabilité de recevoir et de traiter la plainte dans un délai de 20 jours ouvrables. Dans le cas où celle-ci s’avère fondée, CAM Mécanique Inc. prend les mesures requises pour corriger la situation dans les meilleurs délais conformément au paragraphe 10.2 de la présente politique et procède à l’inscription de l’incident au registre, tel qu’indiqué au paragraphe 10.3.

  1. Vidéosurveillance

Le recours à la vidéosurveillance s’effectue en respect des obligations prévues notamment par le Code civil du Québec, par la Charte des droits et libertés de la personne ainsi que par la Loi sur l’accès.

  1. Mise à jour de cette politique

CAM Mécanique Inc. s’assurera de mettre à jour cette politique régulièrement, conformément à la législation applicable. Si des modifications doivent être apportées à la politique, des avis de mise à jour (tels que des avis en ligne ou des courriels) peuvent être utilisés pour vous aviser de ces modifications.

Dans le cas contraire, la publication de la politique révisée sur le site sera considérée comme un avis suffisant et, en continuant à utiliser le site ou en nous soumettant des renseignements personnels, vous acceptez les modifications apportées à notre politique.

De toutes les versions traduites de cette Politique, la version française prévaudra en cas de différents. La politique sera revue tous les 3 ans, à moins de changements substantiels au niveau légal.

Toute violation de la présente politique, commise intentionnellement ou par négligence, peut entraîner des mesures disciplinaires pouvant aller jusqu’au congédiement. Des sanctions légales peuvent aussi être prises, au besoin.