Politique de confidentialité
1) OBJECTIFS
La présente politique a pour objectif d’encadrer le Domaine de Rouville inc. faisant affaire sous le nom Domaine International de Rouville (ci-après « Domaine International de Rouville ») à la fois lors de la collecte de renseignements personnels par l’entremise d’une technologie comprenant des fonctions d’identification, de localisation ou de profilage, que lors de l’utilisation de renseignements personnels. Elle exige du Domaine International de Rouville de prendre toutes les mesures nécessaires pour atténuer les risques d’atteinte au droit à la vie privée des citoyens et citoyennes, en vertu des articles 35 à 40, abordant le respect de la vie privée, ainsi qu’à l’article 1525 du Code civil du Québec1 sur la solidarité entre débiteurs d’une obligation contractée pour le service ou l’exploitation de l’entreprise.
2) PORTÉE
La présente politique s’applique à l’ensemble du personnel de l’entreprise, et à tous les niveaux hiérarchiques, notamment dans les situations nécessitant la communication par tout moyen technologique que ce soit. Elle vise à se conformer à la Loi 252 qui modernise les dispositions en matière de protection des renseignements, en rendant les dispositions législatives plus adaptées à faire face aux nouvelles technologies et aux changements de l’ère numérique.
3) DÉFINITIONS
3.1. La Loi 25 en matière de protection des renseignements personnels 3.2. Renseignement
Fait référence à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels3, laquelle était sanctionnée le 22 septembre 2021, avec des entrées en vigueur prévues pour le 22 septembre de 2022 et de 2023. Cette loi modifie la Loi sur la protection des renseignements personnels dans le secteur privé4.
3.2. Renseignement
La Loi sur la protection des renseignements personnels dans le secteur privé définit ce terme comme suit : « Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet de l’identifier » 5.
3.3. Responsable de la protection des renseignements personnels
Désigne la personne qui, au sein de l’entreprise, a la plus haute autorité et qui doit par conséquent veiller à assurer le respect et la mise en oeuvre de cette politique. Ce rôle est, par défaut, attribué au premier dirigeant d’une entreprise, qui a la possibilité de déléguer partiellement ou en totalité ses responsabilités au responsable de la protection des renseignements personnels.
3.4. Profilage
S’entend de la collecte et de l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.
3.5. Incident de confidentialité
On entend par là : 1° l’accès non autorisé par la loi à un renseignement personnel; 2° l’utilisation non autorisée par la loi d’un renseignement personnel; 3° la communication non autorisée par la loi d’un renseignement personnel; 4° la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
4) ÉNONCÉ DE POLITIQUE
Le Domaine International de Rouville s’engage à prendre les moyens raisonnables pour : o Offrir un milieu de travail visant la protection et le respect des données personnelles de ses clients;
Atténuer les risques d’atteinte au droit à la vie privée des citoyens et citoyennes;
Établir des politiques encadrant la gouvernance des renseignements personnels et publier des informations détaillées sur son site Internet;
Diffuser la politique de manière à la rendre accessible à l’ensemble de son personnel;
Tenir, en cas d’incident de confidentialité, un registre des incidents et prendre le plus rapidement possible des mesures afin de diminuer le risque qu’un préjudice soit causé aux personnes concernées;
Aviser la Commission d’accès à l’information (ci-après la « Commission ») instituée par l’article 103 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels7 et les personnes concernées de tout incident présentant un risque de préjudice sérieux;
Divulguer préalablement à la Commission la vérification ou la confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques;
Prendre des mesures raisonnables pour limiter le risque de préjudice et prévenir la répétition de tels accidents;
Désigner une personne responsable de la protection des renseignements personnels et publier son titre, ainsi que ses coordonnées sur son site web;
Offrir par défaut la plus haute confidentialité des renseignements personnels;
Respecter le nouvel encadrement applicable à la communication de renseignements personnels sans le consentement de la personne concernée, dans le cadre d’une transaction commerciale ou encore à des fins d’étude, de recherche ou de productions de statistiques.
5) NOUVELLES OBLIGATIONS À RESPECTER QUANT À L’IMPARTITION ET AUX TRANSFERTS TRANSFRONTALIERS
Le Domaine International de Rouville s’engage à :
− Indiquer les catégories de fournisseurs de services à qui il est susceptible de transmettre des renseignements personnels.
− Mentionner que des renseignements personnels pourraient être transférés en dehors du Québec.
− Communiquer des renseignements personnels à leurs fournisseurs de services sans le consentement des individus, à condition qu’une entente écrite prévoyant des mesures de protection précises intervienne entre les deux parties.
6) INFORMATIONS SPÉCIFIQUES DEVANT ÊTRE RENDUES DISPONIBLES AU PUBLIC
Lors de la collecte des renseignements personnels, le Domaine International de Rouville s’engage à rendre disponible, en termes simples et clairs :
− Les objectifs de la collecte;
− Les moyens de collecte;
− Les droits d’accès et de rectification;
− Le droit de la personne de retirer son consentement à l’utilisation des renseignements recueillis.
7) ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE
Le Domaine International de Rouville s’engage à réaliser une évaluation à l’égard, notamment, de :
− Tout projet d’acquisition, de développement et de refonte de système d’information;
− Prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.
8) RESPONSABILITÉS DU RESPONSABLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
Ses responsabilités comprennent notamment : −
La mise en oeuvre et la publication de politiques et de pratiques relatives à la protection des renseignements personnels;
− Effectuer des évaluations des incidences sur la vie privée;
− Mettre en place des exigences en matière de respect de la vie privée.
9) RESPONSABILITÉS DES FOURNISSEURS DE SERVICES (TIERS)
Les fournisseurs s’engagent à:
− Décrire des mesures prises pour garantir la confidentialité des informations personnelles obtenues ;
− Certifier utiliser les informations obtenues qu’aux fins de la prestation de services et de ne pas conserver ces informations après l’expiration du contrat ;
− Informer sans délai le responsable de la protection de la vie privée de toute violation ou tentative de violation de la confidentialité des informations et de permettre au responsable de la protection de la vie privée d’effectuer toute vérification relative aux exigences de confidentialité.
10) NOUVEAUX DROITS OCTROYÉS AUX INDIVIDUS CONCERNANT LEURS INFORMATIONS PERSONNELLES :
La personne qui recueille des renseignements personnels auprès de la personne concernée doit, lors de la collecte et par la suite sur demande, l’informer:
− Des fins auxquelles ces renseignements sont recueillis;
− Des moyens par lesquels les renseignements sont recueillis;
− Des droits d’accès et de rectification prévus par la loi;
− De son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis.
En cas de collecte de renseignements personnels par une technologie qui permet d’identifier, de localiser ou d’effectuer du profilage des personnes concernées, le Domaine International de Rouville doit les informer préalablement pour qu’elles puissent donner un consentement éclairé à une telle collecte et les expliquer comment activer de telles fonctions une fois qu’elles ont donné leur consentement.
11) CONSENTEMENT NON NÉCESSAIRE
Un renseignement personnel peut toutefois être utilisé à une autre fin sans le consentement de la personne concernée dans les seuls cas suivants :
− Lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il a été recueilli;
− Lorsque son utilisation est manifestement au bénéfice de la personne concernée;
− Lorsque son utilisation est nécessaire à des fins de prévention et de détection de la fraude ou d’évaluation et d’amélioration des mesures de protection et de sécurité;
− Lorsque son utilisation est nécessaire à des fins de fourniture ou de livraison d’un produit ou de prestation d’un service demandé par la personne concernée;
− Lorsque son utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques et qu’il est dépersonnalisé.
12) MINEURS DE MOINS DE 14 ANS
L’obtention du consentement du titulaire de l’autorité parentale ou du tuteur pour une collecte, une utilisation ou une communication de renseignements personnels concernant un mineur de moins de 14 ans est non-négociable.
13) RÈGLES DE COMMUNICATION DES RENSEIGNEMENTS PERSONNELS FACILITANT LE PROCESSUS DU DEUIL
Le Domaine International de Rouville s’engage à respecter le droit à l’oubli notamment en considérant une demande d’accès ou de rectification écrites faite par une personne concernée.
ANNEXE 1 – RESPONSABLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS DÉSIGNÉE PAR L’EMPLOYEUR
Domaine International de Rouville
− s’assurera que la personne responsable désignée sera dûment formée et aura les outils nécessaires à sa disposition pour le traitement et le suivi de la plainte ou du signalement;
− libérera du temps de travail afin que la personne responsable désignée puisse réaliser les fonctions qui lui ont été attribuées.
La personne suivante est désignée pour agir à titre de responsable pour l’application de la Politique de protection de renseignements personnels du Domaine International de Rouville:
ISABELLE LACOSTE, directrice adjointe du Domaine de Rouville inc.
Cette personne responsable doit principalement :
− Informer le personnel sur la politique de l’entreprise en matière de protection des renseignements personnels;
− Recevoir les plaintes et les signalements;
− Recommander la nature des actions à réaliser pour faire cesser le harcèlement;
− Effectuer des évaluations des incidences sur la vie privée;
− Mettre en place des exigences en matière de respect de la vie privée.
Engagement de la personne responsable
Par la présente, je déclare mon engagement à respecter la présente politique et j’assure que mon intervention sera impartiale, respectueuse et confidentielle.
Isabelle Lacoste
Directrice générale adjointe
isabelle@domaineinternationalderouville.com