Dans le cadre de ses activités et de sa mission, Ressources Qualium Inc (la « Société ») traite des renseignements personnels, notamment ceux de ses employés, de ses clients, des visiteurs de son site Web et de ses fournisseurs. À ce titre, la Société reconnaît l’importance de respecter la vie privée et de protéger les renseignements personnels qu’elle détient.
Afin de s’acquitter de ses obligations selon la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (la « Loi »), la Société s’est dotée de la présente Politique en matière de protection des renseignements personnels (la « Politique »). Celle-ci énonce les principes encadrant la protection des renseignements personnels détenus tout au long de leur cycle de vie, les droits des personnes concernées et le rôle des parties prenantes dans la mise en œuvre de la Loi.
La protection des renseignements personnels détenus par la Société incombe à toute personne qui traite ces renseignements, y compris les fournisseurs de services, les partenaires, et les consultants qui recueillent ou utilisent des renseignements personnels au bénéfice de la Société.
La Politique :
La Politique s’applique à la protection des renseignements personnels détenus par la Société.
Les employés de la Société et les ressources externes, incluant notamment les consultants et fournisseurs de services ayant accès à des renseignements personnels dans le cadre de leur mandat, doivent se conformer à la Politique.
Bien que cette Politique soit la référence en matière de protection des renseignements personnels pour la Société, d’autres documents pourront en découler, tels que des directives, procédures, avis ou tout autre document. Ceux-ci peuvent notamment couvrir des sujets comme :
Ces documents et la Politique (collectivement, le « Cadre de référence ») encadrent la mise en œuvre des mesures relatives à la protection des renseignements personnels de la Société.
Aux fins de la Politique, les termes suivants signifient :
(« cycle de vie ») désigne l’ensemble des étapes visant le traitement d’un renseignement personnel soit la collecte, l’utilisation, la communication, la conservation et la destruction.
(« incident de renseignements personnels ») désigne la consultation, l’utilisation ou la communication non autorisée de renseignements personnels ou toute perte ou altération, accidentelle ou non, ou toute autre atteinte à la protection de ces renseignements.
(« personne concernée ») désigne la personne physique à qui se rapportent les renseignements personnels.
(« renseignement personnel ») désigne toute information qui concerne une personne physique et qui permet de l’identifier directement — soit par le recours à cette seule information — ou indirectement —par combinaison avec d’autres informations.
(« responsable de la protection des renseignements personnels ») ou (« RPRP ») désigne la personne qui, au sein de la Société, veille à assurer le respect et la mise en œuvre de la Loi.
La protection des renseignements personnels est assurée tout au long de leur cycle de vie dans le respect des principes suivants, sauf exception prévue par la Loi.
Les coordonnées professionnelles, telles que le nom, le titre et la fonction, l’adresse postale, électronique et le numéro de téléphone du lieu de travail qui concernent l’exercice d’une fonction par une personne au sein d’une entreprise et les renseignements à caractère public, désignés comme tels par la Loi, ne sont généralement pas soumis aux principes directeurs.
6.1.1. La Société ne recueille que les renseignements personnels nécessaires à la réalisation de ses activités. Avant de recueillir des renseignements personnels, la Société détermine les fins de leur traitement.
6.1.2. Au moment de la collecte, et par la suite sur demande des personnes concernées, la Société informe celles-ci conformément à la Loi, notamment des finalités de la collecte et du droit de retirer son consentement à l’utilisation ou la communication de renseignements personnels par la Société.
6.1.3. L’information prévue au paragraphe Au moment de la collecte, et par la suite sur demande des personnes concernées, la Société informe celles-ci conformément à la Loi, notamment des finalités de la collecte et du droit de retirer son consentement à l’utilisation ou la communication de renseignements personnels par la Société. est donnée en termes simples et clairs, au moyen d’un avis de confidentialité fournissant l’information requise.
6.1.4. La personne concernée qui fournit ses renseignements personnels après avoir reçu l’information au paragraphe Au moment de la collecte, et par la suite sur demande des personnes concernées, la Société informe celles-ci conformément à la Loi, notamment des finalités de la collecte et du droit de retirer son consentement à l’utilisation ou la communication de renseignements personnels par la Société. est présumée consentir à l’utilisation et à la communication des renseignements personnels visés pour les fins déclarées.
6.2.1. La Société n’utilise les renseignements personnels qu’aux fins pour lesquelles ces renseignements ont été recueillis. Cependant, la Société peut modifier ces fins si la personne concernée y consent préalablement.
6.2.2. Elle peut également les utiliser à des fins secondaires sans le consentement de la personne concernée, dans les seuls cas où l’utilisation projetée est permise par la Loi.
6.3.1. Sous réserve des exceptions prévues par la Loi, la Société ne peut communiquer des renseignements personnels sans le consentement de la personne concernée.
6.3.2. Lorsque les renseignements personnels sont communiqués à l’extérieur du Québec, la Société procède à une Évaluation des facteurs relatifs à la vie privée conformément à l’article ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE des présentes.
6.4.1. La Société prend toutes les mesures raisonnables afin que les renseignements personnels qu’elle détient soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis ou utilisés.
6.4.2. La Société conserve les renseignements personnels aussi longtemps que nécessaire pour mener ses activités, conformément à son calendrier de conservation prévu par la Loi sur les archives.
6.5.1. Lorsque les finalités pour lesquelles les renseignements personnels recueillis sont atteintes, ces renseignements sont détruits suivant les délais prévus au calendrier de conservation ou anonymisés.
L’Évaluation des facteurs relatifs à la vie privée (« ÉFVP ») désigne la démarche préventive et évolutive qui vise à mieux protéger les renseignements personnels et à respecter davantage la vie privée des personnes physiques. Elle consiste à considérer tous les facteurs qui entraîneraient des conséquences positives et négatives sur le respect de la vie privée des personnes concernées.
Elle sert à démontrer que la Société a respecté toutes les obligations en matière de protection des renseignements personnels et que toutes les mesures ont été prises afin de protéger efficacement ces renseignements.
7.1. La Société réalise une ÉFVP notamment dans les situations suivantes :
7.2. En effectuant une ÉFVP, la Société tient compte de la sensibilité des renseignements à être traités, des fins de leur utilisation, de leur quantité, de leur distribution et de leur support, ainsi que de la proportionnalité des mesures proposées pour protéger les renseignements personnels. La Société tient également compte des critères déterminés par la Loi pour chaque ÉFVP.
7.3. Toute ÉFVP est réalisée conformément à la procédure prévue au Cadre de référence de la Société.
8.1. À la demande d’une personne concernée, la Société doit l’informer de ce qui suit :
8.2. Sous réserve de ce que prévoient les lois applicables, toute personne concernée dispose notamment des droits suivants à l’égard des renseignements personnels la concernant détenus par la Société :
8.3. Toute demande d’exercice des droits est prise en charge conformément au Cadre de référence de la Société.
9.1. La Société met en place des mesures de sécurité raisonnables afin d’assurer la confidentialité, l’intégrité et la disponibilité des renseignements personnels recueillis, utilisés, communiqués, conservés ou détruits. Ces mesures tiennent notamment en compte du degré de sensibilité des renseignements personnels, de la finalité de leur collecte, de leur quantité, de leur localisation et de leur support.
10.1. Conformément à la Loi, la Société tient à jour un registre des incidents de renseignements personnels.
10.2. Si l’incident de renseignements personnels présente un risque de préjudice sérieux pour les personnes concernées, la Société avise celles-ci avec diligence ainsi que le Comité de renseignements personnels de la Société (« CPRP ») et le Comité en accès à l’information et protection des renseignements personnels d’Investissement Québec.
10.3. Le registre des incidents de renseignements personnels est tenu à jour par le RPRP pendant cinq ans après le dernier incident ou la période du dernier incident.
11.1. Conformément à la Loi, la Société tient à jour les registres de renseignements personnels et s’assure de leur mise à jour.
La protection des renseignements personnels que la Société détient repose sur l’engagement de tous ceux qui traitent ces renseignements et plus particulièrement des parties prenantes qui suivent :
12.1. Toute personne, incluant les employés de la Société, ses consultants et fournisseurs de services, qui traite des renseignements personnels que la Société détient :
12.2. Le RPRP :
12.3. Le conseil d’administration de la Société approuve la présente Politique.
12.4. Le Vice-Président Exploitation et Directeur Général (le « DG ») :
Toute plainte concernant la Société relative aux pratiques de protection des renseignements personnels ou de la conformité aux exigences de la Loi est transmise au RPRP, lequel la traite dans un délai ne dépassant pas 90 jours.
Ressources Qualium Inc.
A/s Caroline Garneau
Responsable de la protection des renseignements personnels
380, St-Antoine Ouest, Suite 3000
Montréal (Québec) H2Y 3X7
cgarneau@qualium.ca
Les employés de la Société et les ressources externes qui ne se conforment pas au Cadre de référence sont sujets, selon le cas, à des mesures disciplinaires pouvant aller de l’avis disciplinaire au congédiement.
Les mesures et pénalités contractuelles prévues aux ententes avec les fournisseurs, lesquelles peuvent notamment prévoir la résiliation du contrat et la réclamation de dommages-intérêts, s’appliqueront pour tout manquement de leur part au respect de la Loi.
De la formation et de la sensibilisation supplémentaire peuvent également être offertes en cas de défaut de respecter la Politique.
La Politique pourra être mise à jour au besoin et sera révisée au moins tous les cinq ans.
La Politique est sous la responsabilité du Vice-Président Exploitation et Directeur Général.
Cette Politique entre en vigueur lors de son adoption par le conseil d’administration de la Société.