Politique de SBSA Experts-conseil en structure sur la protection des renseignements personnels.
Loi 25
Partie 1:
Politique de SBSA sur la protection de la vie privée
SBSA s’engage à préserver Ia confidentialité de tous les renseignements personnels en sa possession. Cela comprend la mise à jour de la Politique sur la protection de la vie privée.
Les « renseignements personnels » sont des renseignements qui permettent d’identifier une personne physique, de manière directe ou indirecte; employés, clients, ou tout autre tierce partie, et qui sont protégés par la loi. Nous employons ce terme (renseignements personnels) tout au long de cette Politique sur la protection de la vie privée afin d’expliquer :
- Comment et pourquoi nous collectons, utilisons, et, parfois, divulguons des renseignements personnels;
- Comment et quand votre consentement éclairé vous sera demandé (avec certaines exceptions);
- La marche à suivre par suite d’une violation de renseignement sur la vie privée.
Cette Politique sur la protection de la vie privée s’applique aux renseignements personnels que possède SBSA. Nous avons élaboré cette Politique sur la protection de la vie privée sur la base de notre engagement en matière de protection de vie privée, ainsi qu’en conformité à la Loi 25 sur la protection de la vie privée.
Définir la protection de renseignement personnel
Quels renseignements personnels collectons-nous?
Nous pouvons collecter et traiter différents types de renseignements personnels dans le cadre de la réalisation de notre prestation de services et de nos activités, notamment, sans y être limité :
- Des coordonnées, comme un nom, une adresse postale, une adresse électronique et un numéro de téléphone;
- Des renseignements relatifs à la facturation et des renseignements financiers et au détail des services que nous vous avons rendus;
- Des renseignements fournis par nos clients ou pour le compte de ceux-ci et qui pourraient, lorsque cela est pertinent, comprendre des renseignements personnels sensibles;
- Des renseignements liés au recrutement comme votre curriculum vitae, vos études et votre parcours professionnels et d’autres renseignements pertinents au recrutement au sein de SBSA.
- Antécédant médicaux ou judiciaire
Comment collectons-nous vos renseignements personnels?
Nous collectons vos renseignements personnels de plusieurs façons, telles que :
- Directement auprès des personnes physiques
- Sur des documents papiers;
- Par moyens numériques (téléphone, courriel, télécopieur, autres);
Comment utilisons-nous vos renseignements personnels?
Vos renseignements personnels seront utilisés conformément à la législation applicable à la protection des renseignements personnels et conformément au consentement que vous aurez donné.
Nous pouvons donc utiliser vos renseignements personnels dans les circonstances suivantes et pour les motifs indiqués et ce, conformément au cadre défini ci-dessus :
- Afin de fournir nos services d’ingénieries et des services connexes ainsi que pour la conduite de nos affaires en général, pour administrer et exécuter nos services, y compris pour exécuter nos obligations découlant de toute entente conclue entre nos clients et nous.
- À des fins de recrutement – pour nous permettre de traiter des demandes d’emploi et d’évaluer si une personne répond aux exigences du poste pour lequel elle pourrait postuler chez SBSA.
- Afin de satisfaire et de nous conformer aux obligations légales, réglementaires ou de gestion des risques.
Avec qui partageons-nous des renseignements personnels?
- Les tiers fournisseurs de service et/ou partenaires qui nous fournissent des services de soutien informatique, de soutien administratif. Ces tiers pourraient avoir accès à des renseignements personnels ou les traiter dans le cadre des services qu’ils nous fournissent. Nous limitons les renseignements que nous fournissons à ces fournisseurs de services aux seuls renseignements qui sont raisonnablement nécessaires pour leur permettre de s’acquitter de leurs fonctions, et les contrats écrits que nous avons conclus avec ces fournisseurs de services exigent d’eux qu’ils prennent des mesures raisonnables et conformes à la loi pour assurer la confidentialité de ces renseignements;
- Des organismes gouvernementaux, réglementaires ou d’application de la loi lorsque nous sommes tenus de communiquer ces renseignements ou si croyons de bonne foi que cette divulgation est nécessaire pour respecter les lois applicables;
- Nos conseillers professionnels, nos banquiers et nos auditeurs
Pendant combien de temps conservons-nous les renseignements personnels?
Nous conserverons vos renseignements personnels tout au long de l’exécution du mandat et pour l’accomplissement des finalités pour lesquelles ces renseignements personnels nous ont été communiqués et pour toutes fins connexes autorisées.
Nous cesserons donc d’utiliser vos renseignements personnels dès que les finalités en question auront été accomplies.
En vertu des dispositions réglementaires, nous devons conserver les dossiers de nos employés et clients pendant sept (7) ans à compter de sa date de fermeture, le tout sous réserve d’instructions à l’effet contraire.
Après la durée de conservation, les renseignements personnels seront détruits définitivement des supports sur lesquels ils ont été stockés. (Voir la Procédure interne de retrait des renseignements personnels)
Où conservons-nous les renseignements personnels?
Les documents personnels se trouvent dans nos bureaux de SBSA, les documents sont informatisés et sécurisés ou dans des classeurs sous-clés dans le département de l’administration de l’entreprise.
Notre traitement des renseignements personnels ne vise que les personnes et entités établies au Québec. Néanmoins, vos renseignements personnels peuvent être communiqués à des fournisseurs de services dont les installations sont situées ailleurs au Canada, le tout pour accomplir les finalités de notre collecte de données.
Comment protégeons-nous les renseignements personnels?
Nous reconnaissons que la sécurité de l’information fait partie intégrante de la confidentialité des renseignements personnels.
Nous mettons en œuvre les meilleurs pratiques de l’industrie pour voir à la protection des renseignements personnels conformément à la législation applicable en matière de protection en cette matière.
À cet effet, nous maintenons des mesures de protection physiques, techniques ou procédurales raisonnables pour protéger vos renseignements personnels contre toute consultation, utilisation, modification, divulgation et/ou destruction non autorisée et non conforme à la législation en vigueur.
Le plan d’intervention afin de limiter les conséquences ou de réagir rapidement et de façon adéquate lors d’un incident de confidentialité est décrit dans la rubrique « Obligation en cas d’incident » dans la Partie 2.
Tous les membres de SBSA sont aussi tenus implicitement par contrat de respecter la confidentialité des renseignements personnels.
Quels droits une personne détient-elle à l’égard de ses renseignements personnels?
Conformément aux lois applicables en matière de protection des renseignements personnels, une personne dispose des droits suivants :
- Droit d’accès : le droit d’avoir confirmation de l’existence d’un traitement de renseignements personnels la concernant et le droit d’obtenir communication de ces renseignements personnels;
- Droit de rectification : le droit de demander de faire rectifier tout renseignement personnel incomplet, inexact ou équivoque que nous détenons;
- Droit à l’effacement : le droit de nous demander de détruire des renseignements personnels lorsque les fins pour lesquelles le renseignement personnel a été recueilli ou utilisé sont accomplies, le tout sous réserve de nos obligations professionnelles et/ou des exigences de la loi;
- Droit de retrait du consentement : le droit de retirer son consentement à la communication ou à l’utilisation des renseignements personnels recueillis;
- Droit à l’information : le droit d’être informé au préalable du recours à une technologie permettant d’identifier la personne, de la localiser ou d’effectuer un profilage de celle-ci et des moyens offerts pour activer les fonctions permettant de l’identifier, de la localiser ou d’effectuer un profilage;
- Droit à la portabilité: le droit d’accéder à un renseignement personnel informatisé dans un format technologique structuré et couramment utilisé;
Pour exercer l’un ou l’autre de ces droits, veuillez communiquer avec nous de la manière indiquée à la rubrique « Comment communiquer avec nous » ci-après.
Comment communiquer avec nous?
Si vous avez des questions concernant la présente Politique de confidentialité ou la manière dont nous traitons vos renseignements personnels, ou encore pour exercer vos droits, veuillez, communiquer avec notre responsable de la protection des renseignements personnels par courriel ou par la poste aux coordonnées suivantes :
Jean-Sébastien Penney
Responsable de la protection des renseignements personnels
5255 boul. Henri Bourassa Ouest, suite 230
Montréal (Québec) Canada H4R 2M6
jean-sebastien.penney@sbsa.ca
Comment mettons-nous à jour la présente Politique de confidentialité?
La présente Politique de confidentialité pourrait être modifiée à tout moment.
Dernière mise à jour : le 13 septembre 2023.
Partie 2 :
Incident et Obligation
Il existe généralement deux types de fuite de renseignement personnel :
- La transmission involontaire ou fortuit. Ceci inclue par exemple l’envoie de courriel accidentel à une tierce partie non autorisé; de l’information sensible inscrit sur un tableau lors de la visite d’un client; la perte de documents hors du lieu de travail, etc.
- Via l’hameçonnage, cyberattaque, vol de renseignement
Processus- Obligation en cas d’incident
1) Toute personne qui a motif de croire que s’est produit un incident de confidentialité doit aviser aussitôt la direction.
2) Si la direction estime que le risque d’incident est réel, la direction doit établir une équipe de travail.
3) Évaluer la situation
➢ Établir les circonstances de l’incident (heure, jour, lieu, personne qui a rapporté l’incident, etc.);
➢ Identifier les renseignements personnels impliqués;
➢ Identifier les personnes dont les renseignements personnels sont concernés;
➢ Trouver la cause (erreur humaine, vulnérabilité informatique, perte, vol, etc.).
Cette évaluation doit se poursuivre tant que tous les éléments n’ont pas été identifiés.
4) Diminuer les risques
Prendre rapidement les mesures raisonnables afin de diminuer les risques qu’un préjudice, qu’il soit sérieux ou non, ne soit causé et pour éviter que de nouveaux incidents de même nature ne surviennent, par exemple :
➢ Cesser la pratique non autorisée;
➢ Récupérer ou exiger la destruction des renseignements personnels impliqués;
➢ Corriger les lacunes informatiques;
➢ Inscrire une note dans les dossiers visés par un risque de vol d’identité;
➢ Exiger des vérifications supplémentaires;
➢ Révoquer ou modifier les mots de passe ou les codes d’accès informatiques.
5) Déterminer la nature du préjudice
Compléter la grille d’évaluation du préjudice (Annexe 1). Selon le résultat, le responsable de l’accès détermine s’il y a absence ou présence d’un préjudice sérieux.
6) Absence de risque préjudice sérieux
➢ Inscrire l’incident au registre. (Annexe 3)
7) Présence d’un risque de préjudice sérieux
➢ Inscrire l’incident au registre. (Annexe 3)
➢ Aviser dès que possible la Commission d’accès à l’information (CAI), même si l’ensemble des informations relatives à l’incident n’ont pas encore été colligées.
➢ Aviser les personnes concernées par avis direct. (Annexe 2)
➢ Aviser toute autre personne ou organisme susceptibles de diminuer le risque
Service de police : s’il s’avère que la disparition peut résulter de la commission d’un crime.
Autres : il peut également être nécessaire d’aviser d’autres intervenants, tels que les agences de crédit, un mandataire, un cocontractant, une instance gouvernementale, un ordre professionnel, etc.
Le consentement de la personne concernée par l’incident de confidentialité n’est pas requis. Le cas échéant, il est recommandé d’inscrire cette communication au registre des incidents de confidentialité afin de conserver une trace documentaire de celle-ci.
8) Inscrire l’incident de confidentialité au registre. (Annexe 3)
➢ Tous les incidents de confidentialité doivent être consignés au registre, même ceux qui ne présentent pas un risque de préjudice sérieux pour les personnes concernées;
➢ Le registre est complété par le Responsable de l’accès à l’information et de la protection des renseignements personnels;
➢ La durée de conservation est de cinq ans de la connaissance de l’incident de confidentialité.