Politique de gouvernance encadrant la protection des renseignements personnels

Le préambule

Boulart inc. (aussi appelée l’« entreprise ») traite quotidiennement des renseignements personnels concernant différentes personnes (p. ex., employés, clients). La présente politique est élaborée conformément aux exigences de la Loi sur la protection des renseignements personnels dans le secteur privé.

La politique, dont un résumé est publié sur le site Internet de l’entreprise, est approuvée par la Personne responsable de la protection des renseignements personnels.

L’objectif de la politique

L’entreprise fait preuve de vigilance quant à ses obligations à l’égard des personnes dont elle recueille des renseignements personnels et veille à la protection de leur droit à la vie privée. La présente politique a pour objectif d’établir des règles claires qui encadrent le traitement de ces renseignements.

La portée de la politique

La politique s’applique à l’entreprise ainsi qu’à toute personne ou entreprise qui fournit des services pour cette dernière, notamment ses employés, sous-traitants ou fournisseurs.

Elle établit des règles de gouvernance à l’égard de tous les renseignements personnels, tels qu’ils sont définis par la loi ou la présente.

Les définitions

Dans la présente politique, on entend par :

« Collecte indirecte » : le fait de recueillir des renseignements personnels auprès d’une personne autre que celle concernée par ceux-ci.

« Cycle de vie » : les stades d’existence d’un renseignement personnel au sein de l’entreprise, laquelle débute par sa collecte et se termine par sa destruction, en passant par sa conservation, son utilisation et sa communication.

« Employé » : toute personne fournissant une prestation de travail, que celle-ci soit fournie à temps plein ou à temps partiel, sur une base permanente ou temporaire, saisonnière ou contractuelle, ’que la personne soit un cadre ou un employé.

« Fournisseur » : tout fournisseur de services ou de produits étant lié à l’entreprise en vertu d’un contrat, qu’il soit oral ou écrit.

« Incident de confidentialité » : toute atteinte ’aux renseignements personnels confidentiels, qu’il s’agisse d’un accès non autorisé à ceux-ci, ’ou de leur utilisation, ’communication ou perte à mauvais escient.

« Personne concernée » : toute personne physique dont les renseignements personnels sont recueillis, conservés, utilisés, communiqués ou détruits par l’entreprise.

« Personne responsable » : fonction de la personne chargée de la protection des renseignements personnels, que ladite fonction soit exercée par la personne ayant la plus haute autorité au sein de l’entreprise ou une autre personne ’exerçant un pouvoir délégué officiellement.

« Politique » : la présente politique concernant la gouvernance des renseignements personnels.

« Renseignement personnel » : toute information concernant une personne physique, qui permet de
révéler ou de confirmer l’identité de celle-ci, directement ou indirectement. En raison de sa nature (p. ex., médicale, biométrique, financière, etc.) et du contexte de son utilisation ou de sa communication, tout renseignement personnel peut susciter, chez une personne raisonnable, un haut degré d’attente en matière de vie privée. Ainsi, le risque de préjudice grave augmente lorsque sa protection est atteinte par un incident de confidentialité.

« Sous-traitant » : entrepreneur ou travailleur autonome étant lié à l’entreprise en vertu d’un contrat, qu’il soit oral ou écrit.

« Tiers » : toute personne ou organisation n’étant pas l’entreprise ni ses employés.

La collecte

Toute personne qui recueille des renseignements personnels au nom de l’entreprise détermine au préalable la fin de cette collecte et s’assure que les renseignements personnels devant être recueillis sont nécessaires à l’atteinte de cette fin. De plus, la personne doit veiller à ’utiliser des moyens de collecte légaux.

Les renseignements personnels doivent être recueillis directement auprès de la personne concernée par ceux-ci. Toute personne qui envisage de procéder à une collecte indirecte doit obtenir l’autorisation de la personne responsable au préalable.

Au plus tard au moment de la collecte des renseignements personnels, toute personne procédant à celle-ci informe les personnes visées par la collecte, des éléments suivants :

1. L’a fin de la collecte des renseignements personnels;
2. Les moyens de collecte utilisés;
3. Les droits d’accès et de rectification prévus par la loi;
4. Son droit de rétracter son consentement à la communication ou à l’utilisation des renseignements personnels recueillis;

Et, selon le cas :

1. Le nom du tiers pour qui la collecte est effectuée;
2. Le nom du tiers ou des catégories de tiers à qui il est nécessaire de communiquer les renseignements personnels ’’aux fins mentionnées;
3. La possibilité que les renseignements personnels soient communiqués à l’extérieur du Québec.

Et si les renseignements personnels sont recueillis au moyen d’une technologie d’identification, de localisation ou de profilage :

1. Le recours à une telle technologie;
2. Les fonctions de la technologie;
3. Les moyens offerts pour activer les fonctions d’identification, de localisation ou de profilage.

Une personne qui accepte de confier ses renseignements personnels à l’entreprise après avoir été dûment informée consent à ce qu’ils soient utilisés ou communiqués ’aux fins mentionnées.

De plus, sur demande d’une personne concernée par des renseignements personnels recueillis ou à recueillir, l’entreprise ’informe celle-ci aussi :

1. Des renseignements personnels recueillis auprès d’elle;
2. Des catégories de personnes qui ont accès à ses renseignements personnels au sein de l’entreprise;
3. De la durée de conservation des renseignements personnels;
4. Des coordonnées de la personne responsable de la protection des renseignements personnels.

L’utilisation

Toute personne qui utilise des renseignements personnels détenus par l’entreprise doit s’assurer que l’utilisation est conforme au consentement obtenu et aux fins mentionnées à la personne concernée.

Un membre du personnel qui envisage d’utiliser les renseignements personnels à une fin autre que celle pour laquelle ils ont été recueillis doit obtenir l’autorisation de la personne responsable au préalable.

La personne responsable évalue alors la situation et détermine si une utilisation sans consentement est autorisée ou si l’obtention d’un consentement est nécessaire.

La communication

Toute personne qui utilise des renseignements personnels détenus par l’entreprise ne doit communiquer les renseignements personnels qu’aux personnes ou organisations désignées au moment de la collecte.

Un membre du personnel qui envisage communiquer des renseignements personnels à une autre personne ou organisation, doit obtenir le consentement de la personne concernée, sauf si la loi l’autorise à procéder sans consentement.

Lorsqu’un membre du personnel procède ainsi à une communication de renseignements personnels sans consentement, il doit respecter les exigences et conditions prescrites par la loi et inscrire la communication à l’endroit prévu à cet effet.

La conservation et la destruction

L’entreprise détient et conserve des documents contenant des renseignements personnels de manière à assurer la sécurité de ces derniers.

Les documents peuvent être conservés sur support papier ou informatique. L’entreprise peut mandater un fournisseur de services technologiques afin de sauvegarder les données personnelles qu’elle recueille.

De plus, l’entreprise prend les moyens nécessaires pour limiter l’accès aux données aux membres du personnel devant y accéder pour l’exercice de leurs fonctions.

L’entreprise détruit ces documents à l’échéance des délais de conservation prescrits par les différentes lois. La destruction est effectuée de manière sécuritaire.

Le refus ou le retrait du consentement

Les renseignements personnels demandés sont ceux qui sont nécessaires à la conclusion ou à l’exécution du contrat ou encore exigés par une loi ou un règlement.

Le cas échéant, une personne qui refuse de fournir ses renseignements personnels, que ce soit dans le cadre de l’emploi ou de la prestation de services, pourrait se voir refuser une demande relative à l’emploi ou à la prestation de services.

De plus, des délais de conservation minimaux sont prévus par différentes lois à l’égard de différents documents pouvant contenir des renseignements personnels. Ainsi, malgré le retrait du consentement à l’utilisation ou la communication, l’entreprise doit respecter les délais de conservation des documents prévus par la loi avant de procéder à la destruction de ceux-ci.

Les rôles et les responsabilités

La personne responsable

La personne responsable veille à ce que l’entreprise et l’ensemble de ses employés respectent les règles encadrant la gouvernance des renseignements personnels ainsi que la présente politique.

La personne responsable planifie, organise, dirige et contrôle les activités entourant la gestion des renseignements personnels au sein de l’entreprise.

La personne responsable traite également les incidents de confidentialité et s’assure de suivre le processus établi par la loi.

La personne responsable veille à former, à informer et à sensibiliser les membres du personnel aux règles encadrant la gestion des renseignements personnels de manière qu’ils détiennent les connaissances requises pour savoir si et quand un incident de confidentialité s’est produit.

La Personne responsable est :

Caroline Saillant
Directrice des ressources humaines
csaillant@boulart.com

Les employés

Comme les employés traitent quotidiennement des renseignements personnels, ils doivent prendre connaissance des pratiques établies par l’entreprise en matière de protection des renseignements personnels et de les respecter, qu’elles prennent la forme d’une politique, d’une procédure, d’une directive ou d’un guide.

Les incidents de confidentialité

Advenant un incident de confidentialité, l’entreprise veille à ce que celui-ci soit traité conformément au processus établi.

Toute personne témoignant d’un incident de confidentialité doit signaler celui-ci, sans tarder, à la personne responsable.

L’entreprise tient un registre des incidents.

Si l’entreprise constate un incident de confidentialité ou a des motifs de croire qu’un s’est produit, elle prend rapidement les mesures nécessaires pour atténuer le préjudice causé aux personnes concernées par les renseignements personnels atteints.

Les personnes concernées et la Commission d’accès à l’information sont avisées par écrit de la survenance d’un tel incident lorsque celui-ci représente un risque de préjudice grave.

Les droits des personnes concernées

Les personnes concernées par les renseignements détenus par l’entreprise peuvent en demander l’accès, la rectification ou la désindexation, en soumettant une demande écrite à cet effet à la personne responsable laquelle doit y répondre dans les trente (30) jours suivant sa réception.

La personne responsable prête assistance à la personne qui effectue une demande, notamment afin de lui permettre de comprendre les motifs du refus de celle-ci, le cas échéant.

Demande d’accès

L’entreprise doit, à la demande de la personne concernée, lui confirmer qu’elle détient ses renseignements personnels et lui en donner communication en lui permettant d’obtenir une copie.

La copie de renseignements personnels informatisés doit être fournie à la personne concernée dans une
transcription écrite et intelligible et dans un format structuré et couramment utilisé.

Demande de rectification

Toute personne peut, si elle constate que ses renseignements personnels sont inexacts, incomplets ou ambigus, ou si elle n’a pas consenti à la collecte, la communication ou la conservation de ceux-ci, exiger qu’ils soient rectifiés.

Lorsqu’elle approuve une demande de rectification, l’entreprise délivre sans frais à la personne qui en a déposé la demande une copie des renseignements personnels modifiés ou ajoutés, ou, selon le cas, une attestation du retrait de tels renseignements personnels.

Demande de désindexation

Lorsque la diffusion de renseignements personnels contrevient à la loi, la personne concernée par ceux-ci peut exiger de l’entreprise :

• Qu’elle cesse la diffusion de ses renseignements personnels;
• Que l’hyperlien rattaché à son nom et qui permet d’accéder aux renseignements personnels par un moyen technologique soit désindexé.

La personne concernée peut aussi demander la désindexation ou la réindexation de tout hyperlien permettant d’accéder aux renseignements personnels en cas d’atteinte à la réputation ou à la vie privée, sous réserve de certaines conditions.

Le traitement des plaintes

Toute personne qui considère que l’entreprise failli à ses obligations concernant la protection des renseignements personnels, que ce soit en vertu d’une loi ou d’une politique, peut formuler une plainte.

La plainte doit être déposée par écrit et adressée à la personne responsable.

La personne qui formule la plainte doit indiquer son nom, son numéro de téléphone et son adresse courriel afin d’être joignable. La plainte doit également contenir une description détaillée des motifs justifiant son dépôt afin d’en permettre l’évaluation. La personne responsable peut demander d’obtenir des informations supplémentaires si elle juge que la plainte formulée n’est pas assez détaillée. La personne responsable traite toute plainte dans un délai raisonnable et y répond par écrit en justifiant les motifs de sa décision.

Respect de la politique

Tout manquement aux pratiques relatives à la protection des renseignements personnels pourra entraîner des sanctions disciplinaires pouvant aller jusqu’au congédiement.

L’entrée en vigueur et les mises à jour

La présente politique entre en vigueur le 1er septembre 2024. S’il y a lieu, les mises à jour sont précisées ci-dessous.

Mises à jour

Date	Modifications apportées
2024-09-01	Révision de la Politique de gouvernance encadrant la protection des renseignements personnels par ARH

Contact

Pour toute question ou demande d’information, nous vous invitons à communiquer avec la personne ci-dessous, qui se fera un plaisir de vous assister.

Directeur TI : Patrick Pilote