Politique de confidentialité
Politique de confidentialité des renseignements personnels et de la vie privée– Septembre 2023
Introduction
La présente politique traite de la gestion et de la protection des informations confidentielles au sein de ADI inc. Elle traite notamment des informations liées aux activités de l’entreprise, aux clients, fournisseurs et employés.
Elle définit les principes et les pratiques qui guident la collecte, l’utilisation et la gestion des données et comprend les normes et les directives techniques et comportementales pour la qualité, l’intégrité, la sécurité, la confidentialité, la conformité, la conservation et l’archivage des données, peu importe l’emplacement ou le format des données.
Cette politique s’applique aux renseignements personnels se trouvant sur des documents de tous formats (papier, numérique ou audiovisuel), qu’ils soient des fichiers enregistrés, des documents de travail, des documents électroniques, des courriels, des transactions en ligne, des données conservées dans des bases de données ou sur bande ou sur disque, des cartes, des plans, des photographies, des enregistrements sonores et vidéos.
Objectifs
La politique poursuit les objectifs suivants :
- Assurer le respect de la vie privée des personnes et la sécurité des informations personnelles détenues par ADI;
- Se donner des balises concernant les échanges d’informations.
Définitions
- Incident de confidentialité
Tout accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection. - Risque sérieux de préjudices
Le risque évalué à la suite d’un incident de confidentialité qui pourrait porter préjudice aux personnes concernées. Ce risque est analysé par la personne responsable des renseignements personnels. Pour tout incident de confidentialité, la personne responsable évalue la gravité du risque de préjudice pour les personnes concernées en estimant « la sensibilité des renseignements concernés », « les conséquences appréhendées de leur utilisation » et « la probabilité qu’ils soient utilisés à des fins préjudiciables ». - Renseignement confidentiel
Tout renseignement fourni ou communiqué à ADI sous quelque support que ce soit (verbal, écrit, audio, vidéo, informatisé ou autre) qui concerne une personne et qui peut être utilisé pour l’identifier, y compris : son nom, son numéro de téléphone, son adresse, son courriel, son genre, son orientation sexuelle et toute information concernant sa santé. Pour plus de certitude:- Les renseignements qui ne permettent pas d’identifier un individu dans le cadre d’un témoignage ne sont pas des renseignements confidentiels ;
- Les données statistiques ne sont pas des renseignements confidentiels puisqu’elles ne permettent pas d’identifier un individu ;
- Les photographies ou enregistrements qui ne permettent pas d’identifier un individu ne constituent pas un renseignement confidentiel relatif à cet individu. Les photographies ou enregistrements qui permettent d’identifier un individu comme employé ne constituent pas un renseignement confidentiel relatif à cet individu.
Rôles et responsabilités
Comité exécutif
- Approuve la présente politique et ses modifications, le cas échéant;
- Désigne un comité de gouvernance responsable de l’application de la présente politique.
Comité de gestion
- Examine et recommande la présente politique et ses modifications, le cas échéant, au comité exécutif;
- Désigne la personne qui agira à titre de Responsable de la protection des renseignements personnels;
- Approuve les directives en lien avec la politique sur la protection des renseignements personnels.
Responsable de la protection des renseignements personnels
- Agit à titre de personne responsable de la présente politique;
- Gère l’application de la présente politique et des directives en découlant;
- Agit à titre de responsable pour la gestion de tout incident en lien avec la protection des renseignements personnels conformément aux lois applicables;
- Rend compte périodiquement au Comité de gestion sur l’application de la présente politique;
- Agit à titre de répondant pour toute question relative à la protection des renseignements personnels.
Gestion des renseignements confidentiels
La direction est la personne responsable d’assurer la protection des renseignements personnels. La direction peut déléguer cette responsabilité en la constatant par écrit. Sur le site web de ADI doit être indiqué, sous le titre de la direction ou de la personne responsable, « personne responsable de la protection des renseignements personnels » ainsi que le moyen de la joindre. La direction ou la personne responsable s’assure de la tenue d’un Registre des incidents de confidentialité.
Directives
Obligation de confidentialité
Les employés de ADI sont tenus de signer la présente entente de confidentialité (Annexe A) avant d’exercer leurs fonctions. L’obligation de confidentialité s’applique à la durée de la relation de l’employé avec ADI et survit à la fin de cette relation.
- Collecte et usage des renseignements confidentiels
ADI peut, au besoin, constituer un ou des dossiers contenant des renseignements confidentiels concernant les employés. La constitution de tels dossiers a pour objet de :
o Maintenir les coordonnées à jour;
o Documenter des situations de travail;
o Permettre la réalisation des tâches administratives requises ou permises par la loi (impôt sur le revenu, assurances collectives, etc.). - ADI peut, au besoin, constituer un ou des dossiers contenant des renseignements confidentiels concernant les clients, fournisseurs et partenaires. La constitution de tels dossiers a pour objet de :
o Maintenir les coordonnées à jour;
o Documenter les relations et évènements.
o Les renseignements confidentiels peuvent seulement être recueillis auprès de la personne concernée, à moins que celle-ci consente à ce que la cueillette soit réalisée auprès d’autrui ou que la loi l’autorise.
- Conservation des données personnelles
Les employés de ADI doivent s’assurer que tous les documents électroniques comportant des renseignements confidentiels, incluant ceux copiés sur un appareil de stockage portatif, soient cryptés et protégés par des mots de passe. Ces mots de passe doivent être modifiés une fois par année, ainsi qu’à chaque fois que les personnes ayant accès aux dossiers concernés sont remplacées.Les employés de ADI doivent garder les renseignements confidentiels en format papier dans des classeurs pouvant être verrouillés et s’assurer que les classeurs soient verrouillés à la fin de chaque journée de travail. Les clés des classeurs doivent être gardées dans des endroits sûrs. - Divulgation de renseignements confidentiels à un tiers
Autre que dans les situations où la loi le requiert, ou si la vie, la santé ou la sécurité de la personne concernée est gravement menacée, les renseignements confidentiels ne peuvent être divulgués à un tiers qu’après l’obtention du consentement écrit, manifeste, libre et éclairé de la personne concernée. Un tel consentement ne peut être donné que pour une fin spécifique et pour la durée nécessaire à la réalisation de cette dernière. - Rétention des données
Les données sont conservées conformément au calendrier fourni ci-dessous ou aussi longtemps que nécessaire pour parvenir aux fins pour lesquelles elles ont été recueillies et pour respecter les obligations légales de l’organisme. Le délai de rétention est calculé à partir de la date de la dernière mise à jour.
Calendrier de rétention | ||
Type de données | Période de rétention | |
Documents comptable | 7 ans | |
Contrats et baux | 7 ans | |
Données sur les clients et fournisseurs | Permanent | |
Données sur les employés | Permanent |
- Destruction des renseignements confidentiels
Au plus tard à l’expiration de la période de rétention, les renseignements confidentiels sont détruits afin que les données y figurant ne puissent plus être reconstituées. - Communication de renseignements confidentiels à la personne concernée
Toute personne a le droit de connaître les renseignements confidentiels que ADI a reçus, recueillis et conserve à son sujet, d’avoir accès à de tels renseignements et de demander que des rectifications soient apportées à ceux-ci. - Incident de confidentialité
o Lorsqu’un(e) employé(e) de ADI constate un incident de confidentialité, il ou elle communique avec la direction ou la personne responsable d’assurer la protection des renseignements personnels.
o La direction ou la personne responsable identifie les mesures raisonnables pour réduire le risque de préjudice et pour prévenir de nouveaux incidents.
- La direction ou la personne responsable évalue si l’incident présente un risque de préjudice sérieux.
o Dans le cas où l’incident présente un risque de préjudice sérieux, la direction ou la personne responsable, prévient sans délai la Commission d’accès à l’information (CAI) via le formulaire prévu à cette fin et toute personne dont les renseignements personnels sont affectés.
o La direction ou la personne responsable tient un registre de tous les incidents.
o La direction ou la personne responsable répond à la demande de la CAI d’avoir une copie du registre, le cas échéant.
- Manquement à l’obligation de confidentialité
Un employé manque à son obligation de confidentialité lorsqu’il ou elle :
o Communique des renseignements confidentiels à des individus n’étant pas autorisés à y avoir accès ;
o Discute de renseignements confidentiels alors que des individus n’étant pas autorisés à y avoir accès sont susceptibles de les entendre ;
o Laisse des renseignements confidentiels sur papier ou support informatique à la vue dans un endroit où des individus n’étant pas autorisés à y avoir accès sont susceptibles de les voir;
o Fait défaut de suivre les dispositions de cette politique.
Advenant un manquement à l’obligation de confidentialité, des mesures disciplinaires appropriées, pouvant aller jusqu’à la résiliation du contrat de travail seront prises à l’égard de la partie contrevenante et des mesures correctives seront adoptées au besoin afin de prévenir qu’un tel scénario ne se reproduise.
- Possibilité de porter plainte à l’égard du non-respect des principes
Une personne peut porter plainte en cas de non-respect des principes relatifs à la protection des renseignements personnels en communiquant avec la personne responsable de la protection des renseignements personnels indiqué sur le site web de ADI sous la section Nous joindre ou en communiquant avec la direction si la plainte concerne la personne responsable de la protection des renseignements personnels.
La personne responsable de la protection des renseignements personnels est: Nadia Talbot
Contrôleure
[email protected]
Comme prévu par la loi, la personne s’étant vu refuser l’accès ou la rectification des renseignements confidentiels la concernant peut déposer sa plainte auprès de la Commission d’accès à l’information pour l’examen du désaccord dans les trente (30) jours du refus de ADI d’accéder à sa demande ou de l’expiration du délai pour y répondre.