Politique de confidentialité
Préambule
La Loi sur la protection des renseignements personnels dans le secteur privé ( RLRQ, c. P-39 ) ( ci-après, la « Loi » ) et les règlements adoptés en vertu de celle-ci ont pour objet d’encadrer l’accès et la protection des renseignements personnels détenus par les entreprises privées.
Communications ISABO inc. ( ci-après « Communications Isabo » ) œuvre dans le secteur des outils de communications et de design numérique. Entre autres, elle offre des services de graphisme, d’illustrations, de la création de contenu créatif et de stratégies pour augmenter l’achalandage sur les plateformes numériques de ses clients.
Dans le cours de ses activités, Communications Isabo possède, traite, utilise, conserve, communique et détruit des Renseignements personnels concernant ses Employés, Clients et Fournisseurs. À ce titre, elle reconnaît l’importance du respect de la vie privée et de la protection des Renseignements personnels qu’elle détient et auxquels elle a accès.
Afin d’assurer sa conformité avec les obligations législatives en la matière, Communications Isabo s’est dotée de la présente « Politique sur les renseignements personnels » ( ci-après, « Politique » ). Celle-ci décrit les principes applicables en matière de protection, traitement, conservation, anonymisation, entre autres, des Renseignements personnels détenus par Communications Isabo.
Objet et cadre normatif
La présente Politique définit et encadre la collecte, la conservation, l’utilisation, le partage et la destruction des Renseignements personnels de tout Employé, Client, Fournisseur, dirigeant ou administrateur de Communications Isabo.
Elle encadre la gestion des Renseignements personnels tout au long de leur Cycle de vie et l’exercice des droits des Personnes concernées. Elle désigne la personne responsable de la protection des Renseignements personnels.
Elle vise à mettre en place des mesures permettant de protéger la confidentialité des Renseignements personnels conformément à la Loi et ses règlements.
La personne responsable des renseignements personnels au sein de Communications Isabo ( ci-après, « Personne responsable » ) a accès aux Renseignements personnels de tout Employé, Client et Fournisseur. Elle est responsable des Renseignements personnels, des Renseignements personnels sensibles et de la manière dont ils sont protégés et traités tout au longde leur Cycle de vie.
La personne responsable des renseignements personnels de Communications Isabo peut déléguer par écrit ses tâches à un ou à plusieurs de ses Employé(s). Cette ou ces personnes se doivent de signer une attestation écrite concernant le respect de la présente Politique.
Tout Employé de Communications Isabo est informé du contenu de la présente Politique et se doit de la respecter.
Prenez note que Communications Isabo n’est pas responsable des pratiques de ses Fournisseurs relativement à la vie privée et à la protection des renseignements personnels.
Définitions
Les définitions qui suivent s’appliquent à la présente Politique.
Anonymiser / anonymisé(s) : changement irréversible aux Renseignements personnels qui rend l’identification de la Personne concernée impossible, que ce soit directement ou indirectement. Le terme « irréversible » implique qu’il ne doit pas être possible, au moment de l’anonymisation et en tout temps, et ce, en considérant un futur prévisible, d’identifier de nouveau la Personne concernée directement ou indirectement.
Client : personne physique ou morale ayant signé un contrat afin de bénéficier des services de Communications Isabo.
Cycle de vie : l’ensemble des étapes visant le traitement d’un Renseignement personnel soit la collecte, l’utilisation, le partage, la conservation, la destruction et l’anonymisation de celui-ci.
Employé(s) : personne physique qui travaille pour Communications Isabo moyennant rémunération ou une expérience pratique, notamment un stage.
Fournisseur(s) : personne physique ou morale qui fournit à Communications Isabo des services de comptabilité, de technologies de l’information, de conseils juridiques ou de postes variés selon les besoins ponctuels, tels en dessin 3D, photographie, graphisme, qui pourrait avoir accès à des Renseignements dans le cadre des services qui sont rendus, incluant tout sous-traitant exécutant une prestation de services.
Personne(s) concernée(s) : personne physique à qui se rapportent les Renseignements.
Personne responsable des renseignements personnels : la personne désignée responsable de la protection des renseignements personnels au sein de Communications Isabo.
Politique : la présente « Politique sur les renseignements personnels ».
Renseignement(s) personnel(s) : toute information qui concerne une personne physique et qui permet de l’identifier.
Renseignement(s) personnel(s) sensible(s) : un renseignement qui, par sa nature notamment médicale, biométrique ou autrement intime ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée.
Collecte, utilisation et conservation
- Communications Isabo se doit de détenir certains Renseignements personnels dans le but d’atteindre des objectifs précis, que ce soit envers leurs Employés, Clients ou Fournisseurs. Ces objectifs sont définis aux articles suivants.
Types de renseignements personnels recueillis
Communications Isabo recueille différents types de Renseignements personnels dans le cadre de ses activités et de ses prestations de services, incluant :
- Des renseignements d’identité ou biographiques
- Des renseignements financiers, bancaires et relatifs à la facturation ;
- Des renseignements relatifs au recrutement et à la gestion d’employés ;
- Des renseignements relatifs aux Clients et aux contrats de services ;
- Des renseignements relatifs aux préférences de communication et de marketing ;
- Des renseignements fournis par des Clients ou Fournisseurs pour le compte de ceux-ci ou qui sont produits dans le cadre de la prestation de services ;
- Des renseignements d’identification ou de vérification d’antécédents ;
- Des renseignements relatifs aux personnes physiques et personnes morales œuvrant au sein des Clients et Fournisseurs de Communications Isabo qui bénéficient des services de Communications Isabo ;
- Tout autre renseignement fourni de plein gré par un Employé, Client ou Fournisseur.
- Communications Isabo ne recueille que les Renseignements personnels nécessaires à la réalisation de ses activités et aux fins spécifiques décrites ci-bas.
Finalités pour lesquelles les renseignements personnels sont recueillis, conservés et utilisés
En ce qui concerne les Employés de Communications Isabo, les Renseignements personnels sont recueillis, conservés et utilisés pour les finalités suivantes :
- Pour permettre au département de ressources humaines de maintenir un dossier d’employé à jour, afin de pouvoir, entre autres, identifier, évaluer et communiquer avec les Employés ;
- Pour assurer la santé et la sécurité des Employés ;
- Pour l’exécution des obligations contenues aux contrats de travail des Employés et l’évaluation de leur rendement ;
- Pour établir et maintenir une stratégie de recrutement pour de futurs Employés ;
- Pour permettre à Communications Isabo de protéger sa propriété intellectuelle ;
- Pour satisfaire aux exigences légales et gouvernementales, notamment celles des autorités fiscales ;
- Pour des besoins administratifs et de gestion ;
- Pour toutes autres fins compatibles avec les fins énoncées ci-dessus.
Cependant, Communications Isabo se réserve le droit de modifier ces finalités avec un avis à la Personne concernée.
En ce qui concerne les Clients de Communications Isabo, les Renseignements personnels sont recueillis, conservés et utilisés pour les finalités suivantes :
- Pour traiter une demande de services, effectuer une prestation de travail et gérer les besoins en tant que Clients ;
- Pour offrir aux Clients un service continu et maintenir une relation d’affaires ;
- Pour démontrer la compétence de Communications Isabo avec des exemples du travail accompli dans le passé ;
- Pour créer et maintenir des listes de contacts et d’envoi ;
- Pour confirmer l’identité des Clients et vérifier l’exactitude des renseignements fournis ;
- Pour établir un lien entre l’identité de la Personne concernée et l’organisme ou la personne morale concernée par la prestation de services ;
- Pour recevoir les paiements pour les services offerts ;
- Pour joindre les Clients afin de promouvoir de nouveaux services ou produits offerts par Communications Isabo ;
- Pour analyser les données afin de prendre de meilleures décisions sur les services offerts aux Clients et la manière dont ils sont offerts ;
- Pour satisfaire aux exigences légales et gouvernementales, notamment celles des autorités fiscales ;
- Pour des besoins administratifs et de gestion ;
- Pour toutes autres fins compatibles avec les fins énoncées ci-dessus.
Cependant, Communications Isabo se réserve le droit de modifier ces finalités avec un avis à la Personne concernée.
En ce qui concerne les Fournisseurs de Communications Isabo, les Renseignements personnels sont recueillis, conservés et utilisés pour les finalités suivantes :
- Pour effectuer les paies et la comptabilité de Communications Isabo ;
- Pour permettre de recevoir un service en lien avec les technologies de l’information ( TI ) ;
- Pour recevoir des conseils juridiques ;
- Pour établir, maintenir ou rompre toute relation contractuelle établie dans le cours des activités d’une entreprise ;
- Pour satisfaire aux exigences légales et gouvernementales, notamment celles des autorités fiscales ;
- Pour des besoins administratifs et de gestion ;
- Pour toutes autres fins compatibles avec les fins énoncées ci-dessus.
Cependant, Communications Isabo se réserve le droit de modifier ces finalités avec un avis à la Personne concernée.
Collecte et utilisation
Les Renseignements personnels sont recueillis par le biais d’interactions avec les Personnes concernées ou ses représentants autorisés, lorsqu’il y a une relation contractuelle existante ou qui s’apprête à être établie, entre Communications Isabo et la Personne concernée, que ce soit un contrat de services ou un contrat de travail.
Les interactions peuvent être effectuées sous forme verbale ou écrite, de façon physique ou électronique.
Communications Isabo réalise une évaluation des facteurs susceptibles de porter atteinte à la vie privée des Personnes concernées, notamment dans le contexte des traitements suivants de Renseignements personnels :
- Avant d’entreprendre un projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services qui implique des Renseignements personnels ;
- Avant de recueillir des Renseignements personnels nécessaires à l’exercice des attributions ou à la mise en œuvre d’un programme d’un organisme avec lequel il collabore pour la prestation de services ou pour la réalisation d’une mission commune ;
- Avant de communiquer des Renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces Renseignements personnels à des fins d’étude, de recherche ou de production de statistiques ;
- Avant de communiquer des Renseignements personnels sans le consentement des personnes concernées ;
- Avant de communiquer des Renseignements personnels à l’extérieur du Québec.
Conservation
Les Renseignements personnels des Employés, Clients et Fournisseurs recueillis sont conservés pour exécuter les finalités détaillées à l’article 8, 9, 10.
Tous les Employés de Communications Isabo s’obligent, comme condition d’emploi, à protéger les Renseignements personnels ou les Renseignements personnels sensibles et leur caractère confidentiel et à en assurer la sécurité. Cette obligation reste en vigueur même lorsqu’un Employé quitte Communications Isabo.
Ceci s’applique aux Renseignements personnels et Renseignements personnels sensibles des Employés, Clients et Fournisseurs de Communications Isabo.
- Seuls les Employés autorisés ont accès aux Renseignements personnels et aux plateformes sur lesquels ils sont regroupés, traités ou entreposés. Les systèmes informatiques et les procédures de traitement et accès aux Renseignements personnels sont munis de mécanismes de contrôles appropriés, lesquels sont vérifiés de façon continue pour garantir le respect des politiques de Communications Isabo en matière de sécurité et de protection des Renseignements personnels.
Ceci s’applique aux Renseignements personnels et Renseignements personnels sensibles des Employés, Clients et Fournisseurs.
Consentement
La collecte de Renseignements personnels se fait auprès de la Personne concernée sur la base d’un consentement manifeste, libre et éclairé et donné à des fins spécifiques. Celui-ci est donné via un formulaire fourni à l’Annexe A.
Le consentement de la Personne concernée est obtenu avant la collecte des données et après la divulgation des finalités pour lesquelles elles sont colligées.
Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé.
Les Renseignements personnels recueillis ne peuvent être utilisés que pour les fins pour lesquelles elles ont été collectées, sauf avec le consentement de la Personne concernée.
Communications Isabo ne vend pas, ne troque pas et n’échange pas de Renseignements personnels recueillis. À moins d’être autorisé par la Loi, Communications Isabo ne recueille aucun Renseignement personnel auprès de la Personne concernée sans obtenir d’abord son consentement à la collecte, à l’utilisation et au partage de ceux-ci.
Certaines circonstances pourraient justifier ou permettre l’utilisation ou la communication de Renseignements personnels par Communications Isabo ou l’obliger à divulguer certains Renseignements personnels sans le consentement de la Personne concernée. De telles circonstances peuvent inclure notamment les suivantes :
- Utilisation à des fins compatibles avec celles pour lesquelles le Renseignement personnel a été recueilli ;
- Utilisation manifestement au bénéfice de la Personne concernée ;
- Utilisation à l’occasion d’une transaction commerciale ou d’un contrat de services ;
- Utilisation nécessaire à des fins d’étude, recherche ou de production de statistiques, une fois que le Renseignement personnel ait été dépersonnalisé ;
- Au besoin, pour permettre à Communications Isabo d’exercer les recours disponibles ou limiter les dommages que Communications Isabo pourrait subir ;
- Lorsque la loi, une ordonnance, un tribunal, un organisme gouvernemental ou tout autre tribunal l’exige ;
- Lorsque les renseignements sont publics ;
Une Personne concernée peut à tout moment refuser de consentir à ce que Communications Isabo recueille, utilise ou communique des Renseignements personnels, ou peut retirer son consentement, en donnant à Communications Isabo un préavis raisonnable, à la condition toutefois que ce refus ou ce retrait ne limite pas la capacité de Communications Isabo d’offrir ses services, de se conformer aux lois applicables pour ce qui est des Renseignements personnels en sa possession et ne limite aucun des droits de Communications Isabo en vertu de la Politique ou des droits qui lui sont accordés par la législation applicable.
Dans certains cas, si une Personne concernée refuse de donner son consentement, il y a un risque que Communications Isabo soit dans l’impossibilité d’exécuter sa prestation de services ou de desservir son Client, son Employé ou son Fournisseur.
Dans la mesure où Communications Isabo a recours à une technologie qui comprends des fonctions d’identification, de localisation ou de profilage, la Personne concernée sera, au préalable, informée qu’une telle technologie est utilisée et des moyens offerts pour activer les fonctions d’identification, de localisation ou de profilage.
Anonymisation et destruction
Lorsque les finalités pour lesquels ils ont été recueillis ont été atteintes, Communications Isabo s’engage à détruire ou Anonymiser tout Renseignement personnel. Lorsque les Renseignements personnels sont détruits ou Anonymisés, Communications Isabo veille à ce qu’il n’y ait aucun accès non autorisé.
Sur demande par un Client, les Renseignements personnels de ce même Client peuvent être détruits une fois le contrat de services terminé.
Ceci s’applique aux Renseignements personnels et Renseignements personnels sensibles des Employés, Clients et Fournisseurs du Communications Isabo.
Communications Isabo détruit de façon sécuritaire les Renseignements personnels lorsque les fins pour lesquelles ils ont été recueillis sont accomplies, sous réserve des lois applicables quant à leur conservation.
Le terme « irréversible » implique qu’il ne doit pas être possible, au moment de l’anonymisation et en tout temps, et ce, en considérant un futur prévisible, d’identifier de nouveau la personne concernée directement ou indirectement.
Partage
Communications Isabo peut partager des Renseignements personnels de ses Clients ou Fournisseurs à d’autres Employés et Fournisseurs, des personnes ou organisations qui fournissent des services pour Communications Isabo, dont notamment des personnes ou organisations qui s’occupent de la mise en place et de la maintenance des systèmes informatiques.
Communications Isabo peut procéder au partage de Renseignements personnels de ses Employés, Clients ou Fournisseurs avec d’autres Fournisseurs, dans le but d’accomplir toute finalité inscrite à l’article 8, 9 ou 10 de cette Politique. Seuls les Renseignements personnels nécessaires sont partagés avec les Fournisseurs.
Accès et droits des personnes concernées
Toute Personne concernée a les droits suivants sur les Renseignements personnels qui sont détenus par Communications Isabo :
- Droit d’accès au dossier ;
- Droit de rectifier tout renseignement incomplet ou inexact ;
- Droit d’être informée que les renseignements sont détenus pour d’autres fins que celles préalablement déterminées ;
- Droit d’être informée que les renseignements peuvent être utilisés pour rendre une décision fondée sur un traitement automatisé ;
- Droit d’être informée lorsque les renseignements sont utilisés afin de rendre une décision exclusivement basée sur un traitement automatisé.
Toute demande visée à l’article 28 doit être effectuée par écrit à la Personne responsable, dont les coordonnées se trouvent à l’article 34. La demande doit inclure de quel droit la Personne concernée veut se prévaloir, les motifs pour lesquels elle désire se prévaloir de ses droits et ses coordonnées. Cette demande peut être envoyée par courriel.
Communications Isabo s’engage à transmettre un accusé de réception et s’engage à donner suite à la demande dans un délai raisonnable de trente ( 30 ) jours suivant sa réception.
Communications Isabo ne fait la mise à jour des Renseignements personnels de ses Employés, Clients ou Fournisseurs que sur demande. Par conséquent, il est dans le meilleur intérêt de la Personne concernée d’informer Communications Isabo sans tarder de tout changement de nom, d’adresse ou de tout autre Renseignement personnel pertinent.
Communications Isabo se réserve le droit de ne pas communiquer certains Renseignements personnels, même lorsque demandés, dans certaines circonstances, notamment les suivantes :
- Cette opération entraînerait la communication de Renseignements personnels, y compris des opinions, sur une autre personne, vivante ou décédée ;
- La communication des Renseignements personnels entraînerait la divulgation de secrets commerciaux ou de renseignements confidentiels ou exclusifs Communications Isabo ou si une telle divulgation pourrait miner l’intégrité du processus d’embauche, d’évaluation d’Employé(s) ou tout autre processus interne de Communications Isabo ;
- La communication des Renseignements personnels nuirait à des négociations contractuelles ou autres impliquant Communications Isabo ;
- Les Renseignements personnels font l’objet d’un litige ou sont protégés par le secret professionnel ou par un autre privilège attaché à la profession juridique ;
- Les Renseignements personnels sont difficiles d’accès et le travail ou les coûts pour les extraire seraient hors de proportion avec leur nature ou leur valeur ;
- Les Renseignements personnels n’existent pas ou sont introuvables, ayant notamment été sujets à une Destruction ou une Anonymisation ;
- Les Renseignements personnels peuvent gêner ou entraver le travail d’agences d’application de la loi ou d’autres activités d’enquêtes ou de réglementation d’un organisme autorisé par la loi à mener ces activités ;
- La communication des Renseignements personnels peut être refusée ou est interdite par les lois applicables.
Si Communications Isabo refuse de donner accès aux Renseignements personnelsde la Personne concernée, celle-ci recevra une explication écrite avec une référence à ladisposition de la Loi pertinente, les recours s’offrant à la Personne concernées et les délaisdans lesquelles elle devra agir, sauf si la loi l’interdit. Cette décision peut être contestée viaun courriel à la Personne responsable, en suivant les mêmes modalités que celles détailléesà l’article 35.
Plaintes
Toute question, commentaire, préoccupation ou plainte relativement au traitement des renseignements personnels, la présente Politique ou des pratiques en matière de protection de Renseignements personnels devraient être transmis à la Personne responsable dont les coordonnées sont les suivantes :
ISABELLE BEAUDOIN Présidente-fondatrice
Personne responsable des renseignements personnels de Communications Isabo
816, rue Notre-Dame Lavaltrie ( QC ) J5T 1L3
450 608-3010 | i.beaudouin@isabo.caLa plainte doit être formulée par courriel en remplissant le document de « Description d’une plainte » fourni à l’Annexe B.
La plainte devra inclure une description de l’incident, des parties impliquées et des circonstances qui l’entoure. Les coordonnées de la personne qui effectue la plainte seront également requises.
La Personne responsable répondra à chaque demande dans un délai raisonnable de trente ( 30 ) jours.
Incidents de confidentialité et procédure de signalement
Les membres de Communications Isabo, leurs Clients, Fournisseurs ou Employés signalent sans délai à la Personne responsable des renseignements personnels de Communications Isabo tout incident ou suspicion d’incident de confidentialité dont ils ont connaissance.
ISABELLE BEAUDOIN Présidente-fondatrice
Personne responsable des renseignements personnels de Communications Isabo
816, rue Notre-Dame Lavaltrie ( QC ) J5T 1L3
450 608-3010 I i.beaudouin@isabo.caLorsque possible, l’auteur du signalement prend les mesures adéquates afin de contenir l’incident et d’en limiter les torts ou dommages, et ce, le plus rapidement possible.
La personne responsable des renseignements personnels détermine s’il s’agit bien d’un incident de confidentialité, en répondant successivement aux deux ( 2 ) questions suivantes :
Les informations objets de l’Incident sont-elles des Renseignements personnels confidentiels?
Ces Renseignements personnels ont-ils fait l’objet :
- d’une consultation par une personne / entité non autorisée à en prendre connaissance ;
- d’une transmission à une personne / entité non autorisée à les recevoir ;
- d’une utilisation à des fins non autorisées par la Loi ou par le titulaire de ces renseignements ;
- d’une perte ou d’un vol dans des circonstances telles que l’hypothèse a, b ou c soit possible?
Dans l’affirmative, le processus se poursuit. La Personne responsable remplit une fiche décrivant l’incident, les circonstances l’entourant, les personnes concernées, les solutions qui ont été envisagées ou posées et toute autre information utile au sujet de l’incident de confidentialité.
Dans le cas où il n’y a qu’une seule question qui est répondue par l’affirmative, le processus cesse, n’étant pas en présence d’un incident de confidentialité.
La personne qui entend effectuer un signalement suit la procédure suivante établie à l’Annexe C.
Dans le cas d’un risque plausible de préjudice sérieux :
La Personne responsable informe les personnes et entités suivantes :
La Commission d’accès à l’information du Québec ( CAI ) ;
- Un avis écrit doit être soumis à la CAI selon les modalités détaillées sur le formulaire fourni à l’Annexe D.
Le Commissariat à la protection de la vie privée du Canada ( CPVPC ) ;
- Un avis écrit doit être soumis au CPVPC selon les modalités détaillées sur le formulaire fourni à l’Annexe E.
La Personne concernée par l’incident ;
- Cet avis se fait par tout moyen qui permet de joindre la Personne concernée dans un délai raisonnable. Il peut notamment s’agir d’un courriel ou d’une lettre postale.
Dans certains cas particuliers d’incident impliquant des Personnes concernées résidant hors du Québec, il est possible qu’une autre autorité régulatrice ( au Canada ou à l’étranger ) doive être informée de l’incident.
Par ailleurs, si l’incident constitue un crime, Communications Isabo en informe le service de police compétent.
En l’absence d’un risque plausible de préjudice sérieux :
La Personne responsable détermine s’il pertinent d’informer la Personne concernée de l’incident. Elle peut choisir de le faire pour des raisons de transparence ou de gestion. Ces raisons sont documentées dans le Registre des incidents de confidentialité, tel que décrit à l’article 45.
La Personne responsable des renseignements personnels:
- Applique les mesures correctrices qui s’imposent, afin de faire cesser l’incident ;
- Adopte les mesures préventives qui lui paraissent appropriées, afin d’éviter qu’un tel incident ne se reproduise ;
- Mentionne dans le Registre des incidents toutes les mesures prises.
Le Registre des incidents permet de documenter tous les incidents de confidentialité survenus. Outre son rôle essentiel lors d’un éventuel audit de conformité, ce registre permet de bonifier les plans de résilience, d’orienter au besoin l’offre de formation et de sensibilisation et d’améliorer en continu la gestion des incidents.
Le registre répertorie notamment, pour chaque incident :
- Sa nature ;
- Sa date de survenance ;
- La date à laquelle il a été découvert ;
- La date à laquelle il a été déclaré à la personne concernée ;
- Le type de renseignements personnels compromis ;
- Le nombre des personnes concernées ;
- Les conséquences de l’incident sur Communications Isabo et les personnes concernées ;
- Les mesures prises pour remédier, atténuer ou contenir les conséquences négatives de l’incident et celles pour éviter qu’un tel incident ne se reproduise ;
- Les dates et moyens d’une notification de l’incident.
Le Registre des incidents se trouve à l’Annexe F.
Mise à jour
Afin de suivre l’évolution du cadre normatif applicable en matière de protection des Renseignements personnels et d’assurer sa conformité avec la règlementation en vigueur, Communications Isabo se réserve le droit de modifier et mettre la présente Politique en tout temps.
La dernière mise à jour de la présente Politique a été effectuée en : octobre 2023.
Entrée en vigueur
La présente Politique entre en vigueur à partir du 22 septembre 2023.