Politique de gouvernance et de conservation des renseignements personnels
Version PDF en français | Version PDF en anglais
En vertu de l'article 3.2 de la Loi sur la protection des renseignements personnels dans le secteur privé, chapitre P-39.1 et réglementation sur les incidents de confidentialité ;
Préambule
Cette politique de gouvernance et de conservation des renseignements personnels découle de l’application de la Loi 25 sur la modernisation des dispositions législatives en matière de protection des renseignements personnels. Elle vise à encadrer les règles internes de Verosoft Design en matière de gestion des renseignements personnels et à garantir le respect des droits des personnes concernées par la collecte de ces renseignements.
Cette politique s’applique à l’ensemble des activités du groupe ADNM (ci-après « ADNM »), incluant la collecte, l’utilisation, la communication, la conservation et la destruction des renseignements personnels. Elle décrit également les procédures de traitement des incidents de confidentialité et de gestion des plaintes.
Renseignements personnels
Une information personnelle est définie comme toute information concernant une personne physique et permettant de l'identifier. Le nom d'une personne, pris isolément, n'est pas une information personnelle. Cependant, lorsque ce nom est associé ou combiné à une autre information concernant la même personne, il devient alors une information personnelle.
Dans le cadre de ses activités, ADNM peut recueillir et traiter différents types de renseignements personnels nécessaires à ses opérations, notamment (liste non exhaustive) :
- Informations d'identification (nom, prénom, adresse, courriel, numéro de téléphone).
- Données d'utilisation du logiciel (logs, adresse IP, données d'interaction).
- Données relatives à l'employé (coordonnées, expérience professionnelle, numéro d'assurance sociale).
- Informations contractuelles relatives aux clients, partenaires et fournisseurs (contrats, accès technique).
- Données financières et bancaires pour le traitement des paiements ou d'autres transactions financières.
Les informations personnelles sensibles sont considérées comme telles lorsque, de par leur nature - médicale, biométrique ou autrement intime - ou de par le contexte de leur utilisation ou de leur communication, elles donnent lieu à un degré élevé d'attente raisonnable en matière de respect de la vie privée.
Utilisation des renseignements personnels
ADNM s’assure que les renseignements personnels recueillis sont adéquats, pertinents et non excessifs par rapport aux fins pour lesquelles ils sont collectés. Ces renseignements peuvent être utilisés à diverses fins, notamment :
- Pour développer, déployer et maintenir nos produits logiciels.
- Pour gérer efficacement les relations avec les clients, employés et partenaires.
- Pour fournir un support technique et des services après-vente.
- Pour se conformer à des exigences légales ou contractuelles.
L’accès aux renseignements personnels est limité aux personnes ayant un besoin légitime dans le cadre de leurs fonctions. ADNM veille à obtenir un nouveau consentement si les renseignements doivent être utilisés à des fins différentes de celles initialement prévues.
Consentement et collecte des renseignements personnels
ADNM recueille le consentement des individus concernés avant de collecter leurs renseignements personnels. Ce consentement peut être obtenu par divers moyens, tels qu’un formulaire écrit durant l’embauche, un contrat signé ou une case à cocher lors de l’inscription à des services.
Dans certaines circonstances particulières, ADNM peut recueillir, utiliser ou divulguer des renseignements personnels sans que l’individu ou l’entité concernée n’ai pu en être informée ou qu’elle n’ait donné son consentement préalable, notamment pour des raisons règlementaires, légales, juridiques, médicales ou lié à la sécurité.
Ce consentement peut être retiré à tout moment en contactant la personne responsable des renseignements personnels.
Protection des renseignements personnels
ADNM met en place des mesures de sécurité appropriées et raisonnables afin de protéger les renseignements personnels contre la perte ou le vol, et contre l’accès, la divulgation, la copie, l’utilisation ou la modification non autorisés par la loi. Seuls les membres du personnel qui doivent absolument avoir accès aux renseignements personnels dans le cadre de leurs fonctions sont autorisés à y accéder.
Les personnes membres du personnel de l’entreprise ou qui travaillent en son nom doivent, notamment :
- Faire des efforts raisonnables pour minimiser le risque de divulgation non intentionnelle de renseignements personnels;
- Prendre des précautions particulières pour s’assurer que les renseignements personnels ne sont pas surveillés, entendus, consultés ou perdus lorsqu’elles travaillent dans des locaux autres que les bureaux d’ADNM; et
- Prendre des mesures raisonnables pour protéger les renseignements personnels lorsqu’elles se déplacent d’un endroit à l’autre.
ADNM met également en place une surveillance continue pour prévenir les intrusions et les failles de sécurité par l’entremise d’un système de cybersécurité.
Les employés d’ADNM ainsi que les prestataires externes ayant accès aux renseignements personnels sont tenus de respecter des ententes de confidentialité.
Personne responsable des renseignements personnels
La personne assumant ce rôle a notamment la responsabilité de :
- Recevoir et traiter les demandes d’accès et de rectification en respect de la protection des renseignements personnels et de la confidentialité,
- Recevoir les incidents de confidentialité et les traiter en lien avec la Commission d’accès à l’information,
- Recevoir les plaintes mettant en cause la protection des renseignements personnels, et les traiter en lien avec la Commission d’accès à l’information,
- Tenir à jour l’inventaire des renseignements personnels recueillis et le registre des incidents de confidentialités.
Il est possible de joindre la personne Responsable des renseignements personnels par les moyens suivants :
- Par courrier : Ressources humaines - Personne responsable des renseignements personnels
- 4000, Louis B.-Mayer, Laval (Québec) H7P 0J1
- Par courrier électronique : rh@adnm.net
- Par téléphone : 1-866-444-2366
Incident de confidentialité et signalement
Toute personne à laquelle Verosoft Design communique des renseignements personnels (fournisseurs, partenaires, sous-traitants) doit signaler tout incident de confidentialité lorsqu’elle a des motifs raisonnables de croire qu'un tel incident s’est produit concernant un renseignement personnel détenu par Verosoft Design. Ce signalement doit être effectué sans délai à la personne responsable de la protection des renseignements personnels.
Tout membre de Verosoft Design ayant des motifs raisonnables de croire qu'un incident de confidentialité s’est produit doit également en aviser son supérieur hiérarchique ou la personne responsable de la protection des renseignements personnels immédiatement.
Réception de la plainte
Lorsqu’un incident de confidentialité se produit, Verosoft Design procède aux actions suivantes :
- Identifier l’origine de l’incident, la date de survenance, sa durée, ainsi que les personnes concernées ;
- Inscrire l'événement dans le registre interne des incidents de confidentialité, lequel sera suivi par la personne responsable de la protection des renseignements personnels ;
- Envoyer un avis écrit aux personnes concernées, indiquant l’origine de l’incident et les mesures correctives prises ;
- Évaluer le préjudice potentiel, en tenant compte de l’ampleur de l’incident, de la possibilité d’utilisation malveillante, et des conséquences pour les personnes concernées.
Si l’incident présente un risque de préjudice sérieux, Verosoft Design avisera par écrit la Commission d’accès à l’information, conformément aux procédures et formulaires prescrits par celle-ci.
Toute personne concernée par l’application de cette politique peut porter plainte concernant la protection de ses renseignements personnels auprès de Verosoft Design.
La plainte doit être envoyée à rh@adnm.net.
Traitement des plaintes
Verosoft Design s’engage à traiter toute plainte reçue de manière confidentielle. La plainte sera évaluée dans un délai raisonnable par la personne responsable des renseignements personnels, qui fournira une réponse écrite et motivée à la personne plaignante.
Cette évaluation permettra de déterminer si le traitement des renseignements personnels par Verosoft Design est conforme à la présente politique et aux pratiques en vigueur au sein de l’entreprise, ainsi qu’à la législation applicable. Si la plainte est fondée, Verosoft Design prendra immédiatement les mesures correctives nécessaires et inscrira l’incident dans le registre des incidents de confidentialité.
Dossier de plainte
Verosoft Design doit constituer un dossier distinct pour chaque plainte reçue. Ce dossier inclura la plainte, son analyse, ainsi que toute documentation pertinente.
Droit d'accès, de rectification et de désindexation
Conformément à la législation en vigueur sur la protection des renseignements personnels, toute personne a le droit de consulter, de rectifier ou de demander la suppression des renseignements personnels qu'une organisation a collectés à son sujet. ADNM respecte ces droits et s'engage à traiter les demandes en conformité avec les réglementations applicables.
Toute personne peut faire une demande d’accès ou de rectification des renseignements personnels détenus par ADNM, sous réserve des exceptions prévues par la loi. Cette demande doit être adressée à la personne responsable des renseignements personnels, accompagnée d'une preuve d'identité pour la personne concernée, ou à titre de représentant autorisé ou d’un organisme ayant une autorité légale.
La demande doit inclure des informations précises permettant d’identifier les données concernées afin que ADNM puisse y répondre rapidement et efficacement. La personne responsable des renseignements personnels s’engage à répondre à cette demande dans un délai de 30 jours suivant sa réception. Ce délai peut être prolongé, si nécessaire, pour une période maximale de 15 jours, avec avis donné à la personne concernée.
ADNM prendra également toutes les mesures raisonnables pour réindexer ou désindexer les renseignements personnels des moteurs de recherche ou d'autres plateformes de recherche en ligne, conformément aux obligations légales.
Conservation et destruction des données
ADNM conserve les renseignements personnels uniquement pour la durée nécessaire aux fins pour lesquelles ils ont été recueillis, conformément à son calendrier de conservation, sauf si un projet particulier ou des exigences réglementaires imposent une période de conservation prolongée. Certains documents et informations doivent être conservés pour une durée prescrite en raison de la nature des projets ou des obligations légales et contractuelles.
ADNM met en œuvre les mesures techniques et organisationnelles appropriées pour s'assurer que seules les données personnelles indispensables sont conservées, et pour détruire ou anonymiser ces données de manière sécuritaire une fois leur finalité atteinte. Cela se fait en respectant les délais de conservation requis par la loi ou la réglementation fiscale applicable.
Documents papier et dossiers physiques
Les renseignements personnels conservés sous forme papier sont stockés dans les bureaux d’ADNM de manière sécurisée. Avant la destruction d'un document, la personne responsable doit s'assurer que toutes les données personnelles qu'il contient sont définitivement détruites, par des moyens tels que le déchiquetage ou l'incinération.
Documents informatiques
Les renseignements personnels stockés dans des fichiers informatiques sont hébergés sur les serveurs de ADNM ou sur des services cloud sécurisés. L'archivage et la destruction régulière de ces documents informatiques sont effectués conformément aux délais de conservation établis.
Médias numériques (cartes mémoire, clés USB, disques durs, etc.)
Lorsqu'il est nécessaire de détruire des informations personnelles sur des supports numériques, un formatage du support est effectué pour permettre une réutilisation ultérieure du média. Si cela n'est pas possible, le média est physiquement détruit pour assurer que les informations qu'il contient ne peuvent plus être récupérées.
Entrée en vigueur
Cette politique de gouvernance et de conservation des renseignements personnels peut être révisée à tout moment afin d'assurer sa conformité avec les lois en vigueur et pour tenir compte de toute évolution dans nos processus de collecte, d'utilisation, de conservation et de destruction des données.
ADNM s'engage à mettre à jour cette politique régulièrement afin de refléter les meilleures pratiques en matière de protection des renseignements personnels. La version la plus récente de cette politique sera disponible sur notre site internet, et tout changement significatif sera communiqué aux personnes concernées.
Dernière mise à jour : 3 octobre 2024