Politique cadre sur la protection des renseignements personnels d’EntreChefs PME

Dernière mise à jour : Janvier 2024

CONTEXTE

EntreChefs PME (« l’Entreprise ») est une entreprise privé assujetti aux différentes Lois sur la protection des renseignements personnels (les « Lois »).

En vertu des différentes Lois, l’Entreprise est responsable de voir à la protection des Renseignements personnels qu’elle détient, que ceux-ci soient conservés par elle-même ou via un tiers.

La présente politique vise à établir les règles encadrant la gouvernance de l’entreprise à l’égard des Renseignements personnels. Elle énonce notamment les principes applicables en la matière, sachant que la protection des Renseignements personnels détenus par l’entreprise incombe à toute personne ayant à les traiter dans le cadre de ses fonctions.

1. CHAMP D’APPLICATION

La présente politique s’adresse à tout le personnel de l’entreprise qui recueille, utilise, communique, conserve, détruit ou anonymise des Renseignements personnels, ou qui y a autrement accès, y compris lorsque ceux-ci sont conservés par un tiers.

Elle s’applique également à tout tiers à qui l’Entreprise confie des Renseignements personnels dans le cadre d’une relation contractuelle, notamment un contrat de service.

2. PRINCIPES DIRECTEURS

La présente politique établit les principes directeurs suivants :

2.1 Traitement des Renseignements personnels — Cycle de vie

2.1.1 Collecte

L’Entreprise détermine d’abord, avant de procéder à la collecte, les fins pour lesquelles elle recueille des Renseignements personnels.

Elle limite par la suite la collecte des Renseignements personnels à ceux qui sont nécessaires à la réalisation de ces fins, après Consentement de la Personne concernée.

2.1.2 Utilisation

L’Entreprise met en place des mesures afin de limiter l’accès aux Renseignements personnels aux personnes ayant besoin d’y avoir accès dans l’exercice de leurs fonctions.

L’Entreprise limite l’utilisation des Renseignements personnels aux fins pour lesquelles ils ont été recueillis, sauf exception prévue par la loi ou avec le Consentement de la Personne concernée. Notamment, elle peut utiliser des Renseignements personnels à des fins secondaires sans le Consentement de la Personne concernée, dans l’un ou l’autre des cas suivants :

  • Lorsque l’utilisation est à des fins compatibles avec celles pour lesquelles les Renseignements personnels ont été recueillis;
  • Lorsque l’utilisation est manifestement au bénéfice de la Personne concernée;
  • Lorsque l’utilisation est nécessaire à l’application d’une loi, que cette utilisation soit ou non prévue expressément par la loi;
  • Lorsque l’utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques et que les Renseignements personnels sont dépersonnalisés.

2.1.3 Communication

L’Entreprise limite la communication des Renseignements personnels à un tiers aux fins dont la Personne concernée a été informée lors de la collecte. Sauf exception prévue par la loi, une communication ne peut être faite à d’autres fins que celles déclarées lors de la collecte sans le Consentement de la Personne concernée. Le Consentement à une communication non déclarée au moment de la collecte doit être donné expressément lorsque des Renseignements personnels sensibles sont en cause.

Lorsque des Renseignements personnels sont communiqués à un mandataire ou à un fournisseur de services dans le cadre d’un mandat ou d’un contrat de services, l’Entreprise conclut une entente avec le fournisseur de services ou le mandataire qui comprend :

  • Les dispositions de la Loi applicables aux Renseignements personnels communiqués;
  • Les mesures que le cocontractant doit prendre pour :
    • en assurer le caractère confidentiel;
    • que ces Renseignements personnels ne soient utilisés que dans l’exercice de son mandat ou l’exécution de son contrat;
    • qu’il ne les conserve pas après l’expiration du mandat ou du contrat.
  • L’obligation pour le cocontractant d’aviser sans délai le Responsable de la protection des renseignements personnels de l’Entreprise de toute violation ou tentative de violation par toute personne de l’une ou l’autre des obligations relatives à la confidentialité des Renseignements personnels communiqués;
  • Le droit du Responsable de la protection des renseignements personnels de l’Entreprise d’effectuer toute vérification relative à cette confidentialité auprès de son cocontractant.

Lorsque les Renseignements personnels sont communiqués à des tiers hors Québec, l’Entreprise procède à une évaluation des facteurs relatifs à la vie privée (ÉFVP) conformément à la Loi.

2.1.4 Conservation

L’Entreprise met en place des mesures jugées raisonnables afin d’assurer non seulement la sécurité des Renseignements personnels qu’elle détient, mais également leur qualité et exactitude.

2.1.5 Destruction et Anonymisation

L’Entreprise voit à la destruction ou, le cas échéant, à l’Anonymisation des Renseignements personnels qu’elle détient lorsque les fins pour lesquelles ils ont été recueillis sont accomplies. La destruction est faite conformément aux règles de gestion de l’information de l’Entreprise.

2.2 Sécurité des Renseignements personnels

L’Entreprise prend des mesures de sécurité raisonnables afin de protéger les Renseignements personnels qu’elle détient. Ces mesures tiennent notamment compte de la sensibilité des Renseignements personnels, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.

2.3 Gestion des incidents de confidentialité

Lorsque l’Entreprise a des motifs de croire que s’est produit un Incident de confidentialité, elle enclenche le processus prévu à sa procédure en cas d’Incident de confidentialité, lequel vise notamment à mettre en place les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.

Dans l’éventualité où l’Entreprise détermine après analyse que l’Incident de confidentialité présente un risque qu’un préjudice sérieux soit causé, elle avise avec diligence la Commission et toute Personne concernée potentiellement touchée par l’Incident de confidentialité.

Tout Incident de confidentialité est signalé au Responsable de la protection des Renseignements personnels et est consigné au registre des Incidents de confidentialité.

2.4 Registre

Conformément à la Loi et dans l’éventualité où l’exercice de ses activités le requiert, l’Entreprise tient à jour un Registre des Incidents de confidentialité.

2.5 Évaluation des facteurs relatifs à la vie privée (ÉFVP)

Conformément aux dispositions de la Loi, l’Entreprise effectue une démarche préventive visant à mieux protéger les Renseignements personnels (une évaluation des facteurs relatifs à la vie privée) dans les cas suivants :

  • a) Lors d’un projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant des Renseignements personnels;
  • b) Lorsqu’elle veut communiquer à l’extérieur du Québec des Renseignements personnels, ou qu’elle souhaite confier à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte de tels Renseignements personnels;
  • c) Tout autre cas visé par la Loi.

La réalisation d’une telle évaluation des facteurs relatifs à la vie privée doit être proportionnée à la sensibilité des Renseignements personnels concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.

2.6 Droits des Personnes concernées

Conformément aux dispositions de la Loi et sous réserve des restrictions pouvant y être prévues, toute Personne concernée a notamment les droits suivants :

  • a) Droit d’accès aux Renseignements personnels la concernant détenus par l’Entreprise et droit de faire rectifier tout Renseignement personnel la concernant qui serait inexact ou incomplet;
  • b) Droit d’être assistée afin de mieux comprendre la portée d’un Consentement demandé;
  • c) Droit d’obtenir un Renseignement personnel informatisé dans un format technologique et couramment utilisé (droit à la portabilité, en vigueur le 22 septembre 2024).

De telles demandes ou plaintes concernant la gestion des Renseignements personnels par l’Entreprise doivent être formulées par

écrit au Responsable de la protection des renseignements personnels désigné par l’Entreprise et dont le nom et les coordonnées apparaissent aux Conditions de confidentialité de l’Entreprise disponibles sur son site web.

3. MOYENS DE RÉALISATION DE LA POLITIQUE

Parmi les moyens lui permettant de réaliser les objectifs de la présente politique, l’Entreprise compte sur les moyens suivants :

3.1 Sollicitation d’expertises complémentaires

L’Entreprise met à contribution différents secteurs de son organisation afin de déployer des mesures de saine gestion et de sécurisation des Renseignements personnels.

3.2 Sensibilisation et formation

L’Entreprise met en place des activités de formation et de sensibilisation par le biais de séances de formation ou de sensibilisation en présence ou virtuelles. Ces séances sont appuyées par la diffusion d’informations relatives à la protection des Renseignements personnels destinées à son personnel.

4. RÔLES ET RESPONSABILITÉS DES PRINCIPALES PARTIES PRENANTES

La présente politique précise les rôles et les responsabilités des parties prenantes suivantes relativement à la protection des Renseignements personnels :

4.1 Conseil d’administration

Le conseil d’administration approuve la présente politique, laquelle constitue l’assise du programme de protection des Renseignements personnels de l’Entreprise.

4.2 Comité d’audit et risque

La présente politique est soumise au comité d’audit et risque qui peut en recommander l’adoption au conseil d’administration. Il s’assure par ailleurs de la mise en œuvre du programme de protection des Renseignements personnels de l’Entreprise.

4.3 Direction générale

La personne titulaire du poste de directeur(trice) général(e) :

  • a) Agit à titre de personne ayant la plus haute autorité au sein de l’Entreprise et, à ce titre, désigne le Responsable de la protection des renseignements personnels de l’Entreprise;
  • b) Veille à assurer le respect et la mise en œuvre de la Loi, conformément aux dispositions qui y sont prévues.

4.4 Responsable de la protection des Renseignements personnels :

  • a) S’assure de la mise en œuvre de mesures visant la protection des Renseignements personnels tout au long de leur Cycle de vie, de la collecte à la destruction;
  • b) Avise la Commission ainsi que les Personnes concernées en cas d’Incident de confidentialité présentant un risque de préjudice sérieux pour ces dernières;
  • c) Fait le suivi de la mise en œuvre du programme de protection des Renseignements personnels auprès du directeur(trice) général(e) et du comité d’audit et risques;
  • d) Se conforme aux exigences liées aux demandes d’accès ou de rectification y compris :
    • I. Donner au requérant un avis de la date de réception de sa demande ;
    • II. Aviser le requérant des délais et de son droit à la révision ;
    • III. Répondre à la demande dans un délai de 20 jours, ou si le traitement de la demande ne paraît pas possible sans nuire au déroulement normal des activités de l’Entreprise, dans un délai de 10 jour supplémentaire, après avoir avisé le requérant par écrit ;
    • IV. Prêter assistance au requérant pour identifier le document susceptible de contenir les Renseignements personnels recherchés lorsque sa demande est imprécise ;
    • V. Motiver tout refus d’acquiescer à une demande d’accès ;
    • VI. À la demande du requérant, lui prêter assistance pour l’aider à comprendre la décision le concernant ;
    • VII. Rendre sa décision par écrit et en transmettre une copie au requérant. Elle doit être accompagnée du texte de la disposition sur laquelle le refus s’appuie, le cas échéant, et d’un avis l’informant du recours en révision et indiquant notamment le délai dans lequel il peut être exercé.
    • VIII. Veiller à ce que le Renseignement personnel faisant l’objet de la demande soit conservé le temps requis pour permettre au requérant d’épuiser les recours prévus à la Loi.
  • e) Supervise la tenue des registres énumérés à l’article 5.4 de la présente Politique et de la diffusion des registres telle qu’exigée par la Loi ;
  • f) Participe à l’évaluation du risque de préjudice sérieux lié à un Incident de confidentialité, notamment eu égard à la sensibilité des Renseignements personnels visés, aux conséquences anticipées de leur utilisation et à la probabilité que ces Renseignements personnels soient utilisés à des fins malveillantes;
  • g) Exerce toute autre fonction s’inscrivant dans le cadre du programme de protection des Renseignements personnels de l’Entreprise qui pourrait lui être confiée.

4.5 Gestionnaires

À l’égard de la mise en œuvre du programme de protection des Renseignements personnels, les gestionnaires de l’Entreprise :

  • a) S’assurent de l’application de la présente politique et de toute directive, guide et/ou procédure en découlant au sein de leur unité administrative et auprès de toute personne ou fournisseur traitant des Renseignements personnels de l’Entreprise dans le cadre d’une relation contractuelle;
  • b) En ce qui concerne les Renseignements personnels dont leur unité administrative est responsable, ils veillent à ce que ceux-ci soient maintenus à jour et doivent voir à leur destruction ou à leur transfert au stade semi-actif en fonction des règles établies;
  • c) Signalent tout Incident de confidentialité porté à leur connaissance conformément à la procédure en cas d’Incident de confidentialité en vigueur au sein de l’Entreprise;
  • d) Collaborent à la mise en œuvre de toute mesure visant à améliorer la protection des Renseignements personnels ou à remédier à un Incident de confidentialité.

4.6 Tout membre du personnel qui traite des Renseignements personnels de l’Entreprise

Tout membre du personnel qui traite des Renseignements personnels de l’Entreprise ou accomplit toute tâche directement liée à un tel traitement :

  • a) Respecte les orientations de la présente politique, de même que de toute directive, tout guide ou toute procédure en découlant;
  • b) Agit avec précaution à l’égard des Renseignements personnels et intègre les principes énoncés dans la présente politique à ses activités;
  • c) N’accède qu’aux Renseignements personnels nécessaires à l’exercice de ses fonctions;
  • d) S’abstient de communiquer les Renseignements personnels dont il prend connaissance dans l’exercice de ses fonctions, à moins d’être dûment autorisé à le faire;
  • e) S’abstient de conserver, à la fin de son emploi ou de son contrat, les Renseignements personnels obtenus ou recueillis dans le cadre de ses fonctions et maintient ses obligations de confidentialité;
  • f) Détruit ou archive tout Renseignement personnel conformément à la politique de conservation de l’Entreprise;
  • g) Participe aux activités de formation et de sensibilisation en matière de Renseignements personnels;
  • h) Signale tout Incident de confidentialité porté à sa connaissance ou toute autre situation ou irrégularité qui pourrait compromettre de quelque façon que ce soit la sécurité, l’intégrité ou la confidentialité de Renseignements personnels conformément à la procédure en cas d’Incident de confidentialité en vigueur au sein de l’Entreprise.

5. SANCTIONS

Toute personne qui contrevient à la présente politique ou à toute directive, guide ou procédure en découlant s’expose à des sanctions disciplinaires, administratives ou légales en fonction de la gravité de son geste. Ces mesures peuvent inclure la suspension des privilèges d’accès, la réprimande, la suspension, le congédiement ou autre, et ce, conformément aux ententes ou des contrats applicables.

6. DISPOSITIONS FINALES

6.1 Entrée en vigueur

La présente politique entre en vigueur à la date de son adoption par le conseil d’administration.

6.2 Révision

La présente politique pourra être révisée ponctuellement selon les changements législatifs et les besoins de l’Entreprise.