Politique encadrant la gouvernance des renseignements personnels
2024-10-01
1. Introduction et objectifs
Groupe Touchette accorde une grande importance à la protection des renseignements personnels. À cet égard, Groupe Touchette a élaboré la présente politique afin d’encadrer sa gouvernance à l’égard des renseignements personnels pour permettre à ses employés, de même qu’à ses sous-traitants, de comprendre les exigences légales et les principes en matière de protection des renseignements personnels qui sont inhérents à l’exercice de leurs fonctions.
Plus spécifiquement, cette politique vise notamment à assurer le respect des lois et des standards applicables, en précisant, entre autres : (i) les règles relatives à la collecte et autres traitements de renseignements personnels détenus par Groupe Touchette; (ii) la gestion des accès aux renseignements personnels; (iii) le processus de traitement des plaintes relatives à la protection des renseignements personnels; et (iv) les mesures de sécurité mises en place afin d’assurer la confidentialité, l’intégrité et la disponibilité des renseignements personnels tout au long de leur cycle de vie.
Groupe Touchette a aussi mis en place diverses mesures en la matière conformément aux lois applicables, et notamment aux changements introduits par la loi 25. C’est ainsi que Groupe Touchette a notamment : (i) validé et confirmé les rôles et responsabilités de son responsable de la protection des renseignements personnels; (ii) mis en place diverses politiques en la matière, dont la suivante; (iii) mis en place un registre des incidents de confidentialité; (iv) entrepris la révision et la documentation de l’ensemble des mesures et des règles en matière de gouvernance; et (vi) préparé divers modèles de contrats et de registre.
2. Champs d’application
La présente politique s’applique aux:
- Individus: tous les employés de Groupe Touchette, de même qu’à ses sous-traitants, lorsqu’applicable.
- Activités : tout traitement de renseignements personnels dans le cadre de la mission, des activités ou des attributions de Groupe Touchette, même si la détention physique de ceux-ci n’est pas assurée par Groupe Touchette.
- Ressources : tous les systèmes d’information, sans égard à leur support ou à leur format, qu’ils soient conservés à l’interne ou à l’externe, tels que les systèmes en infonuagique.
- Renseignements : tout renseignement personnel, peu importe leur format et l’endroit de conservation (interne ou externe).
3. Définitions et interprétation
Dans cette politique, les termes suivants ont le sens qui leur est donné ci-après :
- Groupe Touchette désigne Groupe Touchette Inc.
- Anonymiser signifie le processus de traitement d’un renseignement personnel selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par le règlement.
- Détenir ou détention réfère à la détention juridique de renseignements personnels de même qu’à leur détention physique à moins que celle-ci soit confiée à un tiers,
- Document réfère à tous les documents, registres et autres fichiers conservés en version papier, électronique ou sur un tout autre support ou format, et qui contiennent des renseignements personnels.
- Employé réfère à toute personne à l’emploi du Groupe Touchette.
- Incident de confidentialité désigne : (i) tout accès, toute utilisation ou toute communication non autorisé(e) par la loi à un renseignement personnel; (ii) toute perte d’un renseignement personnel; ou (iii) toute autre atteinte à la protection d’un tel renseignement.
- Lois désigne toute loi et tout règlement et autres cadres normatifs/législatifs applicables à Groupe Touchette, y incluant la Loi sur la protection des renseignements personnels dans le secteur privé.
- Personne désigne toute personne dont les renseignements personnels pourront faire l’objet de traitements ou sont sous la responsabilité de Groupe Touchette dans le cadre de ses activités ou de sa mission.
- Renseignement personnel signifie tout renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier, sauf exceptions prévues par la loi.
- Renseignement personnel sensible signifie un renseignement qui de par sa nature, ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré d’attente raisonnable de protection (ex. le numéro d’assurance sociale).
- Sous-traitant réfère à tout consultant, tout fournisseur de service, tout partenaire ou tout autre tiers dûment autorisé, qui détient, utilise, accède, héberge ou effectue autrement le traitement de renseignements personnels à la demande de Groupe Touchette.
- Standards réfère à toute ligne directrice, toute meilleure pratique, toute norme et tout standard de l’industrie généralement accepté et auquel Groupe Touchette adhère.
- Traiter ou traitement réfère à toute opération appliquée à des renseignements personnels, telle que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation, la modification, l'extraction, la consultation, l'utilisation, la communication, la diffusion (ou autre mise à disposition), le rapprochement (ou l'interconnexion), le verrouillage, l'effacement, la destruction ou l’anonymisation.
À moins que le contexte ne le requière autrement, les variations grammaticales de tout terme défini ont une signification similaire, et le singulier inclut le pluriel, et le masculin inclut le féminin, et vice versa.
4. Principes directeurs
Dans le cadre de sa mission et de ses activités, Groupe Touchette est appelée à détenir et/ou à traiter divers types de renseignements personnels. À cet effet, Groupe Touchette insiste sur l’importance que tout traitement ait lieu selon les principes directeurs suivants :
- la collecte de renseignements personnels doit être nécessaire, et requise ou permise par la loi (et, lorsqu’applicable, par tout contrat);
- tout renseignement personnel est considéré, par défaut, comme confidentiel et est traité de cette façon;
- aucun renseignement personnel ne peut faire l’objet de traitements à moins que les consentements requis n’aient été obtenus ou que tels traitements soient permis ou requis par la loi;
- la protection des renseignements personnels doit être assurée entre autres par la mise en place et le respect de mesures de sécurité adéquates;
- les renseignements personnels ne peuvent être conservés que pour la période requise pour les fins pour lesquelles ils ont été colligés (sujets aux exceptions légales et contractuelles applicables); et
- toute demande (d’accès, de rectification et autres) et tout incident de confidentialité doivent être immédiatement rapportés au responsable de la protection des renseignements personnels.
5. Responsable de la protection des renseignements personnels
Le responsable de la protection des renseignements personnels de Groupe Touchette Inc. assure le respect et la mise en œuvre des exigences applicables en matière de vie privée :
Groupe Touchette Inc.
Responsable de la protection des renseignements personnels
750 boulevard Lebeau, Ville Saint-Laurent, QC, H4N 1S4 informationpersonnelle@grtouchette.com
6. Renseignements personnels concernant les employés
Cette section s’applique aux renseignements personnels que Groupe Touchette est appelée à recueillir ou autrement à traiter concernant ses employés. Cette collecte et ce traitement de renseignements personnels se feront seulement dans la mesure où cela est (i) requis pour gérer sa relation d’emploi avec ses employés; (ii) permis par la loi; ou (iii) nécessaire pour se conformer aux exigences légales et contractuelles applicables. Ces traitements auront lieu comme prévu à la politique de gouvernance.
i. CUEILLETTE ET UTILISATION DES RENSEIGNEMENTS PERSONNELS PAR GROUPE TOUCHETTE
Groupe Touchette recueille les renseignements personnels qui sont requis ou facultatifs pour gérer sa relation d’emploi avec ses Employés.
Sauf exceptions prévues par la loi, lorsque Groupe Touchette recueille, utilise ou divulgue des renseignements personnels qui ne sont pas nécessaires pour gérer la relation employeur-employé, le consentement de l’employé est requis. De même, lorsque des renseignements personnels sont recueillis pour gérer la relation employeur-employé, et que Groupe Touchette veut les utiliser ou les divulguer à d’autres fins, le consentement est également requis.
- Lorsque des renseignements personnels sont recueillis et utilisés pour gérer la relation employeur-employé, seulement les employés de Groupe Touchette dont les fonctions l’exigent auront accès à ces renseignements personnels.
- De même, Groupe Touchette ne divulguera des renseignements personnels qu’à des tiers qui en ont besoin pour remplir leurs obligations contractuelles envers Groupe Touchette, lesquels sont liés par les obligations en matière de confidentialité imposées par Groupe Touchette, ou lorsque Groupe Touchette croit sincèrement être tenue de le faire en vertu de la loi (par exemple, aux autorités fiscales et aux organismes chargés de l’application de la loi) ou pour la protection de Groupe Touchette ou de ses biens ou de ses employés. Sinon, un consentement à l’égard de la divulgation de renseignements personnels est requis.
Groupe Touchette peut mettre à la disposition de ses employés un ou plusieurs réseaux qui leur permettent : (i) d’échanger entre eux; et/ou de communiquer avec de tierces parties (dont des sous-traitants ou des professionnels) à des fins d’affaires; et (ii) d’accéder à Internet ainsi qu’à de l’information et à de la documentation de Groupe Touchette. L’utilisation du réseau, de l’information et du matériel qui est la propriété de Groupe Touchette est limitée aux affaires de Groupe Touchette. Toutefois, Groupe Touchette est consciente qu’une utilisation limitée du réseau ou du matériel technologique fourni par Groupe Touchette à ses employés peut être nécessaire pendant les heures de travail pour des fins personnelles (ex : prendre des rendez-vous personnels) (collectivement, les communications personnelles). Les employés ne peuvent avoir d’attentes raisonnables à l’égard du respect du caractère confidentiel en ce qui concerne les communications personnelles effectuées à l’aide du réseau ou du matériel informatique de Groupe Touchette.
ii. DIVULGATION DE RENSEIGNEMENTS PERSONNELS PAR GROUPE TOUCHETTE
Groupe Touchette ne fournira pas à des tiers des renseignements personnels concernant ses employés sans leur consentement, sauf exceptions prévues par la loi ou conformément à la présente politique, y compris, si nécessaire : (i) pour gérer la relation employeur-employé; (ii) pour permettre à un tiers d’exécuter ses obligations contractuelles à l’endroit d’un employé ou à l’endroit de Groupe Touchette; ou (iii) si, de bonne foi, Groupe Touchette croit que cette mesure est raisonnablement nécessaire pour se conformer à un acte de procédure ou pour répondre à des demandes ou pour protéger les droits, les biens ou la sécurité de Groupe Touchette, ses représentants, ses employés et clients, ou de la population. De plus, seulement les employés de Groupe Touchette dont les fonctions l’exigent auront accès aux renseignements personnels. Voici des exemples de diverses catégories auxquelles la divulgation de renseignements personnels peut correspondre :
Tiers | Fins | Renseignements fournis |
Sous-traitants (Fournisseurs et consultants – régimes d’avantages sociaux collectifs) | Fournir des programmes d’avantages sociaux aux employés de Groupe Touchette, administrer les demandes ainsi que faire le suivi et calculer les provisions mathématiques pour les avantages sociaux. | Nom, date de naissance, adresse et numéro de téléphone résidentiels, état civil, renseignements sur les personnes à charge, salaire, questionnaire médical, type de couverture, renseignements sur les demandes, numéro d’assurance sociale, etc. |
Sous-traitants (Service de la paie) | Fournir des services de dépôt direct et de traitement de la paie aux employés de Groupe Touchette. | Nom, date de naissance, adresse et numéro de téléphone résidentiels, renseignements sur la rémunération, numéro d’assurance sociale, renseignements fiscaux. |
Sous-traitants (services informatiques, etc.) | Assister Groupe Touchette dans certaines tâches en matière de gestion de personnel. | Renseignements requis par les sous-traitants pour fournir les services. |
Autorités fiscales | Se conformer aux obligations de Groupe Touchette en vertu de la législation fiscale pertinente. | Revenu ou rémunération, numéro d’assurance sociale, autres renseignements personnels comme l’âge ou l’adresse résidentielle requis par les autorités fiscales. |
Références (fournies par un candidat) | Assurer la véracité des informations reçues du candidat et obtenir l’opinion de la référence sur ses capacités. | Nom du candidat, extraits pertinents de la candidature. |
Services d’urgence | Assurer la sécurité des personnes concernées en cas d’urgences. | Noms et informations requises par les services. |
Organismes d’application de la loi ou autorités gouvernementales | Le cas échéant prévenir, détecter ou mettre fin à une infraction, assurer le respect de la loi, et respecter une ordonnance de la cour ou d’un tribunal. | Tous les renseignements pertinents à cette fin. |
En soumettant des renseignements personnels à Groupe Touchette, les employés reconnaissent avoir consenti aux pratiques de cueillette, d’utilisation et de divulgation établies dans la présente politique. Tout employé peut retirer son consentement en tout temps à l’égard des renseignements personnels qui ne sont pas nécessaires pour gérer la relation employeur-employé, pour permettre à un tiers d’exécuter ses obligations contractuelles à son endroit ou à l’endroit de Groupe Touchette, ou pour une autre fin décrite à la présente en communiquant par écrit avec le responsable de la protection des renseignements personnels de Groupe Touchette. Toutefois, en faisant ce choix, il se pourrait que l’employé limite la capacité de Groupe Touchette de le servir et de lui fournir des avantages sociaux ou de réaliser toute autre tâche ou fonction applicable.
7. Renseignements personnels concernant toute autre personne
Groupe Touchette est également appelée à traiter des renseignements personnels de personnes communiquant avec cette dernière. Ces traitements auront lieu sur la base du consentement ou d’une situation qui est permise ou requise par la loi.
8. Consentements
Groupe Touchette reconnaît l’importance d’obtenir un consentement valide en lien avec la collecte ou tout autre traitement de renseignements personnels. Les consentements obtenus doivent prendre en compte les exigences suivantes :
Consentement | Critères |
Renseignements personnels |
|
Renseignements sensibles |
|
La loi reconnaît certaines situations où le consentement de la personne concernée ne sera pas sollicité ou n’aura pas à être sollicité. Veuillez consulter le responsable de la protection des renseignements personnels à cet égard. À noter que lorsqu’une personne le requiert, il lui est prêté assistance afin de l’aider à comprendre la portée du consentement demandé.
9. Conservation, destruction et anonymisation
Sous réserve d’un délai de conservation prévu par la loi, lorsque les fins auxquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, Groupe Touchette procédera : (i) à la destruction de ce renseignement personnel de façon sécuritaire; ou (ii) si applicable, à l’anonymisation des renseignements pour l’utilisation à des fins sérieuses et légitimes, suivant les critères établis par règlement. Afin de se conformer à ce qui précède, Groupe Touchette a élaboré une Politique de conservation des documents contenant des renseignements personnels.
10. Procédure et normes relativement à la communication de renseignements personnels à l’extérieur du Québec
Afin de respecter les exigences légales applicables et d’assurer la confidentialité et la sécurité de tout renseignement personnel, Groupe Touchette procédera à une évaluation des facteurs relatifs à la vie privée avant de communiquer à l’extérieur du Québec un renseignement personnel.
Cette évaluation tiendra notamment compte : (i) de la sensibilité du renseignement personnel; (ii) de la finalité de son utilisation; (iii) des mesures de protection, y compris celles qui sont contractuelles, dont le renseignement personnel bénéficierait; et (iv) du régime juridique applicable dans l’État où ce renseignement personnel serait communiqué.
Aux fins de cette évaluation, le responsable de la protection des renseignements personnels sera consulté dès le début du projet. Les conseillers juridiques de Groupe Touchette, de même que tout autre intervenant jugé requis/souhaitable, pourront aussi être impliqués ou consultés.
La communication pourra s’effectuer si l’évaluation démontre que le renseignement personnel bénéficierait d’une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus. La communication devra faire l’objet d’une entente écrite qui tient compte notamment des résultats de l’évaluation et, le cas échéant, des modalités convenues dans le but d’atténuer les risques identifiés dans le cadre de cette évaluation. Il en est de même lorsque Groupe Touchette confiera à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver pour son compte un tel renseignement.
Afin de se conformer à ce qui précède, Groupe Touchette élaborera un Modèle d’évaluation des facteurs relatifs à la vie privée dans le contexte de la communication de renseignements personnels à l’extérieur du Québec conforme à la loi.
11. Procédure et normes relatives à la communication de renseignements personnels à des fins d’étude, de recherche ou de production de statistiques
Conformément aux exigences de la loi, Groupe Touchette pourrait communiquer des renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques. Pour ce faire, Groupe Touchette devra réaliser au préalable une évaluation des facteurs relatifs à la vie privée. Cette évaluation devra conclure :
- que l’objectif de l’étude, de la recherche ou de la production de statistiques ne peut être atteint que si les renseignements personnels sont communiqués sous une forme permettant d’identifier les personnes concernées;
- qu’il est déraisonnable d’exiger que la personne ou l’organisme obtienne le consentement des personnes concernées;
- que l’objectif de l’étude, de la recherche ou de la production de statistiques l’emporte, eu égard à l’intérêt public, sur l’impact de la communication et de l’utilisation des renseignements sur la vie privée des personnes concernées;
- que les renseignements personnels sont utilisés de manière à en assurer la confidentialité; et
- que seuls les renseignements personnels nécessaires sont communiqués.
Préalablement à la communication des renseignements personnels visés, Groupe Touchette devra conclure avec la personne ou l’organisme à qui elle les transmet une entente conforme aux exigences de la loi.
Afin de se conformer à ce qui précède, Groupe Touchette a élaborera un Modèle d’évaluation des facteurs relatifs à la vie privée dans le contexte de la communication de renseignements personnels à des fins d’étude, de recherche ou de production de statistiques conforme à la loi.
12. Projet technologique impliquant des renseignements personnels
Afin de respecter les exigences légales applicables et d’assurer la confidentialité et la sécurité des renseignements personnels, Groupe Touchette procédera à une évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels. La réalisation de cette évaluation devra être proportionnée à la sensibilité des renseignements personnels concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.
Aux fins de cette évaluation, le responsable de la protection des renseignements personnels sera consulté dès le début du projet. Les conseillers juridiques de Groupe Touchette, de même que tout autre intervenant jugé requis ou souhaitable, pourront aussi être impliqués ou consultés.
Groupe Touchette veillera à s’assurer que tout projet permet qu’un renseignement personnel informatisé recueilli auprès de la personne concernée soit communiqué à cette dernière dans un format technologique structuré et couramment utilisé.
Afin de se conformer à ce qui précède, Groupe Touchette a élaborera un Modèle d’évaluation des facteurs relatifs à la vie privée dans le cadre de projets technologiques impliquant des renseignements personnels, conforme à la loi.
13. Recours à une technologie d’identification, de localisation ou de profilage
De temps à autre, Groupe Touchette pourrait avoir recours à une technologie comprenant des fonctions permettant d’identifier une personne, de la localiser ou d’effectuer un profilage de celle-ci. Groupe Touchette se conformera aux exigences de la loi en cette matière.
14. Prise de décision fondée sur le traitement automatisé de renseignements personnels
De temps à autre, Groupe Touchette pourrait utiliser des renseignements personnels afin que soit rendue une décision fondée exclusivement sur un traitement automatisé de ceux-ci. Dans tous les cas et conformément à la loi, Groupe Touchette veillera à informer la personne concernée de ce fait, au plus tard au moment où la décision de Groupe Touchette lui est communiquée, en plus de se conformer aux autres exigences de la loi en cette matière.
15. Mesures de sécurité
Groupe Touchette surveille l’utilisation du réseau, des communications et de l’information, y compris des communications personnelles. La surveillance électronique comprend des activités comme la consignation des accès des employés au réseau, aux communications et à l’information; l’accès et l’enregistrement des communications envoyées ou reçues par courriel ou par toute autre méthode de messagerie électronique; et la surveillance de l’utilisation d’Internet, qui peut permettre de repérer les serveurs et les sites auxquels les employés de Groupe Touchette ont accédé. Groupe Touchette surveille l’utilisation du réseau, des communications et de l’information, y compris des communications personnelles, à des fins de maintenance et de sécurité; pour assurer une utilisation du réseau, des communications et de l’information conforme aux politiques de Groupe Touchette et à la loi; et, lorsqu’elle le juge nécessaire ou utile, pour protéger les droits, la propriété ou la sécurité de Groupe Touchette, de ses représentants, employés et clients, ou la population, mais ne limite pas sa capacité à utiliser les renseignements recueillis par la surveillance électronique. À ces mêmes fins, elle fait ce qui suit :
- elle fait périodiquement des copies de sécurité des communications, de l’information et des communications personnelles qui sont gardées conformément à la Politique de conservation des documents contenant des Renseignements personnels, en Annexe 1 de la présente;
- elle peut exiger l’accès à de l’équipement qui est la propriété tant de Groupe Touchette que de ses employés et qui est utilisé pour accéder au réseau, notamment des mots de passe protégeant cet équipement;
- elle peut copier, utiliser et divulguer à des tiers, y compris aux organismes chargés de l’application de la loi au Canada ou ailleurs, les communications, l’information et les communications personnelles.
Au moment de quitter Groupe Touchette :
- toutes les communications, l’information et les communications personnelles peuvent être copiées pour une utilisation ou une communication ultérieure;
- seulement dans la mesure de ce qui est possible, un effort sera fait pour détruire les communications personnelles;
- au gré de Groupe Touchette, celle-ci peut permettre à un employé de copier ou de garder des communications personnelles;
- tous les appareils électroniques qui appartiennent à Groupe Touchette lui sont rendus, et les employés de Groupe Touchette n’ont pas le droit de copier ou de garder de l’information ou des communications sur un appareil de Groupe Touchette ou un appareil personnel.
Les laissez-passer électroniques remis aux employés de Groupe Touchette peuvent enregistrer l’heure et les endroits où ils sont utilisés et des caméras de sécurité installées dans les locaux de Groupe Touchette enregistrent sur bande vidéo les espaces clés des établissements de Groupe Touchette. L’information tirée des laissez-passer électroniques et des enregistrements des caméras de sécurité est accessible et utilisable à des fins de sécurité ou pour se conformer aux politiques de Groupe Touchette. Selon l’emplacement de votre poste de travail, certains renseignements associés à votre laissez-passer électronique et aux caméras de sécurité peuvent être recueillis par le gestionnaire ou les propriétaires de l’immeuble, et dans un tel cas, ces renseignements sont assujettis à la politique sur la protection des renseignements personnels de ce propriétaire/gestionnaire.
Groupe Touchette met en place diverses mesures de sécurité propres à assurer la protection des renseignements personnels qu’elle traite et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support, dont les suivantes:
i. MESURES INTERNES
Groupe Touchette déploie diverses mesures à l’interne en matière de sécurité, dont celles ci-après :
Séparation des rôles, responsabilités et tâches
La séparation des fonctions incompatibles et des accès est l’un des piliers d’un contrôle efficace, destiné à prévenir ou réduire les risques d’actes d’atteintes à la vie privée (par exemple, en s’assurant qu’un même individu ne peut contrôler toutes les phases d’un processus). À cet effet, Groupe Touchette veille à ce que l’octroi des accès aux renseignements personnels soit limité aux seuls employés et/ou sous-traitants ayant besoin d’en prendre connaissance.
Installation de logiciels et d’équipements
Toute installation de logiciel ou d’équipement est effectuée exclusivement sous la supervision ou sur la préapprobation de l’équipe informatique de façon à s’assurer que les risques ont été validés et compris, que les conventions et droits d’utilisation sont conformes à l’utilisation prévue, que les applications sont normalisées et que les plateformes respectent les standards de configuration.
Évaluation des facteurs relatifs à la vie privée et évaluation des risques
Des évaluations des facteurs relatifs à la vie privée, visant à mieux protéger les renseignements personnels et à respecter davantage la vie privée des individus concernés, sont réalisées conformément à la loi et tel que plus amplement détaillées à la présente Politique.
Groupe Touchette prend les mesures raisonnablement requises pour s’assurer que tous ses employés et sous-traitants soient au fait des règles en matière de vie privée comme prévu aux lois et aux standards applicables, de même qu’à cette politique. La sensibilisation et la formation de manière continue sont essentielles pour assurer la protection des renseignements personnels. De même, la procédure en cas d’incidents de confidentialité et connue du responsable de la protection des renseignements personnels, des dirigeants et du personnel technique pertinent de Groupe Touchette. Enfin, Groupe Touchette veille à dispenser des formations en matière de protection des renseignements personnels aux employés, dans la mesure où leurs fonctions justifient la dispense de telle formation.
Protection des systèmes d’information
Le niveau de protection accordé aux systèmes d’information est déterminé en fonction du résultat de l’évaluation des risques et de la sécurité requise. De plus, tout accès aux systèmes doit permettre d’en identifier l’utilisateur, et les mesures de sécurité doivent trouver application tout au long du cycle de vie des renseignements personnels. Enfin, la protection des renseignements personnels s’appuie sur l’implication continue de chaque employé, devant notamment : (i) utiliser toute ressource avec discernement aux fins prévues et en se conformant aux lois et aux standards applicables, de même qu’aux instructions de Groupe Touchette; (ii) choisir des mots de passe complexes; (iii) maintenir la sécurité et la confidentialité de tout mot de passe et de leurs identifiants; et (iv) ne pas conserver de renseignements personnels sur des technologies autres que celles spécifiquement autorisées par Groupe Touchette.
Les renseignements personnels doivent être transmis, échangés ou autrement transférés à l’extérieur du réseau de Groupe Touchette de façon sécurisée. Tout transfert de renseignements personnels vers des sources externes non autorisées est expressément interdit.
Groupe Touchette dispose des mesures technologiques et procédurales en vue d’assurer la remise en fonction dans un délai raisonnable des opérations jugées essentielles en cas de sinistre (ex. cyber attaque majeure, inondation, incendie, etc.).
ii. MESURES RELATIVES AUX SOUS-TRAITANTS
Sujet aux lois applicables, Groupe Touchette veille à se conformer à ce qui suit lorsque des renseignements personnels doivent être traités par des sous-traitants afin que ceux-ci puissent réaliser le mandat/contrat qui leur est confié :
- conclure un contrat écrit, et y indiquer les dispositions de la loi qui s’appliquent aux renseignements personnels, les mesures devant être prises pour qu’ils ne soient utilisés que dans l’exercice du mandat/contrat et qu’ils ne soient pas conservés suivant son expiration, et toute autre disposition requise par la loi;
- lorsqu’applicable, s’assurer que tout sous-traitant prenne les mesures requises pour que tout tiers pouvant l’assister dans la réalisation du contrat/mandat qui lui est confié soit tenu de se conformer à des obligations de confidentialité au moins aussi exigeantes que celles incombant au sous-traitant (incluant celles prévues au contrat/mandat et à cette politique).
À cet égard, Groupe Touchette a élaboré des modèles de clauses contractuelles. Ces modèles seront ajustés au cas par cas, en fonction du cocontractant et du contenu du contrat à être élaboré avec celui-ci.
iii. INCIDENTS DE CONFIDENTIALITÉ
Diverses situations, dont les suivantes, constituent des incidents de confidentialité :
- un employé ou un sous-traitant consulte des renseignements personnels non nécessaires à l’exercice de ses fonctions en outrepassant les droits d’accès qui lui ont été consentis;
- un pirate informatique s’infiltre dans un système;
- un employé ou un sous-traitant utilise des renseignements personnels d’une base de données à laquelle il a accès dans le cadre de ses fonctions dans le but d’usurper l’identité d’un individu;
- une communication faite par erreur au mauvais destinataire;
- un employé ou un sous-traitant perd ou se fait voler des documents contenant des renseignements personnels;
- un tiers s’immisce dans une banque de données contenant des renseignements personnels afin de les altérer.
Groupe Touchette se conformera à toutes les exigences de la loi advenant un incident de confidentialité.
Groupe Touchette tient un registre des incidents de confidentialité, et en communiquera copie à la Commission d’accès à l’information sur demande.
16. Demande d’accès, de rectification et autres
Toute demande d’accès ou de rectification doit être faite par écrit et être adressée au responsable de la protection des renseignements personnels. Lorsque la demande n’est pas suffisamment précise ou lorsqu’une personne le requiert, le responsable prêtera assistance à cette personne pour identifier les renseignements personnels recherchés. Le devoir d’assistance du responsable inclut les éléments suivants :
- Lorsque la demande n’est pas suffisamment précise ou lorsqu’une personne le requiert, le responsable prêtera assistance à cette personne pour identifier les renseignements personnels recherchés.
- Sujet aux lois applicables et suivant une demande formulée à cet effet par un employé ou toute autre personne, le responsable :
- Confirmera l’existence de renseignements personnels qu’elle détient et qui concerne le requérant et, lorsqu’applicable, lui en donnera communication (ou lui permettra d’en obtenir une copie); et
- Corrigera les renseignements personnels le concernant qui seraient inexacts, incomplets ou équivoques.
- Dans l’éventualité d’un refus de donner suite à une demande d’accès, les motifs de ce refus seront communiqués au requérant conformément à la loi. Le responsable prêtera alors assistance au requérant qui le demande pour l’aider à comprendre ce refus.
En pratique, le responsable veillera à :
- offrir une aide raisonnable tout au long du processus de traitement de votre demande;
- fournir des renseignements au sujet de la Loi, notamment en ce qui concerne le traitement d’une demande et le droit de porter plainte auprès de la Commission d’accès à l’information;
- communiquer avec le demandeur si des précisions sont requises au sujet de votre demande, telle communication ayant lieu dès que raisonnablement possible;
- déployer les efforts raisonnablement requis pour trouver et récupérer les documents demandés;
- s’assurer que les exceptions invoquées (en lien avec un refus de communiquer tout ou partie de documents) soient précises et limitées (à tels documents);
- fournir des réponses qui, au meilleur de sa connaissance, sont exactes et complètes;
- communiquer promptement l'information demandée dans le cadre du processus d’accès; et
- s'il y a lieu, fournir les documents sur le support demandé ou, selon le cas, fournir un endroit approprié pour examiner les documents visés par la demande.
Bien que le devoir d’assistance ne fasse l’objet d’aucun paramètre de la Loi, le responsable est tenu de l’offrir de manière diligente et raisonnable. Cela n’oblige toutefois pas le responsable à fournir plusieurs fois les mêmes explications à une personne. Une fois que la personne responsable a donné toutes les informations nécessaires pour aider la personne à comprendre la décision, il peut choisir de cesser de lui fournir des explications.
17. Diffusion et mise à jour de la politique
Cette politique sera rendue accessible à tout employé lors de son embauche, puis portée de nouveau à son attention sur une base périodique. Cette politique sera aussi rendue disponible, en tout ou en partie, à chaque sous-traitant lors de la conclusion de tout contrat si cela est requis pour assurer une protection adéquate des renseignements personnels, et notamment, informer le sous-traitant des exigences applicables. Cette politique ne doit pas être partagée à d’autres personnes (sujet aux autorités réglementaires applicables) à moins que Groupe Touchette ne l’ait autorisé au préalable et par écrit.
Conformément aux exigences légales applicables, Groupe Touchette entreprendra, sur une base périodique, un exercice de révision de la présente politique. Ces révisions pourront avoir lieu lorsque de nouvelles exigences prévues aux lois applicables entreront en vigueur, suivant la publication de lignes directrices par la Commission d’accès à l’information ou autrement lorsque jugé requis ou souhaitable. La politique pourra alors faire l’objet de révision ou être complétée par d’autres politiques.
La politique ainsi mise à jour (ou toute autre politique pertinente) sera rendue disponible. Toute personne peut savoir si cette politique a changé en regardant la date d’entrée en vigueur.
18. Communiqué avec Groupe Touchette
a. GÉNÉRALE
Les demandes, questions ou commentaires doivent être acheminés au responsable de la protection des renseignements personnels aux coordonnées mentionnées à la section 5.
b. PLAINTES
Toute personne qui souhaite porter plainte en ce qui a trait à la collecte, à la conservation, à l’utilisation, à la communication ou la destruction de renseignements personnels par Groupe Touchette peut s’adresser à la Commission d’accès à l’information; dans un tel cas, cette plainte devra être adressée par écrit selon le processus applicable (détaillé notamment sur son site internet disponible ici).
Toute personne peut aussi porter plainte à Groupe Touchette en utilisant les coordonnées mentionnées à la section 5. Ceci impliquera les étapes suivantes :
- Soumission de la plainte. Des renseignements personnels de base tels que le nom, le numéro de téléphone et l’adresse de courriel ou postale devront être fournis, de même que des informations générales au sujet de la plainte, notamment : (i) au nom de qui la plainte est faite; (ii) le type de plainte ; et (iii) tout autre détail jugé pertinent en lien avec la demande (p.ex. : le numéro de la demande, la date de la demande, faits pertinents, etc.).
- Examen. La plainte sera examinée dès que possible. Une communication sera faite pour obtenir tout autre renseignement requis si applicable. Suivant l’enquête, une communication sera faite à la personne ayant porté plainte.
ANNEXE 1
Politique de conservation des documents contenant des renseignements personnels
1. OBJECTIFS ET PORTÉE
Le Groupe Touchette accorde une grande importance à la protection des Renseignements personnels.
À cet égard et conformément à la Loi, Groupe Touchette a élaboré la présente politique afin de confirmer par écrit : (i) les exigences applicables à la conservation de documents contenant des renseignements personnels; (ii) les types de documents contenant des renseignements personnels qui sont détenus par Groupe Touchette; (iii) les niveaux de confidentialité des Documents; (iv) les types de supports de ces Documents pour y associer une méthode de conservation et une méthode de destruction appropriées; et (v) le calendrier de conservation des documents respectant les exigences légales applicables.
La présente politique s’applique à tous les documents détenus par Groupe Touchette, peu importe leur support (papier, électronique ou autre), incluant :
- ceux dont Groupe Touchette a la détention légale (soit ceux générés pour son compte et dans le cadre de ses activités), peu importe si Groupe Touchette assume leur détention physique ou si celle-ci est assumée par un tiers (hébergeant ses Documents); et
- lorsqu’applicable, ceux qui appartiennent à des tiers et dont Groupe Touchette a la détention physique dans le cadre de l’exécution de contrats ou autrement.
2. DÉFINITIONS ET INTERPRÉTATION
Dans cette politique, les termes suivants ont le sens qui leur est donné ci-après :
- Document réfère à tous les documents, registres et autres fichiers conservés en version papier, électronique ou sur un tout autre support ou format, et qui contiennent des Renseignements personnels.
- Renseignement personnel signifie tout renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier.
- Responsable de la protection des renseignements personnels réfère au responsable de la protection des renseignements personnels de Groupe Touchette.
- Groupe Touchette désigne Groupe Touchette Inc.
À moins que le contexte ne le requière autrement, les variations grammaticales de tout terme défini ont une signification similaire, et le singulier inclut le pluriel, et le masculin inclut le féminin, et vice versa.
3. RESPONSABILITÉS
Conformément à la loi, le responsable de la protection des renseignements personnels veille au respect et à la mise à jour de cette politique.
Chaque gestionnaire ou chef d’équipe veillera, lorsqu’applicable, à implanter cette politique au sein de son équipe de travail respective, et soumettra toute question ou demande en lien avec la conservation des documents (incluant leur destruction) au responsable de la protection des renseignements personnels.
4. PRINCIPES DE CONSERVATION
Groupe Touchette est appelée à recueillir et à traiter divers documents et renseignements personnels dans le cadre de ses activités. Ces renseignements personnels sont colligés et traités et ces documents sont créés/reçus et traités à des fins sérieuses, légitimes et prédéterminées (sujet aux exceptions légales applicables, le cas échéant).
Durant cette période, les documents et renseignements personnels seront conservés de façon sécuritaire et leur accès sera limité aux employés et, le cas échéant, aux sous-traitants ou aux conseillers de Groupe Touchette qui ont besoin d’y accéder dans le cadre de leur emploi ou de leur mandat.
Afin de se conformer à ce qui précède, Groupe Touchette a élaboré un calendrier de conservation des Documents, disponible ci-dessous. Ce calendrier indique la période de conservation jugée appropriée par Groupe Touchette pour ces différents types de documents (et de renseignements personnels qui y sont contenus). Ainsi, tels Documents seront conservés pour la durée indiquée au calendrier de conservation, à moins d’instructions à l’effet contraire transmises par écrit advenant que certains Documents (ou les Renseignements personnels qu’ils contiennent) doivent être conservés pour une période de temps additionnelle, tel que permis ou requis aux termes des lois applicables.
5. PRINCIPES DE DESTRUCTION
Lorsque les fins pour lesquelles ces documents (ou les Renseignements personnels qui y sont contenus) sont accomplies, tels documents/renseignements personnels seront détruits, à moins que la loi n’impose un délai de conservation spécifique à l’égard de tel renseignement personnel ou Document.
Périodiquement, le responsable de la protection des renseignements personnels, de concert avec les gestionnaires et chefs d’équipe applicables, verra à ce que les documents ayant atteint la durée de conservation prescrite au calendrier de conservation soient, selon le support des documents, effacés ou autrement détruits de façon sécuritaire.
6. CONTACTS
Pour toute question concernant cette politique, merci de contacter le Responsable de la protection des renseignements personnels :
Responsable de la protection des renseignements personnels
Adresse: 750 Boulevard Lebeau, Saint-Laurent, QC, H4N 1S4
Courriel : informationpersonnelle@grtouchette.com
Téléphone : 514-381-1716
DIFFUSION ET MISE À JOUR DE LA POLITIQUE
Cette politique sera disponible à tout employé sur l’intranet de Groupe Touchette. De plus, cette politique sera portée à l’attention de tout employé impliqué dans la gestion documentaire, le tout lors de son embauche ou à tout autre moment jugé approprié.
Groupe Touchette se réserve le droit de mettre à jour ou autrement de modifier cette politique de temps à autre. Tout changement substantiel sera porté à l’attention des employés pertinents par tout moyen jugé acceptable par le responsable de la protection des renseignements personnels. Par la suite, la politique ainsi mise à jour sera rendue disponible et facilement accessible sur l’intranet de Groupe Touchette. Une nouvelle version de cette politique sera aussi publiée chaque fois qu’une modification mineure y sera apportée. Il est possible de savoir si cette politique a changé en regardant la date d’entrée en vigueur indiquée à sa première page. Groupe Touchette recommande que cette politique soit révisée périodiquement pour que toute personne concernée, demeure au fait des pratiques actuelles de Groupe Touchette en matière de conservation et de destruction de documents et s’y conforme en tout temps.
ANNEXE 2
Demandes d’accès, de rectification ou autres
1. Principes généraux : toute personne peut demander la:
- confirmation l’existence de renseignements personnels la concernant et communication en lui permettant d’en obtenir une copie[1].
- rectification de tout renseignement personnel la concernant et qui est inexact, incomplet ou équivoque, ou si sa collecte, sa communication ou sa conservation n’est pas autorisée par la loi;
- cessation de la diffusion, lorsqu’applicable, de tout renseignement la concernant ou la désindexation de tout hyperlien rattaché à son nom permettant d’accéder à ce renseignement par un moyen technologique, lorsque la diffusion de ce renseignement contrevient à la loi ou à une ordonnance judiciaire; et
- réindexation de tout hyperlien rattaché à son nom lorsque les exigences prescrites sont rencontrées.
Groupe Touchette prend les mesures nécessaires pour que toute personne puisse exercer ses droits. Groupe Touchette porte à la connaissance du public l’endroit où ces renseignements personnels sont accessibles et les moyens d’y accéder.
2. Demande. La demande d’accès ou de rectification doit être faite par écrit, et la personne la formulant doit justifier son identité. La demande est adressée au responsable de la protection des renseignements personnels. Lorsque la demande n’est pas suffisamment précise ou lorsque le demandeur le requiert, le responsable de l’accès prête assistance pour identifier les renseignements recherchés.
3. Accusé-réception: Le responsable peut donner à la personne qui lui a fait une demande écrite un avis de la date de la réception de sa demande.
4. Recherche et analyse. Le responsable effectue ou fait effectuer la recherche au sein de Groupe Touchette des documents visés par la demande d’accès ou de rectification. Il analyse également la demande au plan juridique et détermine si la demande sera entièrement acceptée, partiellement acceptée ou refusée et pour quels motifs en consultation avec tout membre de la direction au besoin.
5. Résultats de l’analyse. Si un document visé par la demande d’accès contient:
- tout renseignement visé par une exception d’accès, alors tel renseignement ne sera pas communiqué; ou
- tout renseignement personnel de tiers, alors tel renseignement doit être caviardé avant que le document soit communiqué à moins que le tiers concerné ait consenti à telle communication).
6. Réponse. Le responsable prépare la réponse à la demande d’accès. Si la communication des documents ou renseignements est refusée ou partiellement acceptée, le responsable motive son refus et indique : (i) la disposition de la Loi sur laquelle ce refus s’appuie; et (ii) les recours qui s’offrent au demandeur en vertu de la Loi et le délai dans lequel ils peuvent être exercés. Le responsable prête également assistance au demandeur qui le demande pour l’aider à comprendre le refus. Lorsque le responsable de l’accès acquiesce à une demande de rectification, il doit, outre les autres obligations légales applicables, délivrer sans frais à la personne qui l’a faite une copie de tout renseignement personnel modifié ou ajouté ou, selon le cas, une attestation.
À défaut de donner suite à une demande d’accès dans le délai de 30 jours applicables, le responsable est réputé avoir refusé l’accès au document. Dans le cas d’une demande écrite, ce défaut donne ouverture au recours en révision prévu par la Loi d’accès privée comme s’il s’agissait d’un refus d’accès.
7. Conservation. Le responsable de l’accès veille à ce que tout renseignement qui a fait l’objet d’une demande d’accès soit conservé le temps requis pour permettre au demandeur d’épuiser les recours prévus à la Loi.
[1] À la demande du demandeur, un renseignement personnel informatisé doit être communiqué sous la forme d’une transcription écrite et intelligible. À moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement personnel informatisé recueilli auprès du demandeur – et non pas créé ou inféré à partir d’un renseignement personnel le concernant – lui est communiqué dans un format technologique structuré et couramment utilisé à sa demande. Ce renseignement est aussi communiqué à sa demande à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement. Lorsque le demandeur est une personne handicapée, des mesures d’accommodement raisonnables sont prises sur demande.