Politique de Protection des Renseignements Personnels et de Confidentialité
1. Introduction
La présente politique de protection des Renseignements personnels (ci-après dénommée la « Politique ») a pour but de définir les principes et les pratiques de Groupe Serenis inc. (ci-après dénommée « Serenis ») en matière de collecte, de traitement, de conservation, de destruction et de protection des Renseignements personnels conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1) (ci-après dénommée la « Loi »). On y retrouvera entre autres les rôles et responsabilités des membres du personnel de Serenis et le processus de traitement des plaintes relatives à la protection des Renseignements personnels.
2. Définitions
« Collecte » signifie l’action de recueillir, d’acquérir ou d’obtenir des Renseignements personnels de quelque façon et par quelque moyen que ce soit, y compris auprès de Tiers;
« Consentement » signifie un accord libre à la Collecte, à l’Utilisation et/ou à la Divulgation de Renseignements personnels aux fins déterminées avec l’Utilisateur par Serenis. Le Consentement peut être explicite, ou implicite à certaines conditions prévues par la Loi lorsqu’un dossier est constitué. Les Renseignements personnels doivent être recueillis directement de l’Utilisateur ou d’un Tiers, mais dans ce dernier cas Serenis. devra obtenir l’autorisation par écrit de l’Utilisateur. Lorsque le Consentement est explicite, il doit être non équivoque.
« Divulgation » signifie l’action de révéler des Renseignements personnels à une personne sans y être autorisé par la Loi ou par l’Utilisateur;
« Renseignements personnels » signifie tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier;
« Responsable de la protection des Renseignements personnels » signifie la personne ayant la plus haute autorité chez Serenis ou la personne qu’elle désigne par écrit pour occuper cette fonction et qui est responsable de la protection des Renseignements personnels, dont le respect de la présente Politique au sein de Serenis;
« Tiers » signifie une personne autre que l’Utilisateur, Serenis ou un mandataire de cette dernière;
« Utilisateur » signifie tout client, salarié ou toute personne qui accède à tout service offert par Serenis
« Utilisation » signifie le traitement, la manipulation et la gestion de Renseignements personnels par Serenis
3. Responsabilités
Serenis, lorsqu’elle constitue un dossier sur un Utilisateur, doit informer celui-ci, lors de la Collecte, et par la suite sur demande, de l’objet du dossier, de l’Utilisation qui sera faite des Renseignements personnels ainsi que des catégories de personnes qui y auront accès au sein de Serenis, de l’endroit où sera détenu son dossier et de ses droits d’accès ou de rectification de ses Renseignements personnels.
Serenis est responsable d’assurer la sécurité des Renseignements personnels qu’elle détient et elle doit désigner le Responsable de la protection des Renseignements personnels qui devra s’assurer du respect de la présente Politique.
Le Responsable de la protection des Renseignements personnels est responsable de l’application de la présente Politique. D’autres employés de Serenis peuvent aussi être désignés pour assister le Responsable de la protection des Renseignements personnels ou pour s’occuper des activités quotidiennes de Collecte, d’Utilisation ou de Divulgation et de traitement des Renseignements personnels.
Serenis affichera sur son site Internet le titre et les coordonnées de la personne Responsable de la protection des Renseignements personnels, lesquels sont indiqués à l’article 14 de la présente Politique.
Aucun Renseignement personnel ne peut être communiqué à un Tiers, sauf dans les cas prévus par la Loi ou suivant une autorisation manifeste, libre, éclairée de la part de l’Utilisateur et uniquement pour les fins spécifiées.
4. Champ d’application
La Politique s’applique à tous les Renseignements personnels collectés, traités et conservés par Serenis dans le cadre de ses activités au Québec, en conformité avec la Loi.
5. Collecte et Utilisation des Renseignements personnels
Serenis ne collectera que les Renseignements personnels nécessaires à des fins spécifiques et légitimes, et informera les Utilisateurs des raisons pour lesquelles leurs Renseignements personnels sont collectés. Les Renseignements personnels collectés ne seront utilisés que dans le cadre de ces finalités spécifiques, sauf autorisation expresse de l’Utilisateur ou en vertu de la Loi.
Serenis fera les démarches raisonnables pour s’assurer que l’Utilisateur soit informé des fins et des moyens pour lesquels les Renseignements personnels seront utilisés lorsque son Consentement est donné.
6. Consentement
Serenis obtiendra le Consentement explicite, libre et éclairé des Utilisateurs avant de collecter, de traiter ou d’utiliser leurs Renseignements personnels. Les Utilisateurs auront le droit de retirer leur Consentement à tout moment.
Les Utilisateurs pourront communiquer avec le Responsable de la protection des Renseignements personnels aux coordonnées ci-bas afin de retirer leur Consentement quant à la communication et/ou l’Utilisation de leurs Renseignements personnels qui se trouvent en la possession de Serenis. Il est à noter qu’un tel retrait pourrait avoir comme conséquence de rendre l’Utilisation des services de Serenis indisponibles pour eux si les Renseignements personnels sont essentiels pour rendre les services ou respecter les ententes avec eux, notamment pour les salariés.
7. Traitement des Renseignements personnels
Les Renseignements personnels seront traités de manière licite, équitable et transparente. Serenis mettra en place des mesures de sécurité appropriées pour protéger les Renseignements personnels contre tout accès non autorisé, perte, Divulgation ou altération.
Serenis adoptera des pratiques appropriées pour la Collecte, la conservation et le traitement des Renseignements personnels, ainsi que des mesures de sécurité pour assurer la protection contre les accès non autorisés aux Renseignements personnels, ainsi que leur protection contre les modifications, la Divulgation ou la destruction.
8. Conservation des Renseignements personnels
Les Renseignements personnels ne seront conservés que pendant la durée raisonnable nécessaire pour atteindre les finalités pour lesquelles ils ont été collectés, sauf disposition contraire de la Loi.
Lorsque Serenis aura terminé son mandat, exécuté le contrat ou que les fins pour lesquelles elle a collecté des Renseignements personnels auront été accomplies, Serenis pourra soit détruire ces Renseignements personnels ou les anonymiser. Toutefois, l’anonymisation ne pourra être faite que dans l’objectif d’utiliser uniquement les Renseignements anonymisés pour des fins sérieuses et légitimes par Serenis.
9. Droits des Utilisateurs
Conformément à la Loi, les Utilisateurs auront le droit d’accéder à leurs Renseignements personnels, de les corriger, de les supprimer, de limiter leur Utilisation et de s’opposer à leur communication. Les demandes concernant ces droits seront traitées de manière diligente et dans les délais prévus par la Loi. Ainsi, Serenis devra répondre dans les 30 jours à toute demande de droit d’accès ou de correction de Renseignements personnels.
Serenis s’assura que les Renseignements personnels qu’elle détient sont à jour et exacts au moment de prendre une décision relative à une demande.
Serenis fera la mise à jour des Renseignements personnels lorsque cela sera nécessaire pour prendre une décision, pour satisfaire aux fins déterminées ou pour rectifier, à la suite d’une demande, un Renseignement personnel erroné.
Un Utilisateur peut, en s’adressant par écrit au Responsable de la protection des Renseignements personnels dont les coordonnées sont reproduites ci-dessous, obtenir copie des Renseignements personnels que Serenis détient à son égard.
Un Utilisateur peut, en s’adressant par écrit au Responsable de la protection des Renseignements personnels dont les coordonnées sont reproduites ci-dessous, être renseigné sur l’usage qui est fait de ses Renseignements personnels.
Serenis n’exigera aucun frais pour l’accès au dossier de Renseignements personnels qu’elle détient à l’égard d’un Utilisateur. Cependant, certains frais seront exigés en cas de reproduction, transmission ou transcription des renseignements.
Serenis pourra refuser de communiquer un Renseignement personnel si cette communication risque de causer préjudice à Serenis, à un Tiers ou si cela contrevient à une loi. Le cas échéant, Serenis motivera son refus.
10. Partage des Renseignements personnels
Serenis ne partagera les Renseignements personnels avec des Tiers que dans la mesure nécessaire pour atteindre les finalités spécifiques pour lesquelles ils ont été collectés. Les contrats et accords pertinents seront mis en place pour garantir que les Tiers traitent les renseignements personnels conformément à la Loi.
Concernant les fournisseurs de services, Serenis s’engage à ce que le traitement des Renseignements personnels par un fournisseur de services soit sujet à un contrat écrit assurant la protection du caractère confidentiel des Renseignements personnels communiqués afin que ce Renseignement ne soit utilisé que dans le cadre de l’exécution du contrat.
11. Transfert International de Renseignements personnels
Les transferts internationaux de Renseignements personnels seront effectués conformément aux dispositions légales applicables et avec les garanties appropriées en place.
Dans le cadre de la communication des Renseignements personnels à l’extérieur du Québec ou lorsqu’ils sont confiés à un Tiers situé à l’extérieur du Québec, Serenis s’engage à recueillir, utiliser, communiquer ou conserver pour son compte des Renseignements personnels et d’effectuer une évaluation des facteurs relatifs à la vie privée (EFVP).
Le cas échéant, les facteurs suivants sont pris en compte : la sensibilité des Renseignements, la finalité de leur Utilisation, les mesures de protection, y compris contractuelles, qui s’y appliqueront, et le régime juridique applicable dans l’État de réception, notamment les principes de protection des Renseignements personnels qui y sont applicables. Le cas échéant, mener une EFVP pour les activités de traitement impliquant la communication de Renseignements personnels en dehors du Québec.
12. Responsable de la Protection des Renseignements personnels
Madame Jessica Deslauriers-Carosello, directrice des opérations, est désignée en tant que Responsable de la protection des Renseignements personnels et est responsable de la mise en œuvre de la présente Politique.
Le Responsable de la protection des Renseignements personnels devra notamment :
- Établir et mettre en œuvre des politiques et des pratiques encadrant la protection des Renseignements personnels au sein de Serenis;
- S’assurer que la Collecte, la détention, l’Utilisation, la conservation, la destruction, l’anonymisation et la communication des Renseignements personnels à l’égard des Tiers respectent la Loi;
- Prévoir l’encadrement applicable pour la conservation et la destruction des Renseignements personnels;
- Prendre les mesures nécessaires pour sécuriser les systèmes informatiques;
- Prendre les mesures nécessaires pour éviter que des incidents de confidentialité se produisent et qu’ils ne se reproduisent, le cas échéant;
- Aviser la Commission d’accès à l’information et les personnes concernées d’un incident de confidentialité présentant un risque de préjudice sérieux;
- Assurer la tenue d’un registre des incidents de confidentialité;
- Prévoir les rôles et responsabilités du personnel de l’entreprise tout au long du cycle de vie des Renseignements personnels;
- Procéder à une évaluation des facteurs relatifs à la vie privée lorsque celle-ci est requise par la Loi;
- Traiter les plaintes relatives à la protection des Renseignements personnels;
- Dispenser des formations en matière de protection des Renseignements personnels.
13. Formation et Sensibilisation
Serenis veillera à ce que son personnel soit formé et sensibilisé à l’importance d’assurer un haut niveau de protection des Renseignements personnels conformément à la Loi.
Serenis veillera également à ce que des formations plus spécifiques soit données pour les employés qui joueront un rôle de premier plan dans la mise en œuvre de la Politique de protection des Renseignements personnels de l’entreprise. Des séances de formation annuelles sur les meilleures pratiques en matière de cybersécurité et de protection des Renseignements personnels seront mises en place pour tous les membres du personnel.
14. Plainte
Toute personne peut faire une plainte en communiquant avec le Responsable de la protection des Renseignements personnels. Serenis est doté d’un processus de traitement des plaintes relatif au traitement des Renseignements personnels.
15. Modifications de la Politique
Serenis se réserve le droit de modifier la présente Politique en fonction des évolutions légales et opérationnelles. Les modifications seront portées à la connaissance des Utilisateurs concernés.
Tout Utilisateur est invité à consulter cette page pour être informé des changements et de la manière dont Serenis contribue à la protection des Renseignements personnels qu’elle recueille.
16. Contact
Pour toute question concernant la présente Politique ou pour exercer ses droits en vertu de la Loi, ou déposer une plainte, l’Utilisateur est invité à contacter le Responsable de la protection des Renseignements personnels à l’adresse courriel renseignements@serenis.ca.
Cette Politique a été mise à jour pour la dernière fois le 26 septembre 2023.
Jessica Deslauriers-Carosello, directrice des opérations