Dernière révision : 26 octobre 2023
Empreinte Digitale Québec est soucieuse de la protection des renseignements personnels qu’elle détient. Les renseignements personnels sont confidentiels, sauf dans la mesure prévue par la législation. Toute personne qui a accès à un renseignement personnel détenu par Empreinte Digitale Québec doit prendre les moyens nécessaires pour en assurer la protection et la confidentialité. La présente politique et ses procédures afférentes déterminent les mesures à prendre pour diminuer les risques d’un incident de confidentialité, d’en déterminer le traitement s’il y a lieu et d’éviter que de nouveaux incidents de même nature se produisent.
1.COLLECTE D’INFORMATION SELON LES BESOINS DE LA RELATION D’AFFAIRES ET DES SERVICES RENDUS
Empreinte Digitale Québec, dans le cadre des services rendus à ses clients ou de son marketing, collecte certaines informations qui peuvent inclure des renseignements personnels. Ces informations peuvent être obtenues par divulgation volontaire des personnes concernées lors de nos communications ou via des applications technologiques (formulaire, courriels, applications ou autres). Ces informations sont utilisées afin de vendre des produits / rendre des services, ou à en proposer.
En transmettant ces informations à Empreinte Digitale Québec ou en utilisant les moyens technologiques de notre site web, des réseaux sociaux ou quelconques applications ou services offerts par Empreinte Digitale Québec, vous consentez à la collecte et l’utilisation de ces informations.
Empreinte Digitale Québec s’efforce (et uniquement si requis pour nos activités) de n’échanger ou transmettre ces informations qu’à des partenaires fiables pour lesquels nous avons pris soin de vérifier qu’ils appliquent des mesures de sécurité et confidentialité satisfaisantes. Dans la mesure du possible, toutes les informations sont conservées sur des serveurs québécois ou tout au moins canadiens.
Toute personne a droit d’obtenir le détail des informations détenues sur elle ainsi qu’à en demander la rectification au besoin.
2.CONSERVATION DE L’INFORMATION ET DESTRUCTION
Toute personne peut obtenir, sur demande, des précisions sur les méthodes de conservation des renseignements personnels détenus à son sujet ainsi que le détails des personnes qui y ont accès, l’usage qui en est fait ainsi que la durée de conservation après laquelle les informations seront détruites.
3.INCIDENT DE CONFIDENTIALITÉ ET PROCÉDURE
La procédure ci-après précise les démarches à effectuer lorsque Empreinte Digitale Québec a des motifs raisonnables de croire que s’est produit un incident de confidentialité (ou si un tel incident est avéré) impliquant un renseignement personnel qu’elle détient et ce, conformément à la Loi sur la protection des renseignements personnels dans le secteur privé, chapitre P-39.1 et le Règlement sur les incidents de confidentialité.
4.DÉFINITIONS
Les définitions à considérer pour l’application de la présente procédure, pouvant être complétées par tout autre règlement, politique, directive ou procédure y faisant référence, sont les suivantes :
Incident de confidentialité : accès, utilisation ou communication d’un renseignement personnel non autorisé par la loi, de même que sa perte ou toute autre forme d’atteinte à sa protection.
En voici quelques exemples :
- Un pirate informatique s’infiltre dans un système;
- Une personne utilise des renseignements personnels d’une base de données à laquelle il a accès dans le cadre de ses fonctions dans le but d’usurper l’identité d’une personne;
- Une communication contenant des informations sensibles, est effectuée par erreur à la mauvaise personne;
- Une personne perd ou se fait voler des documents contenant des renseignements personnels;
- Une personne s’immisce dans une banque de données contenant des renseignements personnels afin de les altérer.
Renseignement personnel : tout renseignement qui concerne une personne physique et qui permet de l’identifier. Le nom d’une personne, pris isolément, n’est pas un renseignement personnel. Cependant, lorsque ce nom est associé ou jumelé à un autre renseignement visant cette même personne, il devient alors un renseignement personnel.
Voici des exemples de renseignement personnel :
- Le nom d’une personne et sa date de naissance;
- Numéro d’assurance sociale;
- Numéro de carte de crédit;
- Numéro d’assurance maladie;
- Renseignement de nature médicale ou financière;
- Le nom d’une personne et son numéro de téléphone personnel;
- Le nom d’une personne et son adresse de domicile.
Renseignement personnel sensible : un renseignement personnel est considéré comme sensible lorsque, par sa nature, notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de respect de la vie privée.
Il peut s’agir, par exemple, de renseignements médicaux, biométriques, génétiques ou financiers, ou de renseignements sur l’origine ethnique, la conviction politique, la vie ou l’orientation sexuelle, les convictions religieuses.
5.PROTECTION DES RENSEIGNEMENTS PERSONNELS
Empreinte Digitale Québec met en place des mesures de sécurité appropriées et raisonnables afin de protéger les renseignements personnels contre la perte ou le vol, et contre l’accès, la divulgation, la copie, l’utilisation ou la modification non autorisés par la loi. Seuls les membres du personnel qui doivent absolument avoir accès aux renseignements personnels dans le cadre de leurs fonctions, sont autorisés à y accéder.
Les personnes membres du personnel de Empreinte Digitale Québec ou qui travaillent en son nom doivent, notamment :
– Faire des efforts raisonnables pour minimiser le risque de divulgation non intentionnelle de renseignements personnels;
– Prendre des précautions particulières pour s’assurer que les renseignements personnels ne sont pas surveillés, entendus, consultés ou perdus lorsqu’elles travaillent dans des locaux autres que les bureaux de Empreinte Digitale Québec;
et
– Prendre des mesures raisonnables pour protéger les renseignements personnels lorsqu’elles se déplacent d’un endroit à l’autre.
6.SIGNALEMENT D’UN INCIDENT DE CONFIDENTIALITÉ
Toute personne à laquelle Empreinte Digitale Québec communique des renseignements personnels (collègues, fournisseurs, partenaires, experts incluant les sous-traitants) doit effectuer un signalement lorsqu’elle a un motif raisonnable de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel détenu par Empreinte Digitale Québec. Pour ce faire, ce signalement doit être effectué sans délai à la personne responsable de la protection des renseignements personnels.
Le membre du personnel de Empreinte Digitale Québec qui a un motif raisonnable de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel détenu par Empreinte Digitale Québec doit aussi aviser son supérieur hiérarchique.
Tout incident sérieux impliquant un nombre important de personnes ou visant des informations sensibles pouvant causer des préjudices importants doit être divulgué par un avis à la Commission d’accès à l’information, dans les meilleurs délais de prise de connaissance.
7.PERSONNE RESPONSABLE DES RENSEIGNEMENTS PERSONNELS : RÔLES ET RESPONSABILITÉS
La personne responsable de la protection des renseignements personnels pour Empreinte Digitale Québec peut être rejoint aux coordonnées suivantes :
- Mario Pilon, Président/Fondateur
- Courriel : mario.pilon@empreintedigitalequebec.com
- Téléphone : 514 497-4017
Son rôle est notamment de :
- Contribuer à la mise en place du processus de gestion des incidents de confidentialité;
- Tenir à jour le registre des incidents de confidentialité, de documenter ces incidents et d’assurer le suivi requis de leur traitement;
- Tenir à jour le registre des plaintes, de documenter ces plaintes et d’assurer le suivi requis de leur traitement;
- Contribuer aux analyses de risques d’incidents de confidentialité afin d’identifier les menaces et les situations de vulnérabilité et de mettre en place les solutions appropriées.
En cas d’incident de confidentialité, la personne responsable de la protection des renseignements personnels prend en charge le traitement de l’incident et s’associe avec toute autre personne utile selon la nature de l’incident.
À ce titre, elle :
- Évalue le risque qu’un préjudice soit causé et en détermine le degré de sévérité. Lors de cette évaluation, sont considérées notamment la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables.
- Avise, avec diligence, la personne dont un renseignement personnel est concerné par l’incident, lorsqu’il présente un risque qu’un préjudice sérieux soit causé, sauf lorsque cela serait susceptible d’entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois.
Cet avis doit contenir les renseignements suivants:
- Une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
- Une brève description des circonstances de l’incident;
- La date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période. Une brève description des mesures que l’organisation a prises ou entend prendre à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé;
- Les mesures que l’organisation suggère à la personne concernée de prendre afin de diminuer le risque qu’un préjudice lui soit causé ou afin d’atténuer un tel préjudice;
- Les coordonnées permettant à la personne concernée de se renseigner davantage relativement à l’incident.
- Avise, le cas échéant, toute personne ou tout organisme susceptible de diminuer le risque, en ne lui communiquant que les renseignements personnels nécessaires à cette fin.
- Avise, avec diligence et par écrit, la Commission d’accès à l’information de l’incident de confidentialité lorsqu’il présente un risque qu’un préjudice sérieux soit causé.
L’avis doit contenir les renseignements suivants :
- Le nom de l’entreprise (Empreinte Digitale Québec) et le numéro d’entreprise du Québec qui lui est attribué en vertu de la Loi sur la publicité légale des entreprises;
- Le nom et les coordonnées de la personne à contacter au sein de Empreinte Digitale Québec relativement à l’incident;
- Une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
- Une brève description des circonstances de l’incident et, si elle est connue, sa cause;
- La date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période;
- La date ou la période au cours de laquelle Empreinte Digitale Québec a pris connaissance de l’incident;
- Le nombre de personnes concernées par l’incident et, parmi celles-ci, le nombre de personnes qui résident au Québec ou, s’ils ne sont pas connus, une approximation de ces nombres;
- Une description des éléments qui amènent Empreinte Digitale Québec à conclure qu’il existe un risque qu’un préjudice sérieux soit causé aux personnes concernées, telles que la sensibilité des renseignements personnels concernés, les utilisations malveillantes possibles de ces renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables;
- Les mesures que Empreinte Digitale Québec a prises ou entend prendre afin d’aviser les personnes dont un renseignement personnel est concerné par l’incident, de même que la date où les personnes ont été avisées ou le délai d’exécution envisagé;
- Les mesures que Empreinte Digitale Québec a prises ou entend prendre à la suite de la survenance de l’incident, notamment celles visant à diminuer les risques qu’un préjudice soit causé ou à atténuer un tel préjudice et celles visant à éviter que de nouveaux incidents de même nature ne se produisent, de même que le délai où les mesures ont été prises ou le délai d’exécution envisagé;
- Le cas échéant, une mention précisant qu’une personne ou un organisme situé à l’extérieur du Québec et exerçant des responsabilités semblables à celles de la Commission d’accès à l’information à l’égard de la surveillance de la protection des renseignements personnels a été avisé de l’incident.
- Avise, avec diligence, les assureurs de Empreinte Digitale Québec, le cas échéant.
- Inscris l’incident de confidentialité dans le registre prévu à cet effet.
- Sur demande de la Commission d’accès à l’information, transmets une copie de ce registre.
8.REGISTRE DES INCIDENTS DE CONFIDENTIALITÉ
Empreinte Digitale Québec doit tenir un registre des incidents de confidentialité.
8.1 Durée de conservation des renseignements contenus au registre
Les renseignements contenus au registre doivent être tenus à jour et conservés pendant la plus longue des deux périodes ci-après : pendant une période minimale de cinq ans après la date à laquelle Empreinte Digitale Québec a pris connaissance de l’incident ou la période requise par toute instance gouvernementales ou toute loi et règlement.
9.REGISTRE DES PLAINTES ET DE LEUR TRAITEMENT
Empreinte Digitale Québec doit tenir un registre des plaintes et de leur traitement.
9.1 Durée de conservation des renseignements contenus au registre
Les renseignements contenus au registre doivent être tenus à jour et conservés pendant la plus longue des deux périodes ci-après : pendant une période minimale de cinq ans après la date à laquelle Empreinte Digitale Québec a pris connaissance de l’incident ou la période requise par toute instance gouvernementales ou toute loi et règlement.
10.ENTRÉE EN VIGUEUR
La présente politique et ses procédures entrent en vigueur le 22 septembre 2023.
11.NOUS JOINDRE
Si vous avez des questions au sujet de notre politique de protection des renseignements personnels, vous pouvez exercer vos droits énoncés ci-dessus, porter plainte ou mettre à jour vos renseignements personnels, veuillez communiquer avec notre responsable de la protection des renseignements personnels de la façon suivante :
Par courriel: mario.pilon@empreintedigitalequebec.com
Par la poste : Empreinte Digitale Québec, Att : Responsable de la politique de protection des renseignements personnels 306-1555, boul. de l’Avenir, Laval (QC) H7S 2N5. Nous fournirons nos meilleurs efforts afin de traiter votre demande rapidement.