Protection des renseignements personnels
Politiques et pratiques
encadrant la gouvernance
des renseignements personnels
GARIÉPY BUSSIÈRE CPA INC. s’engage à protéger tous les renseignements personnels recueillis et utilisés dans la gestion de ses activités.
OBJECTIFS DE LA COLLECTE D’INFORMATION
Toutes les personnes qui travaillent avec GARIÉPY BUSSIÈRE CPA INC., pour lui ou en son nom sont tenues de respecter la
confidentialité des renseignements personnels et le droit à la vie privée de toute personne, conformément à la Loi sur la protection
des renseignements personnels, lorsqu’elles recueillent, utilisent, divulguent, conservent ou éliminent des renseignements
personnels dans l’exercice de leurs fonctions.
ÉNONCÉ DE LA POLITIQUE
Les renseignements personnels placés sous la garde ou le contrôle de GARIÉPY BUSSIÈRE CPA INC. sont uniquement créés, recueillis,
conservés, utilisés, divulgués et éliminés d’une manière qui respecte la Loi sur la protection des renseignements en matière de
protection de la vie privée. Nous respectons le droit à la vie privée des personnes dont les renseignements personnels sont en sa
possession, conformément à ces exigences.
RENSEIGNEMENTS PERSONNELS
Un renseignement personnel est défini comme étant tout renseignement ou combinaison de renseignements qui concerne une
personne physique et qui permet de l’identifier. Par contre, le nom d’un individu, de même que ses coordonnées professionnelles,
soit son titre, adresse, numéro de téléphone et adresse électronique professionnels ne sont pas des renseignements personnels.
Les renseignements personnels doivent être protégés peu importe la nature de leur support et quelle que soit leur forme : écrite,
graphique, audio, visuelle, informatisée ou autre.
CONSENTEMENT
L’organisation obtient le consentement écrit d’une personne dans les situations suivantes :
- avant la collecte de renseignements personnels, sauf si la demande d’un consentement entraînerait la collecte de
renseignements inexacts ou irait à l’encontre du but de la collecte ou encore compromettrait l’utilisation de
l’information recueillie. Par exemple, l’organisation consultera généralement l’auteur d’une plainte pour recueillir
de façon indirecte des renseignements personnels en vue de mener une enquête; - avant l’utilisation ou la divulgation des renseignements personnels à des fins qui ne respectent pas les fins pour
lesquelles les renseignements ont été recueillis ou préparés; - avant tout retrait de renseignements personnels, à moins qu’un tel retrait ne soit expressément autorisé par la loi;
- si elle a l’intention de divulguer une plainte reçue par l’entreprise ou tout renseignement privilégié ou confidentiel
obtenu dans le cadre d’une enquête ou d’une procédure. Dans ce cas, il faut obtenir le consentement écrit de
toutes les personnes dont les droits ou les intérêts peuvent raisonnablement être touchés.
L’obtention du consentement d’une personne à une collecte de renseignements personnels ne remplace ni n’établit le pouvoir de
recueillir ces renseignements en vertu de la Loi sur la protection des renseignements personnels; l’organisation doit plutôt s’assurer
que les renseignements personnels à recueillir sont directement liés et manifestement nécessaires aux activités de réglementation
de l’organisation.
COLLECTE DE RENSEIGNEMENTS PERSONNELS
Les renseignements personnels ne peuvent être recueillis ou créés (p. ex., l’attribution d’un numéro de permis ou l’imposition de
restrictions à un permis constitue la création de renseignements personnels) que dans les conditions suivantes :
- les renseignements personnels sont directement liés à une activité de réglementation de l’organisation;
- la collecte de ces renseignements personnels est nécessaire pour permettre à l’organisation de satisfaire les fins prévues
par la loi ou d’atteindre ses objectifs réglementaires.
Pour déterminer si les renseignements personnels sont directement liés à une activité de réglementation, il faut consulter les
politiques qui exigent ou autorisent la collecte de renseignements personnels. Les politiques de l’organisation fournissent des
directives et des conseils sur la nécessité de recueillir des renseignements personnels pour permettre à l’organisation d’atteindre ses
objectifs. Avant de recueillir ou de créer de nouveaux renseignements personnels, l’organisation doit :
- déterminer les renseignements personnels qui feront l’objet d’une collecte;
- déterminer les fins de la collecte de chaque type de renseignements personnels;
- recueillir uniquement les renseignements personnels nécessaires à la réalisation des fins déterminées.
L’organisation recueille ou crée des renseignements personnels destinés à être utilisés à des fins administratives directement auprès
de la personne concernée, sauf lorsque :
- la personne autorise l’organisation à recueillir les renseignements personnels auprès d’une autre source;
- les renseignements personnels sont recueillis à une fin à laquelle ils peuvent être divulgués à l’organisation;
- la collecte des renseignements personnels directement auprès de la personne pourrait entraîner la collecte de
renseignements inexacts; ou - la collecte des renseignements personnels directement auprès de la personne pourrait aller à l’encontre du but ou
compromettre l’utilisation pour laquelle les renseignements personnels sont recueillis. Par exemple, l’organisation
consultera généralement l’auteur d’une plainte pour recueillir de façon indirecte des renseignements personnels en vue
de mener une enquête.
Nous limitons la collecte, l’utilisation et la divulgation de vos renseignements personnels uniquement aux fins que nous vous avons
indiquées. Vos renseignements personnels ne peuvent être consultés que par certaines personnes autorisées, et ce, uniquement
dans le cadre des tâches qui leur ont été attribuées.
DIVULGATION DES RENSEIGNEMENTS PERSONNELS
Les renseignements personnels que détient l’organisation ne seront pas divulgués à moins d’avoir obtenu le consentement de la
personne concernée à cet égard ou à moins que la divulgation soit autorisée ou exigée en vertu de la Loi sur la protection des
renseignements personnels
Toute personne assujettie à la présente politique doit :
- divulguer uniquement le minimum de renseignements personnels requis pour satisfaire aux fins valables indiquées;
- consulter le responsable de la protection de la vie privée avant de divulguer des renseignements personnels autres que
ceux qui sont requis dans le cadre de ses fonctions.
CONSERVATION DES RENSEIGNEMENTS
Nous conservons vos renseignements personnels aussi longtemps que nécessaire aux fins pour lesquelles ils ont été recueillis. Nous
devons détruire ces renseignements conformément à la loi et à notre politique de conservation des dossiers. Lorsque nous
détruisons vos renseignements personnels, nous prenons les mesures nécessaires pour en assurer la confidentialité et veiller à ce
qu’aucune personne non autorisée ne puisse y avoir accès pendant le processus de destruction.
EXACTITUDE
L’organisation prend des mesures raisonnables pour s’assurer que les renseignements personnels sont aussi exacts, complets et à
jour que l’exigent les fins auxquelles ils sont destinés, et pour réduire au minimum la possibilité que des renseignements inexacts ou
incomplets soient utilisés pour prendre une décision qui touche directement une personne.
L’organisation dispose de procédures documentées permettant aux personnes de demander la correction de leurs renseignements
personnels lorsqu’elles croient qu’il y a eu erreur ou omission.
Nous ne mettons pas systématiquement à jour les renseignements personnels à moins que cela ne soit nécessaire pour atteindre les
fins auxquelles ils ont été recueillis. Le degré d’exactitude et de mise à jour ainsi que le caractère complet des renseignements
personnels dépendront de l’entrée de vos données lors du formulaire de consentement à la collecte.
RESPONSABILITÉ
Nous sommes responsables des renseignements personnels que nous avons en notre possession ou qui sont sous notre garde, y
compris les renseignements que nous confions à des tiers aux fins de traitement. Nous exigeons de ces tiers qu’ils conservent ces
renseignements selon des normes strictes de confidentialité et de sécurité.
Notre responsable de la protection des renseignements personnels supervise la présente politique de protection des
renseignements personnels et les processus qui y sont liés ainsi que les procédures à respecter afin de protéger ces renseignements.
Notre personnel est renseigné et adéquatement formé sur nos politiques et pratiques en matière de protection des renseignements
personnels.
MESURES DE SÉCURITÉ
L’organisation est tenue de protéger les renseignements personnels placés sous sa garde ou son contrôle contre des risques tels que
l’accès, la collecte, l’utilisation, la divulgation ou le retrait non autorisés, en prenant des mesures de sécurité raisonnables. Celles-ci
comprennent une combinaison de mesures de protection techniques, administratives et physiques. Le caractère raisonnable des
mesures de sécurité tient compte de facteurs tels que la sensibilité, la quantité, la répartition, le format et la méthode de stockage
des renseignements à protéger.
Nous avons mis en place et continuons à élaborer des mesures de sécurité rigoureuses afin que vos renseignements personnels
demeurent strictement confidentiels et soient protégés contre la perte ou le vol et contre tout accès, communication, copie,
utilisation ou modification non autorisée.
Ces mesures de sécurité comprennent des mesures organisationnelles telles que la restriction des accès à ce qui est nécessaire; la
sauvegarde et l’archivage des données au moyen d’un système externe, etc.); et mesures technologiques comme l’utilisation de
mots de passe et de chiffrement (par exemple, le changement fréquent de mots de passe et l’utilisation de pare-feu).
ACCÈS AUX RENSEIGNEMENTS PERSONNELS
L’organisation exige que l’accès aux renseignements personnels soit en fonction des rôles et limité à la quantité minimale de
renseignements nécessaires aux fins autorisées.
L’organisation surveille l’accès aux renseignements personnels et leur utilisation afin de déceler rapidement les cas d’accès
inapproprié ou non autorisé aux renseignements personnels ou de leur traitement par des moyens tels que la vérification.
L’organisation exige que les fournisseurs de services respectent les obligations juridiques de l’organisation relatives au traitement et
à la protection des renseignements personnels, et les fournisseurs de services sont tenus de se conformer à la présente politique de
protection des renseignements personnels.
DEMANDE D’ACCÈS AUX RENSEIGNEMENTS ET MODIFICATIONS
Sous réserve des exceptions prévues par la Loi sur la protection des renseignements personnels, toute personne peut accéder à ses
renseignements personnels conservés par l’organisation, les examiner ou en recevoir une copie en présentant une demande écrite à
cet effet au responsable de la protection de la vie privée de l’organisation.
Nous vous transmettrons de telles informations dans un délai raisonnable, à compter de la date de réception de la demande écrite. Des frais raisonnables pourraient également être exigés pour traiter votre demande.
Dans certaines circonstances particulières, nous pouvons refuser de vous fournir les renseignements demandés. Les exceptions à
votre droit d’accès se traduisent notamment par le fait que les renseignements demandés concernent d’autres individus, que
l’information qui ne peut être divulguée pour des raisons légales, de sécurité ou de droits d’auteur, que l’information a été obtenue
dans le cadre d’une enquête sur une fraude, que l’information ne peut être obtenue qu’à des coûts prohibitifs ou encore que
l’information fait l’objet d’un litige ou est privilégiée.
Lorsque nous détenons des renseignements médicaux vous concernant, il est possible que nous refusions de vous les communiquer
directement et demandions à ce qu’ils soient transmis à un professionnel de la santé que vous aurez désigné pour vous les
communiquer.
Vous pouvez vérifier l’exactitude et de l’exhaustivité de vos renseignements personnels et, le cas échéant, en demander la
modification. Toute demande de modification sera traitée dans un délai raisonnable.
Toute demande d’accès à des renseignements personnels ou de modification des renseignements personnels peut être envoyée à
l’adresse ci-dessous :
RESPONSABLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
Nom : FANIE DUCLOS, directrice des ressources humaines et de l’administration
Courriel : vieprivee@gariepybussiere.com
Tel : 450-432-4397 p. 30
PLAINTES ET QUESTIONS
Vous pouvez communiquer avec le responsable de la protection des renseignements personnels à l’adresse susmentionnée.
Toute plainte concernant la protection des renseignements personnels doit être acheminée au responsable de la protection des
renseignements personnels à l’adresse figurant ci-dessus.
Nous ferons enquête sur toutes les plaintes. Si une plainte est jugée fondée, nous prendrons les mesures appropriées, y compris, au
besoin, la modification de ses politiques et de ses pratiques.
FORMATION ET SENSIBILISATION
L’entreprise fait la promotion de meilleures pratiques et du respect des droits en matière de transparence et de protection des
renseignements personnels de différentes façons :
- Elle informe tout le personnel de son équipe (formulaire de consentement);
- Elle affiche le nom et les coordonnées de la personne responsable des RP;
- Elle mobilise divers moyens de sensibilisation, entre autres :
- Des séances d’informations sur la protection des renseignements personnels;
- des rappels lors des réunions d’équipe;
- de la formation à son personnel;
- un plan d’action pour la protection des renseignements personnels;
- un journal de bord;
- etc.
APPLICATION
Si pour quelque raison vous pensez que l’entreprise n’a pas adhéré à ces principes, nous vous prions de le notifier en contactant
notre responsable de la protection des renseignements personnels. Nous ferons alors le nécessaire pour déterminer et corriger le
problème dans des délais raisonnables. Mentionner comme objet « Protection de la vie privée ».
MISE À JOUR DE LA POLITIQUE
La présente politique doit être revue tous les trois ans. Elle devra également être mise à jour lors de tout changement substantiel
apporté à la législation ou aux exigences réglementaires.
Mise à jour: 07-09-2023