PRÉAMBULE

La Loi 25 actualise l’encadrement applicable à la protection des renseignements personnels.

Grues J.M. Francoeur est désormais tenu d’adopter et d’assurer l’application d’une politique en lien avec les règles encadrant la gouvernance à l’égard de la protection des renseignements personnels qu’elle détient.

ARTICLE 1. DÉFINITIONS

Dans la présente politique, à moins que le contexte ne s’y oppose, les expressions suivantes signifient :

Renseignement personnel :

Tout renseignement qui concerne une personne physique et qui permet directement ou indirectement de l’identifier, tel que : le nom, l’adresse, le numéro de téléphone, l’adresse courriel, l’occupation, le numéro d’assurance sociale, la date de naissance, la photographie et les coordonnées bancaires.

Les renseignements personnels doivent être protégés, peu importe la nature de leur support, et quelle que soit leur forme : écrite, graphique, sonore, visuelle, informatisée ou autre.

Renseignement personnel sensible :

Un renseignement personnel est sensible lorsque, par sa nature ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée. Sont, notamment, considérés comme sensibles les renseignements suivants : des renseignements médicaux, biométriques, génétiques ou financiers, ou, encore, des renseignements sur la vie ou l’orientation sexuelle, les convictions religieuses ou bien l’origine ethnique.

Consentement :

Le consentement est l’autorisation de la personne titulaire des renseignements personnels à recueillir et utiliser ses renseignements personnels. Le consentement ne se présume pas. Il doit être manifeste, libre, éclairé, être donné à des fins spécifiques, en termes simples et clairs, pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.

Mineur ou mineure :

Personne âgée de moins de 18 ans.

Majeur ou majeure :

Personne âgée de 18 ans et plus ou personne âgée de moins de 18 ans émancipée.

 

ARTICLE 2. CHAMP D’APPLICATION ET CADRE JURIDIQUE

En tant qu’entreprise privée, Grues J.M. Francoeur recueille des renseignements personnels, notamment ceux de la clientèle et des membres du personnel. Elle est donc assujettie aux dispositions de la Loi 25.

La présente politique s’applique à toute personne qui, dans l’exercice de ses fonctions, collecte, consulte, utilise, communique, détient ou conserve des renseignements personnels ou des renseignements personnels sensibles détenus par Grues J.M. Francoeur concernant toute personne physique.

 

ARTICLE 3. COLLECTE DES RENSEIGNEMENTS PERSONNELS

3.1. Renseignements personnels pouvant être collectés

Afin de remplir adéquatement sa mission, Grues J.M. Francoeur doit recueillir plusieurs renseignements personnels.

Celle-ci recueille uniquement les renseignements personnels nécessaires à l’exercice de ses activités.

Grues J.M. Francoeur peut également recueillir un renseignement personnel si celui-ci est nécessaire à l’exercice des activités. Dans un tel cas, la collecte doit être précédée d’une évaluation des facteurs relatifs à la vie privée et s’effectuer dans le cadre d’une entente écrite transmise à Grues J.M. Francoeur

Grues J.M. Francoeur prend des mesures pour s’assurer que les renseignements personnels qu’elle recueille sont adéquats, pertinents, non excessifs et utilisés à des fins spécifiques et limitées.

3.2. Informations communiquées lors de la collecte de renseignements personnels Lorsqu’elle recueille des renseignements personnels, Grues J.M. Francoeur s’assure d’informer la personne concernée, au plus tard au moment de la collecte :

  1. Du nom de l’organisme au nom duquel la collecte est faite;
  2. Des fins auxquelles ces renseignements sont recueillis;
  3. Des moyens par lesquels les renseignements sont recueillis;
  4. Du caractère obligatoire ou facultatif de la demande;
  5. Des conséquences d’un refus de répondre ou de consentir à la demande;
  6. Des droits d’accès et de rectification prévus par la Loi;
  7. De la possibilité que les renseignements personnels soient communiqués à l’extérieur du Québec, le cas échéant.

 

L’organisation ne communique aucun renseignement personnel, sauf pour des besoins de services. Les seules tierces parties auxquelles Grues JM Francoeur transmet des renseignements personnels à des fins de services sont les suivantes:
  1. TI IMPACT

Sur demande, la personne concernée est également informée des renseignements personnels recueillis auprès d’elle, des catégories de personnes qui y ont accès au sein de l’organisme privé, de la durée de conservation de ces renseignements ainsi que des coordonnées de la personne responsable de la protection des renseignements personnels.

 

ARTICLE 4. UTILISATION DES RENSEIGNEMENTS PERSONNELS

Grues J.M. Francoeur utilise des renseignements personnels concernant sa clientèle, les membres de son personnel et d’autres tierces parties afin de s’acquitter de sa mission et de ses fonctions. Elle ne fera pas usage des renseignements personnels à d’autres fins que celles précisées lors de la collecte, à moins que la personne concernée n’y consente expressément ou que la Loi le permette.

 

ARTICLE 5. CONSENTEMENT

Dans les situations qui le requièrent, Grues J.M. Francoeur devra transmettre un consentement à la cueillette, à l’utilisation ou à la divulgation des renseignements personnels aux personnes concernées. Pour être valable, le consentement devra être manifeste, libre, éclairé, être donné à des fins spécifiques, en termes simples et clairs ainsi que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.

Lorsqu’une personne a donné son consentement à la collecte, à l’utilisation et à la communication de ses renseignements personnels, elle peut le retirer à tout moment. Pour retirer son consentement, le cas échéant, elle peut communiquer avec la personne dont le nom est indiqué dans le formulaire de consentement (par exemple : par courriel, télécopieur, téléphone, etc.).

Veuillez noter que si une personne retire son consentement, il se peut que Grues J.M. Francoeur ne puisse pas fournir un service particulier. Par exemple, la personne qui refuse de donner son consentement pour la transmission de ses données à Grues J.M. Francoeur pourrait ne pas être capable d’utiliser les services fournis par l’entreprise. Grues J.M. Francoeur expliquera à cette personne l’impact du retrait de son consentement pour l’aider dans sa prise de décision.

 

ARTICLE 6. COMMUNICATION DE RENSEIGNEMENTS PERSONNELS

6.1. Communication avec le consentement de la personne concernée

Grues J.M. Francoeur peut communiquer certains renseignements personnels qu’elle détient à une tierce personne s’elle a obtenu le consentement valable de la personne concernée.

6.2. Communication sans le consentement de la personne concernée

Grues J.M. Francoeur peut divulguer certains renseignements personnels détenus pour se conformer à l’ordonnance d’un tribunal, à une loi ou à une procédure judiciaire, y compris pour répondre à toute demande gouvernementale ou réglementaire, conformément aux lois applicables, ou s’elle croit que la divulgation est nécessaire ou appropriée pour protéger les droits, la propriété ou la sécurité de Grues J.M. Francoeur ou d’autres personnes.

Grues J.M. Francoeur peut communiquer certains renseignements personnels qu’elle détient à un membre du personnel de Grues J.M. Francoeur qui a la qualité pour les recevoir et lorsque ces renseignements sont nécessaires à l’exercice de ses fonctions.

Grues J.M. Francoeur peut transférer les renseignements personnels qu’elle collecte à des fournisseurs de services et à d’autres tiers qui le soutiennent. Ces tiers sont contractuellement obligés de garder les renseignements personnels confidentiels, de les utiliser uniquement aux fins pour lesquelles Grues J.M. Francoeur les divulgue et de traiter les renseignements personnels selon les normes énoncées dans la politique et en respect des lois.

Dans certaines situations, la personne responsable de la protection des renseignements personnels doit inscrire la communication dans son registre de communication des renseignements personnels.

 

ARTICLE 7. CONSERVATION ET DESTRUCTION DES RENSEIGNEMENTS PERSONNELS

Grues J.M. Francoeur ne conserve les renseignements personnels qu’elle détient que pour le temps nécessaire pour atteindre les fins pour lesquelles elle les a collectés et conformément à son calendrier de conservation, à moins d’autorisation ou d’exigence des lois ou de la réglementation applicable.

En règle générale, lorsque les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, Grues J.M. Francoeur doit le détruire ou l’anonymiser pour l’utiliser à des fins d’intérêt privé.

Un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus d’identifier directement ou indirectement cette personne. Il convient de noter que le processus d’anonymisation doit être irréversible.

Cependant, par exception à la règle générale, s’il s’agit de renseignements personnels contenus dans un document visé par le calendrier de conservation de Grues J.M. Francoeur, celle-ci doit respecter les règles qui y sont prévues en matière de conservation et de destruction de ces documents.

Lorsque Grues J.M. Francoeur procède à la destruction de documents contenant des renseignements personnels, elle s’assure de prendre les mesures de protection nécessaires visant à assurer la confidentialité de ceux- ci. La méthode de destruction utilisée doit être déterminée en fonction de la sensibilité des renseignements, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.

Les renseignements détenus par Grues J.M. Francoeur sont traités et stockés au Québec. Lorsqu’un transfert de renseignements personnels à l’extérieur du Québec est nécessaire dans le cadre de l’exercice des fonctions de Grues J.M. Francoeur, ce transfert n’aura lieu que s’il est évalué que le renseignement bénéficierait d’une protection adéquate, notamment en considérant la sensibilité du renseignement, la finalité de son utilisation, les mesures de protection dont le renseignement bénéficierait et le régime juridique applicable dans l’État ou la province où ce renseignement serait communiqué. Le transfert sera également soumis aux ententes contractuelles appropriées afin d’assurer cette protection adéquate.

 

ARTICLE 8. PROTECTION DES RENSEIGNEMENTS PERSONNELS

Grues J.M. Francoeur a mis en place des mesures de sécurité physiques, organisationnelles, contractuelles et technologiques appropriées et raisonnables, afin de protéger vos renseignements personnels, peu importe le support sur lequel ils sont stockés contre la perte ou le vol, et contre l’accès, la divulgation, la copie, l’utilisation ou la modification non autorisés par la loi. Grues J.M. Francoeur a pris des mesures pour faire en sorte que seuls les membres du personnel qui doivent absolument avoir accès à des renseignements personnels dans le cadre de leurs fonctions soient autorisés à y accéder.

Les personnes qui travaillent pour Grues J.M. Francoeur ou en son nom doivent, notamment :

  • Fournir des efforts raisonnables pour minimiser le risque de divulgation non intentionnelle de
  • Renseignements personnels ;
  • Prendre des précautions particulières pour s’assurer que les renseignements personnels ne sont pas épiés, entendus, consultés ou perdus lorsqu’elles travaillent dans des locaux autres que les bureaux de Grues J.M. Francoeur ; et
  • Prendre des mesures raisonnables pour protéger les renseignements personnels lorsqu’elles se déplacent d’un endroit à l’autre.

Les sous-traitants ayant accès aux renseignements personnels dont Grues J.M. Francoeur a la garde ou le contrôle seront informés de la présente politique de protection des renseignements personnels et des autres politiques et processus applicables pour assurer la sécurité et la protection des renseignements personnels. Tous les sous-traitants devront s’engager par écrit à accepter de se conformer aux politiques, aux processus et aux lois applicables.

 

ARTICLE 9. DEMANDE D’ACCÈS OU DE RECTIFICATION

9.1. Demande d’accès à des renseignements personnels

Toute personne qui en fait la demande a le droit d’accès aux renseignements personnels la concernant détenus par Grues J.M. Francoeur, sous réserve des exceptions prévues par la Loi sur l’accès.

Une demande de communication ne peut être considérée que si elle est faite par écrit par une personne physique justifiant de son identité à titre de personne concernée, à titre de représentante ou de représentant, d’héritière ou d’héritier ou de successible de cette dernière, à titre de liquidatrice ou de liquidateur de la succession, à titre de bénéficiaire d’assurance vie ou d’indemnité de décès, à titre de titulaire de l’autorité parentale même si l’enfant mineur est décédé, ou à titre de conjointe ou de conjoint ou de proche parent d’une personne décédée.

Cette demande doit être adressée par écrit à la personne responsable de la protection des renseignements personnels de Grues J.M. Francoeur. La demande doit fournir suffisamment d’indications précises pour permettre au Grues J.M. Francoeur de la traiter.

La personne responsable de la protection des renseignements personnels doit donner à la personne qui lui a fait une demande écrite un avis de la date de la réception de sa demande.

La personne responsable doit répondre au plus tard dans les vingt (20) jours qui suivent la date de la réception d’une demande. Si le traitement de la demande dans le délai prévu précédemment ne lui paraît pas possible sans nuire au déroulement normal des activités du

Grues J.M. Francoeur, la personne responsable peut, avant l’expiration de ce délai, le prolonger d’une période n’excédant pas dix (10) jours en donnant un avis à cet effet à la personne requérante avant l’expiration du délai de vingt (20) jours.

Si la personne qui fait la demande n’est pas satisfaite de la réponse de Grues J.M. Francoeur, elle peut saisir la Commission d’accès à l’information de cette décision afin que celle-ci soit révisée. Cette demande de révision doit être faite dans les trente (30) jours qui suivent la date de la décision ou de l’expiration du délai prévu à la Loi sur l’accès pour répondre à la demande.

9.2. Demande de rectification

Toute personne qui reçoit confirmation de l’existence dans un fichier d’un renseignement personnel la concernant peut, s’il est inexact, incomplet ou équivoque, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la Loi sur l’accès, exiger que le fichier soit rectifié.

Une demande de rectification ne peut être considérée que si elle est faite par écrit par une personne physique justifiant de son identité à titre de personne concernée, à titre de représentante ou de représentant, d’héritière ou d’héritier ou de successible de cette dernière, à titre de liquidatrice ou de liquidateur de la succession, à titre de bénéficiaire d’assurance vie ou d’indemnité de décès, à titre de titulaire de l’autorité parentale même si l’enfant mineur est décédé ou à titre de conjointe ou de conjoint ou de proche parent d’une personne décédée.

Cette demande doit être adressée par écrit à la personne responsable de la protection des renseignements personnels de Grues J.M. Francoeur. La demande doit fournir suffisamment d’indications précises pour permettre au Grues J.M. Francoeur de la traiter.

Grues J.M. Francoeur doit, lorsqu’elle accède à une demande de rectification d’un fichier, délivrer sans frais à la personne qui l’a faite une copie de tout renseignement personnel modifié ou ajouté, ou, selon le cas, une attestation du retrait d’un renseignement personnel.

Lorsque Grues J.M. Francoeur refuse en tout ou en partie d’accéder à une demande de rectification d’un fichier, la personne concernée peut exiger que cette demande soit enregistrée.

La personne responsable doit répondre au plus tard dans les vingt (20) jours qui suivent la date de la réception d’une demande. Si le traitement de la demande dans le délai prévu précédemment ne lui paraît pas possible sans nuire au déroulement normal des activités de Grues J.M. Francoeur, la personne responsable peut, avant l’expiration de ce délai, le prolonger d’une période n’excédant pas dix (10) jours en donnant un avis à cet effet à la personne requérante.

Si la personne qui fait la demande n’est pas satisfaite de la décision de Grues J.M. Francoeur, elle peut saisir la Commission d’accès à l’information de cette décision afin que celle-ci soit révisée. Cette demande de révision doit être faite dans les trente (30) jours qui suivent la date de la décision ou de l’expiration du délai prévu à la Loi sur l’accès pour répondre à la demande.

 

ARTICLE 10. PERFECTIONNEMENT

10.1. Définition

Au sens de la présente politique, constitue un incident de confidentialité :

  1. L’accès non autorisé par la Loi sur l’accès à un renseignement personnel. Par exemple :
  • un membre du personnel qui consulte des renseignements personnels non nécessaires à l’exercice de ses fonctions en outrepassant les droits d’accès qui lui ont été consentis ou un pirate informatique qui s’infiltre dans un système;
  • une personne qui s’immisce dans une banque de données contenant des renseignements personnels afin de les altérer;
  • un membre du personnel consulte un renseignement personnel sans autorisation;
  • l’organisation est victime d’une cyberattaque, comme de l’hameçonnage ou un rançongiciel.
  1. L’utilisation non autorisée par la Loi sur l’accès d’un renseignement personnel. Par exemple :
  • un membre du personnel qui utilise des renseignements personnels d’une base de données à laquelle il a accès dans le cadre de ses fonctions dans le but d’usurper l’identité d’une personne.
  1. La communication non autorisée par la Loi sur l’accès d’un renseignement personnel. Par exemple :
  • une communication faite par erreur à la mauvaise personne par son employeur;
  • la communication d’un renseignement personnel contraire aux dispositions de la Loi sur l’accès;
  • un membre du personnel communique des renseignements personnels au mauvais destinataire.
  1. La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement. Par exemple :
  • une personne qui perd ou se fait voler des documents contenant des renseignements personnels;
  • l’oubli de caviarder des renseignements personnels dans un document;
  • l’envoi d’un courriel contenant des renseignements personnels.

10.2. Traitement d’un incident de confidentialité

Lorsque Grues J.M. Francoeur a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient, elle doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent, ce qui peut inclure la sanction des individus en cause.

Grues J.M. Francoeur peut également aviser toute personne et/ou tout organismes susceptibles de diminuer ce risque en ne communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. Dans ce dernier cas, la personne responsable de la protection des renseignements personnels doit enregistrer la communication.

Si l’incident de confidentialité présente un risque qu’un préjudice sérieux soit causé, l’organisme doit, avec diligence, en aviser la Commission d’accès à l’information. Il doit également aviser toute personne dont un renseignement personnel est concerné par l’incident.

Afin d’évaluer le risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de confidentialité, Grues J.M. Francoeur doit considérer, notamment:

  • La sensibilité du renseignement concerné;
  • Les conséquences appréhendées de son utilisation; et
  • La probabilité qu’il soit utilisé à des fins préjudiciables.

Grues J.M. Francoeur doit également consulter la personne responsable de la protection des renseignements personnels.

10.3. Registre des incidents de confidentialité

Un organisme privé doit tenir un registre des incidents de confidentialité. Celui-ci contient, notamment :

  1. Une description des renseignements personnels visés par l’incident;
  2. Les circonstances de l’incident;
  3. La date où l’incident a eu lieu;
  4. La date où la personne responsable de la protection des renseignements personnels a eu connaissance de l’incident;
  5. Le nombre de personnes visées;
  6. L’évaluation de la gravité du risque de préjudice;
  7. S’il existe un risque de préjudice sérieux pour la personne concernée, les dates de transmission des avis; et
  8. Les mesures prises en réaction à l’incident.

 

ARTICLE 11. PROCESSUS DE TRAITEMENT DES PLAINTES RELATIVES À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

11.1. Dépôt d’une plainte relative à la protection des renseignements personnels

Toute personne qui a des motifs de croire qu’un incident de confidentialité s’est produit et que Grues J.M. Francoeur a fait défaut de protéger la confidentialité des renseignements personnels qu’elle détient peut déposer une plainte pour demander que la situation soit corrigée.

La plainte doit être déposée par écrit et comporter une description de l’incident, la date ou la période où l’incident s’est produit, la nature des renseignements personnels visés par l’incident et le nombre de personnes concernées.

La plainte doit être adressée par courriel auprès de la personne responsable de la protection des renseignements personnels.

Dans le cas où la plainte met en cause la conduite de la personne responsable de la protection des renseignements personnels, celle-ci doit être adressée à la Direction générale de Grues J.M. Francoeur. Si la Direction générale est aussi responsable de la protection des renseignements personnels, la plainte doit être adressée à la Présidence du conseil d’administration.

11.2. Traitement de la plainte

La personne responsable de la protection des renseignements personnels ou la Direction générale, ou la Présidence du conseil d’administration, le cas échéant, a la responsabilité de recevoir et de traiter la plainte dans un délai de 20 jours ouvrables.

Dans le cas où celle-ci s’avère fondée, Grues J.M. Francoeur prend les mesures requises pour corriger la situation dans les meilleurs délais conformément au paragraphe 10.2 de la présente politique et procède à l’inscription de l’incident au registre, comme indiqué au paragraphe 10.3.

 

ARTICLE 12. VIDÉOSURVEILLANCE

Le recours à la vidéosurveillance doit s’effectuer en respect des obligations prévues notamment par le Code civil du Québec, par la Charte des droits et libertés de la personne ainsi que par la Loi sur l’accès.

 

ARTICLE 13. PROJETS DE SYSTÈME D’INFORMATION OU DE PRESTATION ÉLECTRONIQUE IMPLIQUANT DES RENSEIGNEMENTS PERSONNELS

Grues J.M. Francoeur procède à une évaluation des facteurs relatifs à la vie privée pour tout projet d’acquisition, de développement ou de refonte d’un système d’information ou d’une prestation électronique de services qui impliquerait la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.

En ce qui concerne l’évaluation des facteurs relatifs à la vie privée, Grues J.M. Francoeur consulte, dès le début du projet, son comité sur l’accès à l’information et la protection des renseignements personnels.

 

ARTICLE 15. ACTIVITÉS DE FORMATION ET DE SENSIBILISATION À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS OFFERTES PAR Grues J.M. Francoeur À SON PERSONNEL

Les activités de formation et de sensibilisation sont publiées sur le site Intranet de Grues J.M. Francoeur. Le calendrier de formations et d’activités de sensibilisation sera mis à jour deux fois par année.

Le caractère obligatoire de la participation aux formations et activités apparaîtra au calendrier.

 

ARTICLE 16. SANCTIONS APPLICABLES EN CAS DE NON-RESPECT DE LA PRÉSENTE POLITIQUE

Le non-respect de la présente politique pourrait entraîner des mesures administratives et/ou disciplinaires pouvant aller jusqu’au congédiement. La nature, la gravité et le caractère répétitif des actes reprochés doivent être considérés au moment de déterminer une sanction.

Dans le cadre de ses relations contractuelles avec un tiers, Grues J.M. Francoeur pourra mettre fin à tout contrat sans préavis pour non-respect de la présente politique. Celle-ci sera présentée à tous les tiers contractants avec Grues J.M. Francoeur, lesquels devront s’engager, par écrit, à s’y conformer.

 

ARTICLE 17. DIFFUSION ET MISE À JOUR DE LA POLITIQUE

La personne responsable de la protection des renseignements personnels, s’assure de la diffusion et de la mise à jour de la politique sur le site Web de Grues J.M. Francoeur.

 

ARTICLE 18. RESPONSABILITÉ DE L’APPLICATION ET RÉVISION DE LA POLITIQUE

La Direction générale est responsable de l’application de la politique et de sa révision.

 

ARTICLE 19. ENTRÉE EN VIGUEUR

La présente politique est approuvée et adoptée par le directeur général et responsable de la protection des renseignements personnels. Elle entre en vigueur le jour de son adoption.

 

ANNEXE 1

COORDONNÉES PERTINENTES ET COMPOSITION DU COMITÉ SUR L’ACCÈS À L’INFORMATION ET LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

Conformément à l’article 8.1 de la Loi sur l’accès, Grues J.M. Francoeur a créé le Comité sur l’accès à l’information et la protection des renseignements personnels.

Directions membres :

  • Direction générale
  • Direction des technologies de l’information

 

COORDONNÉES PERTINENTES

Responsable de la protection des renseignements personnels : Stéphanie Francoeur, siefrancoeur@gruesjmf.com