Politique de gouvernance en matière de protection des renseignements personnels
Cette politique de gouvernance en matière de protection des renseignements personnels décrit la manière dont le Cabinet juridique Jennifer Guay Inc. (collectivement : « CABINET », « nous », « nos » ou « notre ») veille à ce que vos renseignements personnels soient gérés et protégés correctement.
Politique de gouvernance
CABINET JURIDIQUE JENNIFER GUAY INC.
1. OBJECTIFS
1.1.
Au CABINET, la protection de vos renseignements personnels est notre priorité. Afin de répondre à vos attentes, nous prenons les mesures nécessaires pour protéger les renseignements personnels, gérer correctement les données et assurer la responsabilité de nos employés à l’égard de la protection des renseignements personnels.
1.2.
La protection des renseignements personnels signifie la protection et la gestion efficaces des renseignements personnels par la détermination, l’évaluation, la surveillance et l’atténuation des risques pour la protection des renseignements personnels dans les services et les activités du CABINET qui comportent la collecte, la conservation, l’utilisation, la divulgation et la destruction de renseignements personnels.
1.3.
La politique de gouvernance en matière de protection des renseignements personnels (ci-après appelé le « Cadre de gouvernance » ou le « Cadre ») a pour objet d’articuler notre vision, notre objectif et notre engagement à l’égard de la protection des renseignements personnels, y compris le traitement et la protection des renseignements personnels, afin que la vie privée de nos clients soit respectée. Le Cadre est conçu comme document de référence pour les visiteurs de notre site Web et nos clients (collectivement : les « Clients », « vous », « vos » ou « vôtre »).
1.4.
Le présent Cadre de gouvernance ne s’applique pas à un renseignement personnel qui a un caractère public en vertu de la loi.
2. DÉFINITIONS
2.1.
Nous définissons certains termes comme suit :
-
Anonymisation : Un renseignement concernant une personne est anonymisé lorsqu’il est raisonnable de conclure qu’il ne permet plus d’identifier directement ou indirectement cette personne.
-
Désindexation des renseignements personnels : Le retrait des informations pour les rendre moins visibles, mais toujours accessibles directement.
-
Gouvernance de la protection des renseignements personnels : il s’agit de l’ensemble des activités du CABINET pour recueillir, utiliser et divulguer des renseignements personnels en conformité avec la loi et les directives réglementaires; protéger les renseignements personnels et gérer les risques liés au traitement de ces renseignements.
-
Incident de confidentialité : Constitue un incident de confidentialité :
-
a) L’accès non autorisé à un renseignement personnel;
-
b) L’utilisation non autorisée d’un renseignement personnel;
-
c) La communication non autorisée d’un renseignement personnel;
-
d) La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
-
Renseignements personnels (cette définition est précisée dans la Loi sur la protection des renseignements personnels) : il s’agit des renseignements, quels que soient leur forme et leur support, concernant un individu identifiable, notamment :
-
a) les renseignements relatifs à sa race, à son origine nationale ou ethnique, à sa couleur, à sa religion, à son âge ou à sa situation de famille;
-
b) les renseignements relatifs à son éducation, à son dossier médical, à son casier judiciaire, à ses antécédents professionnels ou à des opérations financières auxquelles il a participé;
-
c) tout numéro ou symbole, ou toute autre indication identificatrice, qui lui est propre;
-
d) son adresse, ses empreintes digitales ou son groupe sanguin;
-
e) ses opinions ou ses idées personnelles, à l’exclusion de celles qui portent sur un autre individu ou sur une proposition de subvention, de récompense ou de prix à octroyer à un autre individu par une institution fédérale, ou subdivision de celle-ci visée par règlement;
-
f) toute correspondance de nature, implicitement ou explicitement, privée ou confidentielle envoyée par lui à une institution fédérale, ainsi que les réponses de l’institution dans la mesure où elles révèlent le contenu de la correspondance de l’expéditeur;
-
g) les idées ou opinions d’autrui sur lui;
-
h) les idées ou opinions d’un autre individu qui portent sur une proposition de subvention, de récompense ou de prix à lui octroyer par une institution, ou subdivision de celle-ci, visée à l’alinéa e), à l’exclusion du nom de cet autre individu si ce nom est mentionné avec les idées ou opinions;
-
i) son nom lorsque celui-ci est mentionné avec d’autres renseignements personnels le concernant ou lorsque la seule divulgation du nom révélerait des renseignements à son sujet;
-
Tiers : Toute personne physique ou morale externe au CABINET, qui ne fait pas partie de notre organisation ou des membres de notre personnel. Le tiers peut inclure les fournisseurs, les distributeurs, les sous-traitants, les autres contractants, les partenaires, les consultants, les autres organismes externes, etc.
3. COORDONNÉES DE LA PERSONNE RESPONSABLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
3.1.
La personne responsable de la protection des renseignements personnels est Me Jennifer Guay, avocate fondatrice du CABINET. Elle peut être contactée par courriel à contact@jenniferguayavocate.com.
3.2.
Cette personne est notamment responsable de :
3.2.1. Recevoir et traiter les demandes d’accès et de rectification en respect de la protection des renseignements personnels et de la confidentialité;
3.2.2. Traiter les incidents de confidentialité;
3.2.3. Recevoir les plaintes qui mettent en cause la protection des renseignements personnels et les traiter;
3.2.4. Tenir à jour le registre des incidents de confidentialités;
3.2.5. Tenir à jour la liste de classement des documents de manière à en permettre le repérage et l’inventaire des fichiers de renseignements personnels.
3.3.
Il est possible de communiquer avec la personne responsable de la protection des renseignements personnels pour toute question en lien avec l’application du présent Cadre de gouvernance en matière de protection des renseignements personnels.
4. COLLECTE DES RENSEIGNEMENTS CONFIDENTIELS
4.1
Le CABINET collecte des renseignements personnels notamment auprès des clients, des visiteurs de son site Web, des sous-traitants et de son personnel. De façon générale, le CABINET collecte les renseignements personnels directement auprès de la personne concernée et avec son consentement, sauf si une exception est prévue par la loi.
4.2
Le consentement peut être obtenu de façon implicite dans certaines situations, par exemple, lorsque la personne décide de fournir volontairement ses renseignements personnels dans le cadre volontaire des activités du CABINET, tels que lors d’une embauche ou lors de l’ouverture du dossier du client. dans tous les cas, nous ne collectons des renseignements personnels que si nous avons une raison valable de le faire. De plus, la collecte ne sera limitée qu’aux renseignements nécessaires dont nous avons besoin pour remplir l’objectif visé.
4.3
À moins d’une exception prévue par la loi, nous demanderons le consentement de la personne concernée avant de collecter des renseignements personnels qui la concernent auprès d’un tiers.
4.4.
Considérant que nous pouvons également collecter des renseignements personnels par un moyen technologique, nous nous sommes dotés d’une Politique de confidentialité disponible ICI.
5. INFORMATIONS COMMUNIQUÉES LORS DE LA COLLECTE DE RENSEIGNEMENTS
5.1.
Lorsque nous recueillons des renseignements personnels, nous nous assurons d’informer la personne concernée, au plus tard au moment de la collecte :
-
Des fins auxquelles ces renseignements sont recueillis;
-
Des moyens par lesquels les renseignements sont recueillis;
-
Du caractère obligatoire ou facultatif de la demande;
-
Des conséquences d’un refus de répondre ou de consentir à la demande;
-
Des droits d’accès et de rectification prévus par la loi;
-
De la possibilité que les renseignements personnels soient communiqués à des tiers, le cas échéant;
-
Sur demande, la personne concernée est également informée des renseignements personnels recueillis auprès d’elle, des catégories de personnes qui y ont accès au sein du CABINET et de la durée de conservation de ces renseignements.
6. UTILISATION DES RENSEIGNEMENTS PERSONNELS
6.1.
Le CABINET s’engage à utiliser les renseignements personnels en sa possession uniquement aux fins pour lesquelles ils ont été recueillis et pour lesquels la loi l’autorise à les utiliser. Il peut toutefois les recueillir, les utiliser ou les divulguer sans le consentement de la personne visée lorsque cela est permis ou exigé par la loi.
6.2.
Dans certaines circonstances particulières, le CABINET peut recueillir, utiliser ou divulguer des renseignements personnels sans que la personne concernée en soit informée ou qu’elle ait donné son consentement. De telles circonstances sont réunies notamment lorsque, pour des raisons juridiques, médicales ou de sécurité, il est impossible ou peu probable d’obtenir son consentement, lorsque cette utilisation est manifestement au bénéfice de cette personne, lorsque cela est nécessaire pour prévenir ou détecter une fraude ou pour tous autres motifs sérieux.
6.3.
Le CABINET limite l’accès des membres du personnel aux seuls renseignements personnels et connaissances de nature personnelle qui sont nécessaires à l'exercice de leur fonction.
7. PRINCIPES DIRECTEURS DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
7.1.
Nos principes directeurs en matière de protection des renseignements personnels sont les suivants :
7.1.1. Nous valorisons et respectons les données des Clients en notre possession et nous permettons à nos Clients de bien comprendre comment elles sont utilisées et à quelles fins.
7.1.2. Nous appuyons nos employés afin qu’ils comprennent leurs responsabilités en matière de traitement des données et nous répondons aux demandes de nos Clients en temps opportun et utile pour offrir une expérience transparente et efficace.
7.1.3. Nous plaçons nos Clients au cœur de tous les changements et améliorations en adoptant des pratiques innovantes et en intégrant les principes de protection des renseignements personnels dans tout ce que nous accomplissons.
7.1.4. Nous collaborons avec les employés et nous assurons une gestion efficace et sécurisée des données des Clients dans toutes nos opérations pour établir et maintenir la confiance des Clients.
7.1.5. Nous prenons des décisions sur la façon dont les données des Clients sont traitées en conformité avec les obligations législatives, les pratiques exemplaires de confidentialité et fondées sur des normes éthiques.
7.1.6. Nous prenons des mesures proactives et non réactives, des mesures préventives et non correctives.
7.1.7. Nous veillons à ce que les renseignements personnels soient systématiquement protégés dans les systèmes informatiques ou dans le cadre des pratiques internes, afin que les Clients n’aient à poser aucun geste.
7.1.8. Les mesures de protection des renseignements personnels ne doivent pas être intégrées après coup, mais plutôt constituer des éléments pleinement intégrés du système.
7.1.9. Assurer la sécurité du cycle de vie des données en conservant de façon sécurisée les données, puis les détruire quand elles ne sont plus utiles.
8. MESURES À L'ÉGARD DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
8.1.
Afin de respecter notre engagement à l’égard de la protection des renseignements personnels, nous concentrons nos efforts sur la prise des mesures décrites ci-dessous, qui, lorsqu’elles sont combinées, offrent un ensemble complet de mécanismes permettant de protéger vos renseignements personnels. La responsabilité de ces mécanismes incombe à différents responsables du CABINET, le responsable de la protection des renseignements personnels ayant la responsabilité s’acquitter de son mandat et d’aider le CABINET à respecter son engagement à l’égard de la protection des renseignements personnels.
​
1. Conception et exécution des programmes
Nous intégrons nos principes directeurs de la protection des renseignements personnels et les principes de la protection des renseignements personnels dans l’élaboration, l’exploitation et la gestion de tous les programmes, processus, solutions et technologies qui comportent des renseignements personnels. Nous tenons compte de la nécessité d’assurer une prestation de services et une protection des renseignements personnels à la fois efficaces et opportunes de manière à assurer la protection des renseignements de nature délicate les plus vulnérables.
2. Politique de confidentialité
Nous sommes réceptifs et transparents dans nos communications avec vous afin de nous assurer que vous connaissez vos droits en matière de vie privée et la manière dont nous utilisons et gérons vos renseignements personnels, par exemple grâce à notre politique de confidentialité.
3. Authentification
Afin de protéger vos renseignements personnels, nous validons l’identité de nos Clients à l’aide de : portails ou de systèmes, consultations par téléphone ou en personne, processus d’ouverture de session ou d’authentification à deux facteurs.
4. Gestion de l’identité
Nous gérons également les justificatifs d’identité des employés afin de nous assurer que seuls les employés autorisés ont accès à des renseignements personnels aux fins autorisées.
9. COMMUNICATIONS
9.1.
En principe, le CABINET ne peut communiquer les renseignements personnels qu’il détient sur une personne sans le consentement de celle-ci. Toutefois, le CABINET peut communiquer à un tiers des renseignements personnels sans le consentement de la personne concernée lorsque la communication est due à une exigence réglementaire ou légale ou lorsque la loi le permet.
9.2.
Lors de ces échanges de renseignements confidentiels, nous intégrons les exigences en matière de protection des renseignements personnels dans toutes les communications afin de faciliter le traitement et la protection appropriés des renseignements personnels.
9.3.
Les principales démarches de protection des renseignements personnels sont les suivantes :
​
1. Fournisseurs de services et partenaires tiers
Nous intégrons des contrôles et des exigences de sécurité et de protection des renseignements personnels dans toutes nos interactions avec des fournisseurs de services tiers.
2. Anonymisation des données
Nous prenons les mesures nécessaires pour anonymiser l’ensemble de renseignements personnels avant la communication des renseignements afin de respecter la vie privée.
3. Échange de renseignements avec des tiers autorisés
Nous nous efforçons d’intégrer le niveau approprié de mesures de protection des renseignements personnels dans tous les échanges de renseignements avec des tiers autorisés, comme les institutions financières et les représentants autorisés.
10. CONTRÔLES
10.1.
Le CABINET prend les précautions et les mesures nécessaires pour protéger les renseignements personnels contre les menaces externes et internes.
10.2.
Les principales démarches de protection des renseignements personnels sont les suivantes :
​
1. Contrôle externe
Nous protégeons les renseignements personnels des Clients contre les menaces externes, comme les attaques cybernétiques et l’hameçonnage, en utilisant des logiciels de détection des virus et de prévention des intrusions, en recueillant les renseignements sur les menaces pour surveiller et détecter les atteintes et en validant de multiples points de données, comme la mise en œuvre de l’authentification à deux facteurs.
2. Contrôle interne
Nous protégeons les renseignements personnels contre les menaces internes en utilisant des solutions automatisées pour détecter, repérer et vérifier les transactions douteuses des utilisateurs dans les systèmes du CABINET. Aux fins de sécurité de l’information, nous mettons également en œuvre les principes de l’accès minimal aux systèmes (les employés ont seulement accès aux renseignements dont ils ont besoin pour faire leur travail), du besoin de savoir (les renseignements sont seulement accessibles par ceux qui en ont besoin pour faire leur travail) et de la séparation des tâches.
3. Gestion des données et des dossiers
Nous prenons des mesures pour gérer efficacement les renseignements personnels en notre possession de manière à maintenir leur exactitude, à nous assurer que nous ne les utilisons que dans le cadre de nos activités et à les conserver seulement aussi longtemps que nécessaire et selon les prescriptions des lois applicables.
4. Évaluation des facteurs relatifs à la vie privée et fichiers de renseignements personnels
Le CABINET procède à une évaluation des facteurs relatifs à la vie privée (ÉFVP) pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels. L’évaluation des facteurs relatifs à la vie privée réalisée devra être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.
Le CABINET peut s’aider du guide développé par la Commission d’accès à l’information « Guide d’accompagnement - Réaliser une évaluation des facteurs relatifs à la vie privée (www.cai.gouv.qc.ca/documents/CAI_Guide_EFVP_FR.pdf) » pour réaliser l’évaluation des facteurs relatifs à la vie privée, le cas échéant.
5. Vérifications et examens de conformité
Nous confirmons que les renseignements personnels sont traités conformément à nos obligations et exigences législatives en matière de protection des renseignements personnels en effectuant des vérifications et en assurant une surveillance continue.
11. GESTION DES INCIDENTS DE CONFIDENTIALITÉ
11.1.
Lorsque le CABINET a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel que nous détenons, nous prenons les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent, ce qui peut inclure la sanction des individus en cause.
11.2.
Quand l’incident présente le risque qu’un préjudice sérieux soit causé aux personnes dont les renseignements sont concernés, le CABINET avise par écrit :
​
(1) La Commission d’accès à l’information via le formulaire d’avis prescrit (https://www.cai.gouv.qc.ca/documents/CAI_FO_avis_incident_confidentialite.pdf);
(2) La ou les personnes concernées. L’avis doit permettre de la renseigner adéquatement sur la portée et les conséquences de l’incident. Cet avis doit contenir :
a) Une description des renseignements personnels visés par l’incident. Si cette information n’est pas connue, l’organisation doit communiquer la raison justifiant l’impossibilité de fournir cette description.
b) Une brève description des circonstances de l’incident;
c) La date ou la période où l’incident a eu lieu, ou une approximation de cette période si elle n’est pas connue;
d) Une brève description des mesures prises ou envisagées pour diminuer les risques qu’un préjudice soit causé à la suite de l’incident;
e) Les mesures proposées à la personne concernée afin de diminuer le risque qu’un préjudice lui soit causé ou d’atténuer celui-ci;
f) Les coordonnées d’une personne ou d’un service avec qui la personne concernée peut communiquer pour obtenir davantage d’informations au sujet de l’incident.
11.3.
Le CABINET tient un registre des incidents de confidentialité, dont le contenu est déterminé par la loi. Les renseignements contenus au registre des incidents de confidentialité sont tenus à jour et conservés pendant une période minimale de cinq (5) ans après la date ou la période au cours de laquelle le CABINET a pris connaissance de l’incident.
11.4.
Si l’incident de sécurité est un rançongiciel, les étapes suivantes seront effectuées:
(1) Déconnecter immédiatement du réseau les appareils visés par le rançongiciel;
(2) Examiner le rançongiciel et déterminer comment il a infecté l'appareil;
(3) Communiquer avec les autorités pour signaler l'incident;
(4) Une fois le rançongiciel supprimé, une analyse complète du système sera effectuée à l'aide d’un antivirus ou de tout autre logiciel de sécurité permettant de confirmer qu'il a été supprimé de l'appareil;
(5) Si le rançongiciel ne peut pas être supprimé de l'appareil, l’appareil sera réinitialisé;
(6) Avant de procéder à la réinitialisation, une vérification sera faite pour s’assurer que rien n’est infecté par des maliciels;
(7) Si les données sont critiques et doivent être restaurées, mais ne peuvent être récupérées à partir de sauvegardes non affectées, des outils de déchiffrement seront utilisés (par exemple, ceux disponibles sur nomoreransom.org);
(8) La politique du CABINET est de ne pas payer la rançon, sous réserve des enjeux en cause;
(9) Protéger les systèmes pour éviter toute nouvelle infection en mettant en œuvre des correctifs pour empêcher toute nouvelle attaque.
11.5.
S’il a été confirmé qu'un piratage de compte s'est produit, les étapes suivantes seront effectuées:
(1) Aviser les clients, employés, sous-traitants, fournisseurs, distributeurs et partenaires du CABINET qu’ils pourraient recevoir des courriels frauduleux de notre part, et spécifier de ne pas répondre ou cliquer sur les liens de ces courriels.
(2) Vérifier si le CABINET a encore accès au compte piraté. Sinon, communiquer avec le support de la plateforme pour tenter de récupérer l’accès.
Changer le mot de passe utilisé pour se connecter à la plateforme piratée. Si le mot de passe est réutilisé ailleurs, celui-ci sera changé.
(3) Activer le double facteur d’authentification pour la plateforme.
(4) Supprimer les connexions et les appareils non légitimes de l’historique de connexion.
11.6.
S’il a été confirmé qu'une perte d’équipement s'est produite, les étapes suivantes seront effectuées :
(1) Le vol ou la perte d'un bien, tel qu'un ordinateur, un portable, une tablette ou un appareil mobile, sera signalé immédiatement aux autorités policières locales;
(2) Si l'appareil perdu ou volé contenait des données sensibles et qu’il n'est pas crypté, une analyse de sensibilité du type et du volume des données volées sera effectuée;
(3) Si possible, verrouiller et/ou désactiver les appareils mobiles perdus ou volés et procéder à un effacement des données à distance.
12. CONSERVATION DES RENSEIGNEMENTS PERSONNELS
12.1.
Le CABINET conserve les renseignements personnels qu’il détient pour le temps nécessaire pour atteindre les fins pour lesquelles il les a collectés et conformément à son calendrier de conservation, à moins d’une durée prescrite par la loi ou la réglementation applicable.
12.2.
Le CABINET s’assure de la qualité des renseignements personnels qu’il détient. En ce sens, les renseignements personnels conservés sont à jour, exacts et complets pour servir aux fins pour lesquelles ils ont été recueillis ou utilisés.
12.3.
La mise à jour constante des renseignements personnels n’est pas nécessaire, sauf si cela est justifié par les fins pour lesquelles ce renseignement est recueilli. Cependant, si les renseignements doivent servir à une prise de décision, ils doivent être à jour au moment de celle-ci.
12.4.
Selon la nature des renseignements personnels, ceux-ci peuvent être conservés aux locaux du CABINET, dans nos divers systèmes informatiques ou de nos fournisseurs de services.
12.5.
Le CABINET met en place des mesures de sécurité afin que les renseignements personnels demeurent strictement confidentiels et soient protégés contre la perte ou le vol et contre tout accès, communication, copie, utilisation ou modification non autorisée.
12.6.
Ces mesures de sécurité peuvent notamment comprendre des mesures organisationnelles telles que la restriction des accès à ce qui est nécessaire; la sauvegarde et l’archivage des données au moyen d’un système externe; des mesures technologiques comme l’utilisation de mots de passe et de chiffrement (par exemple, le changement fréquent de mots de passe).
13. DEMANDE D'ACCÈS À SES RENSEIGNEMENTS PERSONNELS
13.1.
Toute personne qui en fait la demande a un droit d’accès aux renseignements personnels la concernant détenus par le CABINET, sous réserve des exceptions prévues par la loi. Une demande de communication ne peut être considérée que si elle est faite par écrit par une personne physique justifiant de son identité à titre de personne concernée ou à titre de personne représentante autorisée.
13.2.
Cette demande doit être adressée à la personne responsable de la protection des renseignements personnels qui est indiquée dans notre politique de confidentialité. La demande doit fournir suffisamment d’indications précises pour lui permettre de la traiter. Lorsque la demande n’est pas suffisamment précise ou lorsqu’une personne le requiert, le responsable doit prêter assistance pour identifier les renseignements recherchés.
13.3.
Le responsable de la protection des renseignements personnels doit répondre par écrit à la demande d’accès avec diligence et au plus tard dans les trente (30) jours de la réception de la demande. À défaut de répondre dans les trente (30) jours de la réception de la demande, la personne est réputée avoir refusé d’y acquiescer.
13.4.
L’accès aux renseignements personnels est gratuit. Toutefois, des frais raisonnables peuvent être exigés du requérant pour la transcription, la reproduction ou la transmission de ces renseignements. Si nous entendons exiger des frais en vertu de la loi et de la présente clause, nous informerons le requérant du montant approximatif exigible, avant de procéder à la transcription, la reproduction ou la transmission de ces renseignements.
13.5.
Le responsable de la protection des renseignements personnels doit motiver tout refus d’acquiescer à une demande et indiquer la disposition de la loi sur laquelle ce refus s’appuie, les recours qui s’offrent au requérant en vertu de la présente loi et le délai dans lequel ils peuvent être exercés. Il doit également prêter assistance au requérant qui le demande pour l’aider à comprendre le refus.
13.6.
Nous devons refuser de donner communication à une personne d’un renseignement personnel la concernant lorsque sa divulgation révélerait vraisemblablement un renseignement personnel sur un tiers ou l’existence d’un personnel sur un tiers ou l’existence d’un tel renseignement et que cette divulgation serait susceptible de nuire sérieusement à ce tiers, à moins que ce dernier ne consente à sa communication ou qu’il ne s’agisse d’un cas d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée.
13.7.
Nous pouvons communiquer au conjoint ou à un proche parent d’une personne décédée un renseignement personnel que nous détenons concernant cette personne, si la connaissance de ce renseignement est susceptible d’aider le requérant dans son processus de deuil et que la personne décédée n’a pas consigné par écrit son refus d’accorder ce droit d’accès.
13.8.
Sous réserve de la clause précédente, nous devons refuser de donner communication d’un renseignement personnel au liquidateur de la succession, au bénéficiaire d’une assurance-vie ou d’une indemnité de décès, à l’héritier ou au successible de la personne concernée par ce renseignement, à moins que cette communication ne mette en cause les intérêts et les droits de la personne qui le demande à titre de liquidateur, de bénéficiaire, d’héritier ou de successible.
13.9.
Toute personne intéressée peut soumettre à la Commission d’accès à l’information une demande d’examen de mésentente relative à l’application d’une disposition portant sur l’accès d’un renseignement personnel.
13.10.
Nous pouvons demander à la Commission d’accès à l’information de nous autoriser à ne pas tenir compte de demandes manifestement abusives par leur nombre, leur caractère répétitif ou systématique ou de demandes qui, de l’avis de la Commission, ne sont pas conformes à l’objet de la loi. Nous pouvons aussi demander à la Commission de circonscrire la demande du requérant ou de prolonger le délai dans lequel nous devons répondre.
14. DEMANDE DE RECTIFICATION
14.1.
Toute personne qui reçoit confirmation de l’existence d’un renseignement personnel la concernant peut, s’il est inexact, incomplet ou ambigu, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la loi, exiger que le renseignement soit rectifié.
14.2.
Une personne physique qui justifie de son identité à titre de personne concernée ou à titre de personne représentante autorisée peut formuler, par écrit, une demande de rectification auprès de la personne responsable de la protection des renseignements personnels en fournissant suffisamment d’indications précises pour lui permettre de la traiter.
14.3.
Lorsqu’il accorde une demande de rectification, le CABINET délivre sans frais à la personne qui l’a faite une copie de tout renseignement personnel modifié ou ajouté, ou, selon le cas, une attestation du retrait d’un renseignement personnel.
14.4.
Toute personne intéressée peut soumettre à la Commission d’accès à l’information une demande d’examen de mésentente relative à l’application d’une disposition portant sur la rectification d’un renseignement personnel.
15. DESTRUCTION DES RENSEIGNEMENTS PERSONNELS
15.1.
En règle générale, lorsque les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, nous détruisons de manière irréversible ou l’anonymisons pour l’utiliser à d’autres fins.
15.2.
La destruction des documents d’origine contenant des renseignements personnels ou confidentiels est faite de façon sécuritaire. Lorsque nous procédons à la destruction de documents contenant des renseignements personnels, nous nous assurons de prendre les mesures de protection nécessaires visant à assurer la confidentialité de ceux-ci. Le CABINET détermine la méthode de destruction utilisée en fonction de la sensibilité des renseignements, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.
15.3.
Dans l’éventualité où le CABINET désire détruire les documents originaux à la suite de leur numérisation, il respecte les conditions suivantes : (1) l’information contenue dans les documents numérisés n’a pas été altérée et elle a été maintenue dans son intégralité; (2) La numérisation ainsi que le support pour conserver les documents numérisés doit assurer la stabilité et la pérennité des documents. Le CABINET choisit un support ou une technologie sur lequel il conserve ses documents qui lui permet de respecter ces conditions.
16. PROCESSUS DE TRAITEMENT DES PLAINTES
16.1.
Toute personne concernée par l’application du présent Cadre de gouvernance peut porter plainte concernant l’application du présent Cadre de gouvernance ou, plus généralement, concernant la protection de ses renseignements personnels par le CABINET.
16.2.
Toute personne qui souhaite formuler une plainte relative à l’application du présent Cadre ou, plus généralement, à la protection de ses renseignements personnels par le CABINET doit le faire par écrit en s’adressant à la personne responsable de la protection des renseignements personnels identifiée aux présentes.
16.3.
La personne devra indiquer son nom, ses coordonnées pour le joindre, incluant un numéro de téléphone, ainsi que l’objet et les motifs de sa plainte, en donnant suffisamment de détails pour que celle-ci puisse être évaluée par le responsable. Si la plainte formulée n’est pas suffisamment précise, la personne responsable de la protection des renseignements personnels peut requérir toute information additionnelle qu’elle juge nécessaire pour pouvoir évaluer la plainte.
16.4.
Le CABINET s’engage à traiter toute plainte reçue de façon confidentielle. La plainte est traitée dans un délai raisonnable. La personne responsable de la protection des renseignements personnels doit évaluer la plainte et formuler une réponse motivée écrite à la personne plaignante.
16.5.
Les plaintes frivoles, diffamatoires ou sans fondement évident, peuvent être rejetées. Dans une telle situation, une justification sera fournie au plaignant.
16.6.
Dans les 30 jours suivant la réception de la plainte ou suivant la réception de tous les renseignements additionnels jugés nécessaires et requis par la personne responsable de la protection des renseignements personnels pour pouvoir la traiter, cette dernière doit l’évaluer et formuler une réponse motivée écrite par courriel, au plaignant.
16.7.
Cette évaluation visera à déterminer si le traitement des renseignements personnels par le CABINET est conforme au présent Cadre en place au sein de l’organisation et à la législation ou réglementation applicable. Dans le cas où la plainte ne peut être traitée dans ce délai, le plaignant doit être informé des motifs justifiant l’extension de délai, de l’état d’avancement du traitement de sa plainte et du délai raisonnable nécessaire pour pouvoir lui fournir une réponse définitive.
16.8.
La personne responsable de la protection des renseignements personnels proposera des solutions appropriées pour résoudre la plainte dans les meilleurs délais. Les solutions peuvent inclure des mesures correctives, des compensations financières ou toute autre action nécessaire pour résoudre la plainte de manière satisfaisante.
16.9.
Une fois la plainte résolue, la personne responsable de la protection des renseignements personnels fournira une réponse écrite au plaignant résumant les mesures prises et les solutions proposées.
16.10.
Il est également possible de déposer une plainte auprès de la Commission d’accès à l’information du Québec ou à tout autre organisme de surveillance en matière de protection des renseignements personnels responsable de l’application de la loi concernée par l’objet de la plainte.
16.11.
Le CABINET doit constituer un dossier distinct pour chacune des plaintes qui lui sont adressées en vertu de la présente procédure de traitement de plainte. Chaque dossier contient la plainte, l’analyse et la documentation à l’appui de son évaluation, ainsi que la réponse écrite envoyée à la personne plaignante.
17. DÉSINDEXATION DES RENSEIGNEMENTS PERSONNELS
17.1.
Le but de cette procédure est de fournir un mécanisme structuré pour gérer les demandes de désindexation des renseignements personnels afin de limiter leur visibilité. Cette procédure couvre toutes les informations publiées sur nos plateformes en ligne, y compris notre site Web, nos applications mobiles, nos bases de données ou tout autre support numérique utilisé par le CABINET.
17.2.
Toute personne peut soumettre sa demande de désindexation par le biais de canaux spécifiques tels que le formulaire en ligne disponible sur le site Web du CABINET, l’adresse courriel dédiée ou le numéro de téléphone. Avant de traiter la demande, l'identité de l'individu sera vérifiée de manière raisonnable. Cette vérification peut être faite notamment, mais non limitativement, en demandant des informations supplémentaires ou en vérifiant l'identité de l'individu par la transmission de pièces d’identité. Si l'identité du demandant ne peut pas être vérifiée de manière satisfaisante, le CABINET peut refuser de donner suite à la demande de désindexation.
17.3.
Le CABINET examinera attentivement les demandes et les renseignements personnels concernés pour déterminer leur admissibilité à la désindexation. Il existe aussi des raisons parfaitement valables pour lesquelles le CABINET pourrait refuser de désindexer des renseignements personnels, par exemple :
17.3.1. Pour continuer à fournir des biens et des services à cette personne;
17.3.2. Pour des raisons d’exigence législative ou réglementaire;
17.3.3. Pour des raisons juridiques en cas de litige.
17.4.
Le CABINET prendra les mesures nécessaires pour désindexer les renseignements personnels conformément aux demandes de désindexation jugées admissibles. Tout retard ou problème rencontré lors du traitement des demandes sera communiqué au demandeur.
17.5.
Toutes les demandes de désindexation des renseignements personnels, ainsi que les actions entreprises pour y répondre, seront consignées dans un système de suivi dédié. Ce système indiquera les détails des demandes de désindexation, les dates des demandes, les décisions prises, les mesures mises en place et les résultats.
18. ENTRÉE EN VIGUEUR ET RÉVISION
18.1.
Le présent Cadre de gouvernance est approuvé par la personne responsable de la protection des renseignements personnels.
18.2.
Il est complémentaire à notre Politique de confidentialité. Le Cadre entre en vigueur à la date de son approbation. Il demeure en application tant et aussi longtemps qu’il n’est pas abrogé, modifié ou remplacé par un autre Cadre de gouvernance.
18.3.
Le présent Cadre de gouvernance peut être mis à jour périodiquement en fonction des changements survenus dans nos pratiques et nos mesures en matière de protection des renseignements personnels. Il est de votre responsabilité de consulter périodiquement notre Cadre de gouvernance afin de vous tenir informé de nos pratiques à jour.
18.4.
Le Cadre de gouvernance révisé sera affiché sur notre site Web et la date de la dernière mise à jour est indiquée au bas des présentes. Les modifications prendront effet dès leur publication sur notre site Web.
18.5.
(Dernière version du présent Cadre de gouvernance: en date du 14 septembre 2023).