Politique sur la protection des renseignement personnels (Loi 25)

Mission

La loi 25 a pour but de moderniser des dispositions législatives en matière de protection des renseignements personnels. Elle vise à protéger la population québécoise en responsabilisant les entreprises quant aux informations personnelles qu’elles détiennent. La loi 25 a pour objectif d’établir des règles concernant les renseignements personnels sur autrui qu’une personne peut recueillir, détenir, utiliser ou communiquer à des tiers, dans le cadre de l’exploitation d’une entreprise.

Champ d’application

La loi sur la protection des renseignements personnels s’adresse à tous organismes publics ou entreprises privés.

Définition des renseignements personnels

Les renseignements personnels sont une ou des informations concernant une personne physique et qu’il en permet, directement ou indirectement quels que soient leur forme, l’identification de cette personne. Elles sont d’origine confidentielle, sauf exception, ils ne peuvent être communiqués sans le consentement de la personne concernée.

1. Nom, adresses, état civil, numéro d’assurance social ou date de naissance;
2. Les renseignements relatifs à sa race, à son origine nationale ou ethnique ou à sa situation familiale;
3. Les renseignements relatifs à son éducation, à son dossier médical, à son casier judiciaire, à ses antécédents professionnels;
4. Son adresse, ses empreintes digitales ou son groupe sanguin;
5. Son titre et les adresses et numéros de téléphone de son lieu de travail;
6. Tous messages vocaux, vidéos, captations ou photos.

Utilisation des données

L’utilisation est la période pour laquelle la donnée est utilisée par les personnes autorisées au sein de l’entreprise. L’entreprise doit respecter les obligations suivantes ;

1. Limiter l’accès aux renseignements personnels aux seules personnes ayant les droits pour les recevoir au sein de l’entreprise lorsque ces renseignements sont nécessaires à leurs fonctions;
2. Limiter l’utilisation des renseignements personnels aux besoins essentiels.

Conservation

La conservation est la période durant laquelle une entreprise détient les renseignements personnels, sous quelque forme que ce soit, et ce, peu importe que les renseignements soient utilisés ou non.

Responsabilité de Solaris Québec portes et fenêtres Inc.

L’entreprise a la responsabilité et l’obligation de respecter toutes exigences de la Loi 25. Un manquement à ces obligations expose l’entreprise à des sanctions sous forme d’amende considérable.

Rôle du responsable

L’entreprise a la responsabilité de désigner un responsable de la protection des renseignements personnels. Ce responsable doit connaître toute nature des renseignements personnels que détient l’entreprise. Il a également en sa possession l’information des accès et les motifs expliquant ceux-ci. Il encadre la gouvernance des renseignements personnels et le responsable est la personne-ressource au sein de l’entreprise.

Rôle des employés

Tout employé au sein de l’entreprise a la responsabilité des informations sensibles qu’il a en sa possession. L’employé a l’obligation de se conformer au système de sécurité mis en place par l’entreprise. Il a également le devoir, qu’il soit le responsable ou le témoin de déclarer tout incident de sécurité au responsable selon la procédure mise en place.

Mesures de protection physiques, organisationnelles et technologiques

Les moyens de protections varient selon le degré de sensibilité et la méthode de conservation des renseignements personnels. Les règles suivantes doivent être respectées de tous nos employées.

1. Les renseignements personnels ne doivent pas être laissés sans surveillance.
2. L’accès au renseignement personnel est réservé uniquement aux personnes pouvant justifier d’un motif d’affaires légitime
3. Lorsque des renseignements sont fournis à un tiers, seuls les renseignements nécessaires d’un dossier sensible, et non l’intégral, sont communiqués
4. Les mots de passe ne sont dévoilés en aucun cas et sont protégés par authentification multiple.
5. Tout périphérique informatique se verrouille automatiquement après une inactivité de plus de 5 min.

Les employées de Solaris Québec portes et fenêtres Inc. doivent faire preuve d’une très grande vigilance dans la protection des renseignements personnels. Un soin tout particulier est apporté aux renseignements personnels sensibles suivant :

1. Les dossiers d’employées
2. Les dossiers médicaux
3. Les dossiers financiers

Déclaration d’un incident de sécurité

Tout employé de Solaris Québec portes et fenêtres Inc. ou personnes en lien avec l’entreprise a l’obligation de déclarer tout incident de sécurité selon la procédure (voir annexe 1) mise en place. Toute personne doit déclarer tout incident dont il est le responsable ou le témoin. La personne doit communiquer toutes informations nécessaires au responsable par courriel au confidentialite@solarisquebec.com afin d’aider le comité à évaluer le degré critique de l’incident et prendre les résolutions appropriées.

Traitement des incidents de sécurité

Tout incident de sécurité sera traité avec la plus haute importance. Le comité prendra en charge le plus rapidement possible le traitement de celui-ci. L’événement sera également déclaré à la commission d’accès à l’information du Québec selon la gravité de l’incident.

Processus de destruction ou anonymisation des données

Sauf si une durée minimale de conservation est requise par la loi ou la réglementation applicable, Solaris Québec portes et fenêtres Inc. ne conservera les renseignements personnels que pour la durée nécessaire à la réalisation des fins pour lesquelles ils ont été collectés.

À la fin de la durée de conservation ou lorsque les renseignements personnels ne sont plus nécessaires, Solaris Québec portes et fenêtres Inc. s’assurera :

1. de les détruire; ou
2. de les anonymiser (c’est-à-dire qu’ils ne permettent plus, de façon irréversible, d’identifier la personne et qu’il n’est plus possible d’établir un lien entre la personne et les renseignements personnels) pour les utiliser à des fins sérieuses et légitimes.

La destruction de renseignements par Solaris Québec portes et fenêtres Inc. doit être faite de façon sécuritaire, afin d’assurer la protection de ces renseignements.

La présente section peut être complétée par toute politique ou procédure adoptée par Solaris Québec portes et fenêtres Inc. concernant la conservation et destruction de renseignements personnels, le cas échéant. Veuillez contacter le responsable de la protection des renseignements personnels de Solaris Québec portes et fenêtres Inc. par courriel (confidentialite@solarisquebec.com) pour en savoir davantage.

Législation fédérale : Loi sur la protection des renseignements personnels et les documents électroniques

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) fixe des normes et des règles régissant la collecte, l’utilisation et la communication de renseignements personnels par les entreprises et les organismes du secteur privé.

Cette loi a des incidences sur la façon dont les entreprises privées, les organismes fédéraux, les sociétés sans but lucratif et les associations traitent les renseignements personnels qui leur sont communiqués. De plus, elle énonce clairement un code d’usage en matière de protection des renseignements personnels, qui vise à assurer que les renseignements personnels concernant les Canadiens seront traités avec respect et en toute confidentialité.

Lois provinciales

C’est au Québec qu’a été promulguée la première loi exhaustive en Amérique du Nord portant sur la protection des renseignements personnels dans le secteur privé. La Loi sur la protection des renseignements personnels dans le secteur privé établit des pratiques équitables en matière de renseignements pour les entreprises qui exercent leurs activités au Québec.

Le 1er janvier 2004, l’Alberta et la Colombie-Britannique ont promulgué leurs propres lois sur la protection des renseignements personnels; la Personal Information Protection Act of British Columbia et la Personal Information Protection Act of Alberta.

Au fur et à mesure que les autres provinces édicteront des lois similaires, les entreprises exerçant leurs activités commerciales dans ces territoires devront se conformer à la loi qui s’applique dans leur province au lieu de la LPRPDE. Toutefois, la LPRPDE continuera de régir les échanges transfrontaliers, interprovinciaux et internationaux.