Politique sur la protection des renseignements personnels

1. Énoncé de la politique

OCTANT AVIATION et ses entités (ici « Entreprise ») s’engagent à assurer la protection, la confidentialité et la sécurité des renseignements personnels, conformément aux lois sur la protection des données en vigueur.

• Objectifs

Cette politique a pour but de garantir que tous les renseignements personnels sont collectés, utilisés, stockés et divulgués conformément à la Loi sur les renseignements personnels et autres lois déjà en vigueur (Code civil, art. 3; Charte des droits et libertés, art.5; Loi concernant le cadre juridique des technologies de l’information) ainsi qu’aux meilleures pratiques en matière de confidentialité des données.

• Portée

Cette politique s’applique à tous les employés, dirigeants, consultants, sous-traitants et fournisseurs qui traitent des renseignements personnels dans le cadre de leurs fonctions au sein de notre Entreprise.

• Définitions

Renseignements personnels (RP) : Les RP sont ceux qui portent sur une personne physique et permettent de l’identifier. Ils sont confidentiels. Sauf exception, ils ne peuvent être communiqués sans le consentement de la personne concernée.

Responsable de la protection des RP : Toute entreprise est responsable de la protection des renseignements personnels qu’elle détient. La personne ayant la plus haute autorité veille à assurer le respect et la mise en œuvre de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le privé). Cette personne exerce la fonction de responsable de la protection des renseignements personnels; elle peut déléguer cette fonction par écrit, en tout ou en partie, à toute personne ayant les compétences requises et un pouvoir décisionnel important.

Commission d’accès à l’information du Québec (CAI) : La Commission est à la fois un tribunal administratif et un organisme de surveillance qui veille à l’application de la Loi sur l’accès et de la Loi sur le privé. Elle voit aussi à la promotion et au respect des droits des citoyens à l’accès aux documents des organismes publics et à la protection de leurs RP.

Incident de confidentialité : un incident de confidentialité correspond à tout accès, utilisation ou communication non autorisés par la loi d’un RP, de même qu’à la perte d’un RP ou à toute autre atteinte à sa protection. Par exemple, un incident de confidentialité pourrait se produire lorsque :

• un membre du personnel consulte un RP sans autorisation;
• un membre du personnel communique des RP au mauvais destinataire;
• l’organisation est victime d’une cyberattaque : hameçonnage, rançongiciel, etc.

Consentement : Donner son consentement signifie donner son accord. C’est un acte réfléchi qui doit répondre à toutes ces caractéristiques :

• Le consentement doit être manifeste , c’est-à-dire évident, certain et indiscutable;
• Le consentement doit être libre , c’est-à-dire être donné sans contrainte;
• Le consentement doit être éclairé , c’est-à-dire qu’il doit être précis, rigoureux et spécifique. Ainsi, l’Entreprise doit indiquer quels renseignements seront communiqués, à qui, pourquoi et comment, et quelles en seront les conséquences. La personne qui donne un consentement doit être suffisamment informée au sujet des communications qui seront effectuées pour qu’elle puisse porter un jugement éclairé sur la portée du consentement;
• Le consentement est également donné à des fins spécifiques et pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. La durée ne sera pas nécessairement reliée à un nombre de jours, de mois ou d’années, mais pourra faire référence à un événement déterminé ou une situation précise.

• Rôles et responsabilités

Personne responsable des RP dans l’Entreprise 

Le titre et les coordonnées de la personne se trouvent sur le site Internet de l’Entreprise. Au sein de l’Entreprise, la responsable est Nathalie Tousignant, Présidente directrice générale.

La loi lui confie des rôles spécifiques. En cas d’incident de confidentialité impliquant un renseignement personnel, notamment, elle doit :

• enregistrer les communications effectuées à toute personne ou tout organisme susceptible de diminuer le risque pour la personne concernée suivant l’incident;

• prendre part à l’évaluation du préjudice causé par l’incident;

Elle doit également réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la loi l’exige, par exemple avant de communiquer des RP à l’extérieur du Québec ou lors de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des RP. Guide d’accompagnement – ÉFVP

Toute personne impliquée dans un incident de confidentialité impliquant un RP :

La loi lui confie des rôles spécifiques. En cas d’incident de confidentialité impliquant un renseignement personnel, notamment, il doit :

• enregistrer les communications effectuées à toute personne ou tout organisme susceptible de diminuer le risque pour la personne concernée suivant l’incident;
• prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé aux personnes concernées et éviter que de nouveaux incidents de même nature ne se produisent;
• aviser la Commission et la personne concernée si l’incident présente un risque de préjudice sérieux;
• tenir un registre des incidents dont une copie devra être transmise à la Commission à sa demande

• Protection des renseignements personnels

L’Entreprise qui recueille, utilise, communique à des tiers, conserve ou détruit des renseignements personnels a plusieurs obligations à respecter en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé.

Cycle de vie d’un RP

Collecte

Première étape du cycle de vie du renseignement personnel, la collecte est le moment où le renseignement personnel est :

• recueilli (ex. : formulaire d’abonnement, sondage, outils analytiques Web);
• créé (ex. : no de membre ou de permis de conduire);
• inféré (ex. : profil de consommateur), c’est-à-dire déduit à partir d’autres renseignements.

Le fait de visualiser un renseignement personnel, comme ceux contenus sur une pièce d’identité, constitue également une collecte, même s’il n’y a pas de conservation par la suite.

La collecte est réalisée par l’Entreprise ou un tiers, comme un mandataire ou un prestataire de services.

À cette étape, les obligations suivantes doivent être respectées afin de protéger les renseignements personnels :

• Déterminer les fins de la collecte : un intérêt sérieux et légitime doit motiver la constitution d’un dossier sur une personne;
• Limiter la collecte de renseignements personnels : la collecte doit se limiter aux renseignements nécessaires aux fins déterminées. En cas de doute, un renseignement personnel est réputé non nécessaire;
• Recueillir les renseignements personnels par des moyens légaux et légitimes : sauf exception, la collecte doit se faire auprès de la personne concernée;
• Informer la personne concernée, avant de constituer un dossier :
  • de l’objet du dossier;
  • de l’utilisation qui sera faite des renseignements personnels;
  • des catégories de personnes qui y auront accès au sein de l’Entreprise;
  • de l’endroit où ils seront détenus;
  • de ses droits d’accès et de rectification.
• Obtenir le consentement des personnes concernées avant de collecter leurs renseignements personnels auprès d’un tiers, à moins d’une exception prévue par la loi (voir les exceptions à l’article 18 – Loi sur la protection des RP dans le secteur privé).

L’Entreprise ne peut refuser d’offrir un bien, un service ou un emploi à une personne qui refuse de fournir un renseignement personnel, sauf exception prévue par la loi.

Utilisation 

L’utilisation est la période où le renseignement personnel est utilisé par les personnes autorisées au sein de l’Entreprise.

À cette étape, l’Entreprise doit respecter les obligations suivantes :

• Limiter l’accès aux renseignements personnels aux seules personnes ayant la qualité pour les recevoir au sein de l’Entreprise lorsque ces renseignements sont nécessaires à l’exercice de leurs fonctions;
• Limiter l’utilisation des renseignements personnels : à moins d’une exception prévue par la loi, l’Entreprise doit obtenir le consentement de la personne concernée pour utiliser ses renseignements une fois l’objet du dossier accompli.

 

Communication

La communication est la période où le renseignement personnel est communiqué, par exemple dans un système de prestation électronique de services, par courriel, au service à la clientèle, par le biais de sites Web ou à un tiers.

À cette étape, l’Entreprise doit respecter les obligations suivantes :

• Obtenir le consentement des personnes concernées pour communiquer leurs renseignements à un tiers (ex. : assureur ou prestataire de services), à moins d’une exception prévue par la loi;
• Respecter les obligations prévues par la loi lorsqu’elle communique des renseignements personnels sans le consentement de la personne concernée;
• Respecter les obligations particulières applicables à la communication de renseignements personnels à l’extérieur du Québec.

 

Conservation

La conservation est la période durant laquelle l’Entreprise garde des renseignements personnels, sous quelque forme que ce soit, et ce, peu importe que les renseignements soient activement utilisés ou non.

À cette étape, l’Entreprise doit respecter les obligations suivantes :

• Assurer la qualité des renseignements personnels en veillant à ce que les renseignements personnels qu’elle détient soient à jour et exacts au moment où elle les utilise pour prendre une décision relative à la personne concernée;
• Prendre des mesures de sécurité propres à assurer la sécurité des renseignements personnels.

 

Destruction

Le cycle de vie du renseignement personnel se termine lors de sa destruction.

À cette étape, l’Entreprise doit :

• Détruire les renseignements personnels de manière sécuritaire dès que la finalité pour laquelle ils ont été collectés est accomplie, sous réserve du délai prévu par la loi ou par un calendrier de conservation établi par règlement du gouvernement (ex. pour des obligations fiscales).

 

Autres obligations : sécurité, accès et rectification 

 

• Mettre en place des mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits
  • Ces mesures sont raisonnables compte tenu, notamment, de la sensibilité, de la finalité, de la quantité, de la répartition et du support des renseignements personnels.
• Permettre l’exercice des droits d’accès et de rectification et répondre avec diligence, dans les 30 jours, aux demandes d’accès aux renseignements personnels et de rectification soumises par les personnes concernées.
  • L’absence de réponse dans ce délai équivaut à un refus. Une personne peut contester un refus ou une réponse jugée insatisfaisante en exerçant son droit de recours devant la Commission d’accès à l’information.

La destruction des RP contenant des RP

À titre d’entreprise privée, l’Entreprise est responsable d’assurer la gestion confidentielle des renseignements personnels, de leur collecte à leur destruction. Lorsque la finalité pour l’Entreprise a collecté, des renseignements personnels est accomplie, elle a aussitôt l’obligation de les détruire de façon sécuritaire. Seule restriction à cette obligation de destruction : le délai prévu par la loi ou par un calendrier de conservation établi par règlement du gouvernement (ex. : pour des obligations fiscales).

Depuis le 22 septembre 2023, les lois applicables prévoient une alternative à la destruction des renseignements personnels. Suivant l’accomplissement de la finalité de leur collecte, il sera possible de les conserver en procédant à leur anonymisation pour les utiliser à des fins sérieuses et légitimes:

• Un renseignement concernant une personne physique est anonymisé lorsqu’il est, en tout temps, raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne. 

Prudence et vigilance s’imposent lors de l’anonymiser des renseignements personnels dans ce contexte. Il s’agit d’un processus complexe devant garantir l’impossibilité de réidentification d’une personne physique par tout type de moyens technologiques.

La procédure de destruction

Les renseignements personnels ont un cycle de vie qui leur est propre : de leur collecte à leur destruction, ils passent par des phases d’utilisation et de conservation et, parfois, par la communication à des tiers.

L’Entreprise a l’obligation d’assurer protection des renseignements personnels. En matière de sécurité et de destruction, les lois applicables prévoient des règles.

L’Entreprise prendre des mesures de sécurité pour assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits. Ces mesures doivent être raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.

Rappelons que lorsque les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, l’organisation doit les détruire ou les anonymiser.

La Commission recommande de mettre en place une procédure de gestion documentaire et d’identifier des responsables chargés de veiller à sa bonne application.

Il est important de faire connaître cette procédure à tout le personnel. Cette procédure doit notamment viser à :

• Inventorier les types de documents contenant des renseignements personnels (fichier des ressources humaines, base de données de la clientèle, etc.);
• Définir les niveaux de confidentialité des documents (p. ex. protégé, confidentiel et secret) en fonction des critères de sensibilité, de finalité, de quantité, de répartition et de support.

Les lois applicables obligent l’Entreprise à protéger les renseignements personnels contenus dans tous les types de documents physiques ou numériques, au sens large, que leur forme soit écrite, graphique, sonore, visuelle, informatisée ou autre. Notez qu’une base de données, par exemple, est considérée comme un document :

• Distinguer les types de supports pour y associer une méthode de conservation et de destruction appropriées (p. ex. support papier, numérique);
• Déterminer un calendrier de conservation respectant les exigences légales.

La méthode de destruction doit être adaptée au support et au niveau de confidentialité des documents et assurer la destruction définitive des renseignements personnels qu’ils contiennent.

Plusieurs techniques permettent une destruction définitive :

Support utilisé	Exemple de méthodes de destruction
Papier (original et toutes les copies)	Déchiqueteuse, de préférence à découpe transversale.   Si les documents sont très confidentiels : déchiqueteuse + incinération.
Médias numériques que l’on souhaite réutiliser ou recycler Ex. cartes de mémoire flash (cartes SD, XD, etc.) clés USB, disque dur d’ordinateur	Formatage, réécriture, déchiquetage numérique (logiciel effectuant une suppression sécuritaire et qui écrira de l’information aléatoire à l’endroit où se trouvait le fichier supprimé).
Médias numériques non réutilisables Ex. certains CD, DVD, cartes de mémoire flash, clés USB et disques durs qui ne seront plus utilisés	Destruction physique (déchiquetage, broyage, meulage de surface, désintégration, trouage, incinération, etc.).   La plupart des déchiqueteuses pourront détruire les CD et les DVD.   Démagnétiseur pour les disques durs.
Machines contenant des disques durs Ex. photocopieur, télécopieur, numériseur, imprimante, etc.	Écrasement des informations sur le disque dur ou disque dur enlevé et détruit lorsque les machines sont remplacées.

Destruction à l’interne ou destruction par un tiers

L’Entreprise a le choix de détruire elle-même les documents contenant des renseignements personnels. Si l’équipement ne vous permet pas de le faire de manière sécuritaire, l’Entreprise peut aussi conclure un contrat avec un prestataire externe. Par exemple, la destruction définitive des données contenues dans un disque dur peut nécessiter le recours à une firme externe.

Lorsqu’un tiers (prestataire) est impliqué, il faut prévoir un contrat écrit précisant, entre autres :

• Le procédé utilisé pour la destruction;
• Que le prestataire reconnaît la confidentialité des renseignements traités et qu’il ne peut les conserver à ses propres fins;
• Que le prestataire informera son client s’il fait appel à un sous-traitant pour la destruction;
• Qu’un engagement de confidentialité sera signé par les employés du prestataire;
• Que l’entreposage des documents à détruire est sécuritaire;
• Qu’il est possible pour le client d’accéder aux locaux du prestataire pendant la durée du contrat;
• Que le prestataire a l’obligation de faire régulièrement un compte rendu au client de la destruction des documents;
• Que le prestataire doit aviser le client sans délai en cas de violation ou de tentative de violation des obligations relatives à la sécurité ou à la confidentialité des renseignements.

L’Entreprise s’assure de sécuriser les documents à détruire en attendant le passage du fournisseur chargé de la destruction des documents! Enfin, si le prestataire ne respecte pas ses engagements, l’Entreprise va mettre fin au contrat et demander la restitution des renseignements personnels.

• Obligations en cas d’incident de confidentialité

1. Prendre des mesures pour diminuer les risques

Si l’Entreprise a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient, elle doit prendre des mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.

Les questions suivantes sont utiles afin d’évaluer rapidement la situation :

 

• Qui : quelles sont les personnes concernées par l’incident? S’agit-il d’employés, de clients ou de partenaires d’affaires? Qui peut avoir eu accès aux renseignements personnels?
• Combien : combien de personnes sont touchées par l’incident?
• Quoi : quelle est la nature des renseignements personnels visés par l’incident? Sont-ils des renseignements sensibles? Quels sont les risques pour les personnes concernées?
• Quand : quand l’incident a-t-il eu lieu? Quand a-t-il été découvert?
• Où : où l’incident a-t-il eu lieu? Au sein de l’organisation? Si oui, dans quel secteur? L’incident a-t-il eu lieu chez un tiers détenant des renseignements personnels pour le compte de l’organisation (ex. : un mandataire, un fournisseur)?
• Pourquoi: quelles sont les causes? Quelles mesures de sécurité étaient en place au moment de l’incident? Pourquoi n’ont-elles pas été efficaces?

Les mesures raisonnables à mettre en place dépendent de cet état de la situation. Toutes les situations sont différentes. Même si l’ensemble des informations pertinentes ne sont pas connues dès le départ, il est important de réagir rapidement. Au besoin, l’organisation continue d’adapter ses mesures ou à d’en adopter de nouvelles au fur et à mesure que les circonstances et les impacts de l’incident se précisent par la suite.

• Évaluer si l’incident présente un risque de préjudice sérieux

Pour tout incident de confidentialité, l’Entreprise doit évaluer la gravité du risque de préjudice pour les personnes concernées. Pour ce faire, elle doit considérer, notamment :

• la sensibilité des renseignements concernés;
• les conséquences appréhendées de leur utilisation;
• la probabilité qu’ils soient utilisés à des fins préjudiciables.

L’organisation doit consulter son responsable de la protection des renseignements personnels. Elle peut également impliquer d’autres acteurs, comme le responsable de la sécurité de l’information ou des experts externes.

Si l’analyse fait ressortir un risque de préjudice sérieux, l’organisation doit aviser la Commission et les personnes concernées de l’incident.

Dans le cas contraire, elle doit tout de même poursuivre ses travaux pour réduire les risques et éviter qu’un incident de même nature se produise à nouveau dans le futur.

• Aviser la Commission et les personnes concernées

Quand l’incident présente le risque qu’un préjudice sérieux soit causé aux personnes dont les renseignements sont concernés, l’Entreprise doit s’empresser d’aviser la Commission. Toutes les personnes dont les renseignements personnels sont concernés par l’incident doivent également être informées par l’organisation. Si cette dernière n’informe pas les personnes concernées, la Commission peut lui ordonner de le faire.

Toutefois, l’organisation n’a pas à aviser les personnes dont les renseignements personnels sont concernés, si cet avis est susceptible d’entraver une enquête menée en vertu de la loi pour prévenir, détecter, réprimer le crime ou les infractions aux lois.

Le Règlement sur les incidents de confidentialité détermine le contenu et les modalités des avis qui doivent être transmis à la Commission et aux personnes concernées.

AVIS À LA COMMISSION D’ACCÈS À L’INFORMATION (CAI)

Quand un incident de confidentialité présente le risque d’un préjudice sérieux, l’organisation doit aviser par écrit la Commission. Le formulaire d’avis à CAI précise toutes les informations à fournir. Suivant l’envoi de son formulaire d’avis, l’organisation qui prend connaissance de nouvelles informations doit s’empresser de les communiquer à la Commission.

AVIS AUX PERSONNES CONCERNÉES

L’avis à la personne concernée doit l’informer de la portée et des conséquences de l’incident présentant le risque de préjudice sérieux.

Cet avis doit contenir :

• Une description des renseignements personnels visés par l’incident. Si cette information n’est pas connue, l’organisation doit communiquer la raison justifiant l’impossibilité de fournir cette description;
• Une brève description des circonstances de l’incident;
• La date ou la période où l’incident a eu lieu, ou une approximation de cette période si elle n’est pas connue;
• Une brève description des mesures prises ou envisagées pour diminuer les risques qu’un préjudice soit causé à la suite de l’incident;
• Les mesures proposées à la personne concernée afin de diminuer le risque qu’un préjudice lui soit causé ou d’atténuer celui-ci;
• Les coordonnées d’une personne ou d’un service avec qui la personne concernée peut communiquer pour obtenir davantage d’informations au sujet de l’incident.

De plus, une organisation peut donner un avis public afin d’agir rapidement pour diminuer le risque qu’un préjudice sérieux soit causé ou pour l’atténuer. L’organisation demeure toutefois tenue de transmettre un avis à la personne concernée dans les plus brefs délais.

Seulement trois situations permettent de faire un avis public sans transmettre un avis à la personne concernée :

• La transmission de l’avis peut causer un plus grand préjudice à la personne concernée;
• La transmission de l’avis représente une difficulté excessive pour l’organisation;
• L’organisation n’a pas les coordonnées de la personne concernée.

Cet avis peut être fait par tout moyen raisonnable permettant de joindre la personne concernée.

Aviser les personnes susceptibles de prévenir ou de diminuer le risque de préjudice sérieux

L’organisation peut aviser toute personne ou organisme susceptibles de diminuer le risque de préjudice sérieux. Seuls les renseignements personnels nécessaires peuvent alors être communiqués, sans le consentement de la personne concernée. Le responsable de la protection des renseignements personnels de l’organisation doit enregistrer cette communication.

• Tenir un registre des incidents de confidentialité (modèle de registre des incidents de confidentialité – gouvernement du Québec).

Toute organisation doit tenir un registre dans lequel elle collige tous les incidents de confidentialité impliquant des renseignements personnels. Elle doit y inscrire même les incidents qui ne présentent pas de risque de préjudice sérieux. À la demande de la Commission, l’organisation doit transmettre une copie de son registre.

Le registre des incidents de confidentialité doit contenir les éléments suivants :

• Une description des renseignements personnels visés par l’incident. Si cette information n’est pas connue, l’organisation doit inscrire la raison justifiant l’impossibilité de fournir cette description;
• une brève description des circonstances de l’incident;
• La date ou la période où l’incident a eu lieu, ou une approximation de cette période si elle n’est pas connue;
• La date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident;
• Le nombre de personnes concernées par l’incident ou, s’il n’est pas connu, une approximation de ce nombre;
• Une description des éléments qui amènent l’organisation à conclure qu’il y a, ou non, risque qu’un préjudice sérieux soit causé aux personnes concernées, comme :
  • la sensibilité des renseignements personnels concernés;
  • les utilisations malveillantes possibles des renseignements;
  • les conséquences appréhendées de l’utilisation des renseignements et la probabilité qu’ils soient utilisés à des fins préjudiciables;
• Les dates de transmission des avis à la Commission et aux personnes concernées, quand l’incident présente le risque de préjudice sérieux. L’organisation doit aussi préciser si elle a donné des avis publics et la raison de ceux-ci;
• Une brève description des mesures prises par l’organisation à la suite de l’incident, pour diminuer les risques qu’un préjudice soit causé.

Les renseignements du registre doivent être mis à jour et conservés pour une période minimale de cinq ans, après la date ou période de prise de connaissance de l’incident par l’organisation.

• Pouvoir d’ordonnance de la Commission

La Commission peut ordonner à toute personne, après lui avoir fourni l’occasion de présenter ses observations, l’application de toute mesure visant à protéger les droits des personnes concernées. Elle peut, notamment, ordonner la remise des renseignements personnels impliqués à l’organisation ou leur destruction. Une personne visée par une ordonnance sans qu’elle en ait été informée au préalable parce que, de l’avis de la Commission, il y a urgence ou danger de causer un préjudice irréparable, peut, dans le délai indiqué dans l’ordonnance, présenter ses observations pour en permettre le réexamen par la Commission.

Si l’incident présente un risque de préjudice sérieux, la Commission peut également ordonner à l’organisation d’aviser les personnes concernées si celle-ci ne l’a pas fait alors qu’elle était tenue de le faire.

• Responsabilité des RP conservés par un tiers

Dans divers contextes, les organisations confient des renseignements personnels à des tiers qui en assurent la conservation. Les organisations demeurent malgré tout responsables de l’ensemble des leurs obligations en cas d’incident de confidentialité : mesures à prendre, registre à tenir et à mettre à jour, avis à donner, etc.

• Traitement des plaintes

Pour toute question, plainte ou préoccupation concernant la sécurité ou la confidentialité des renseignements personnels, il faut communiquer avec la responsable de la protection des renseignements personnels, Mme Nathalie Tousignant, à l’adresse suivante : ntousignant@octantaviation.ca

L’Entreprise s’engage à traiter toute plainte reçue de façon confidentielle. Dans les 30 jours suivant la réception de la plainte ou suivant la réception de tous les renseignements additionnels jugés nécessaires et requis par le responsable de la protection des renseignements personnels de l’Entreprise pour pouvoir la traiter, ce dernier doit l’évaluer et formuler une réponse motivée écrite par courriel, au plaignant. Cette évaluation visera à déterminer si le traitement des renseignements personnels par l’Entreprise est conforme à la présente politique, à toute autre politique et pratique en place au sein de l’organisation et à la législation ou réglementation applicable.

Dans le cas où la plainte ne peut être traitée dans ce délai, le plaignant doit être informé des motifs justifiant l’extension de délai, de l’état d’avancement du traitement de sa plainte et du délai raisonnable nécessaire pour pouvoir lui fournir une réponse définitive.

L’Entreprise doit constituer un dossier distinct pour chacune des plaintes qui lui sont adressées. Chaque dossier contient la plainte, l’analyse et la documentation à l’appui de son évaluation, ainsi que la réponse envoyée à la personne à l’origine de la plainte.

Il est également possible de déposer une plainte auprès de la  Commission de l’accès à l’information du Québec ou à tout autre organisme de surveillance en matière de protection des renseignements personnels responsable de l’application de la loi concernée par l’objet de la plainte.

Toutefois, l’Entreprise invite toute personne intéressée à s’adresser d’abord à son responsable de la protection des renseignements personnels et à attendre la fin du processus de traitement par l’Entreprise.

• Date d’entrée en vigueur

La présente politique entre en vigueur le 26 janvier 2024.

1. Date de la dernière mise à jour

Cette politique peut être mise à jour en tout temps par la direction de l’Entreprise afin de répondre aux besoins de l’organisation.

Sources :

Obligations résumées – site CIA

https://www.cai.gouv.qc.ca/documents/CAI_Guide_obligations_entreprises_vf.pdf

Obligations complètes – site CIA

Loi sur la protection des RP dans le secteur privé

https://www.legisquebec.gouv.qc.ca/fr/document/lc/P-39.1 –