Adoptée le 21 novembre 2023
Résolution adoptée le 21 novembre 2023
1. INTRODUCTION
Dans le cadre de ses activités et de sa mission, l’organisme Emphase traite des renseignements personnels, notamment ceux des visiteurs de son site Web, de la clientèle, des partenaires, des membres et de ses employés. À ce titre, l’organisme reconnaît l’importance de respecter la vie privée et de protéger les renseignements personnels qu’il détient.
Afin de s’acquitter de ses obligations en la matière, Emphase s’est dotée de cette politique. Celle-ci énonce les principes-cadres applicables à la protection des renseignements personnels qu’Emphase détient tout au long du cycle de vie de ceux-ci et aux droits des personnes concernées.
La protection des renseignements personnels détenus par Emphase incombe à toute personne qui traite ces renseignements. Celle-ci doit comprendre et respecter les principes de protection des renseignements personnels inhérents à l’exercice de ses fonctions ou qui découlent de sa relation avec Emphase.
2. OBJECTIFS
La présente politique vise à :
- Établir les engagements qui guident les pratiques d’Emphase dans sa gestion des renseignements personnels ;
- Définir les rôles et les responsabilités des membres d’Emphase à l’égard des renseignements personnels et uniformiser les pratiques en la matière ;
- Permettre aux membres de connaître et de comprendre les exigences légales et les principes de protection des renseignements personnels dans le cadre de l’exercice de leurs fonctions ;
- Démontrer le respect des obligations légales en matière de protection des renseignements personnels.
3. CADRE NORMATIF
La politique s’inscrit dans un contexte régi notamment par la Loi sur la protection des renseignements personnels. Conformément à cette Loi, la politique en vigueur est accessible via le site Internet d’Emphase.
4. CHAMP D’APPLICATION
La politique s’applique aux renseignements personnels détenus par Emphase et à toute personne qui traite des renseignements que l’organisme détient.
Exception : les coordonnées des entreprises et certains renseignements publics, par exemple le nom, l’adresse et le numéro de téléphone publiés dans les annuaires téléphoniques, ne sont pas considérés comme des renseignements personnels.
Lorsqu’une personne se sert de ses coordonnées à domicile comme coordonnées d’affaires, nous considérons que les coordonnées fournies sont des informations d’affaires qui ne sont donc pas soumises à la protection des renseignements personnels.
5. PRATIQUES DE PROTECTION DES RENSEIGNEMENTS PERSONNELS
Les renseignements personnels recueillis par notre organisation sont conservés en toute confidentialité. Les membres d’Emphase sont autorisés à consulter les renseignements personnels uniquement dans la mesure où ils ont besoin de ces renseignements aux fins pour lesquelles ils ont été obtenus. Des mesures de sécurité ont été mises en place pour assurer que les renseignements ne seront pas divulgués ou communiqués plus largement que nécessaire dans la réalisation de l’objectif pour lequel ils ont été recueillis. Emphase prend aussi des mesures afin de garantir l’intégrité de ces renseignements et prévenir leur perte ou leur destruction.
Emphase s’engage à utiliser un renseignement personnel au sein de l’organisme qu’aux fins pour lesquelles il a été recueilli et à les conserver pour la durée nécessaire à la réalisation du service demandé.
Emphase peut toutefois les recueillir, les utiliser ou les divulguer sans votre consentement lorsque cela est permis ou exigé par la loi. Dans certaines circonstances particulières, Emphase peut recueillir, utiliser ou divulguer des renseignements personnels sans que vous en soyez informé ou que vous n’ayez donné votre consentement. De telles circonstances sont réunies lorsque, pour des raisons juridiques, médicales ou de sécurité, il est impossible ou peu probable d’obtenir votre consentement ou lorsque les renseignements sont nécessaires en vue de mener une enquête sur une possible rupture de contrat, de prévenir ou de détecter une fraude ou encore d’appliquer la loi.
6. Quels renseignements personnels Emphase recueille-t-il à votre sujet ?
Emphase peut recueillir, utiliser, conserver et communiquer différents types de renseignements personnels que nous avons groupés selon les catégories suivantes :
- Renseignements personnels sur l’identité incluant le prénom, le nom de famille, le nom de l’entreprise (dans le cas d’une entreprise).
- Coordonnées personnelles incluant l’adresse postale, l’adresse de courriel et les numéros de téléphone.
- Renseignements personnels de nature financière incluant les détails du compte bancaire et des cartes de crédit (dans le cadre d’une donation ou d’un paiement fait à Emphase).
- Renseignements personnels sur les transactions incluant les détails au sujet des paiements.
Les renseignements personnels doivent être protégés, peu importe la nature de leur support ainsi que leur forme : écrite, graphique, audio, visuelle, informatisée ou autre.
7. Le consentement
Emphase obtient le consentement écrit ou verbal d’une personne dans les situations suivantes :
- Avant la collecte indirecte de renseignements personnels, sauf si la demande d’un consentement entraînait la collecte de renseignements inexacts ou allait à l’encontre du but de la collecte ou encore compromettait l’utilisation de l’information recueillie ;
- Par exemple, Emphase consultera généralement l’auteur d’une plainte pour recueillir des renseignements personnels concernant l’employé visé. Il procédera ainsi en vue de mener une enquête sur les agissements de l’employé, sans obtenir le consentement de ce dernier. Si Emphase consultait l’employé afin d’obtenir son consentement, cela compromettrait l’utilisation des renseignements.
- Avant l’utilisation ou la divulgation des renseignements personnels à des fins qui ne respectent pas les fins pour lesquelles les renseignements ont été recueillis ou préparés ;
- Avant tout retrait de renseignements personnels, à moins qu’un tel retrait ne soit expressément autorisé par la loi ou que la période minimale de conservation de deux ans stipulée par le Règlement sur la protection des renseignements personnels ne soit écoulée ;
- Si une demande provenant d’une instance ou personne externe à propos d’une plainte reçue par Emphase ou tout renseignement privilégié ou confidentiel obtenu dans le cadre d’une enquête ou d’une procédure. Dans ce cas, il faut obtenir le consentement écrit de la personne dont les droits ou les intérêts peuvent être raisonnablement touchés.
8. Comment vos renseignements personnels sont-ils recueillis ?
Emphase utilise diverses méthodes de collecte des renseignements personnels, dont les suivantes :
- Échanges directs. Vous pourriez avoir donné des renseignements sur vos coordonnées, vos transactions et vos renseignements financiers personnels en remplissant des formulaires ou en correspondant avec nous par la poste, par téléphone, par courriel ou par un autre moyen. Ceci inclut les renseignements personnels fournis lorsque :
- vous faites un don et recevez, le cas échéant, un reçu aux fins de l’impôt ;
- vous vous abonnez à nos publications, communiquez avec l’organisme ou vous nous envoyez vos commentaires ;
- vous demandez que des éléments de marketing vous soient envoyés ; d) vous faites part de vos commentaires à l’organisme ou communiquez avec celui-ci ;
- vous faites une demande de service.
- Technologies ou interactions automatisées. Lorsque vous naviguez sur le site Web d’Emphase, des renseignements personnels techniques au sujet de votre équipement sont recueillis, de vos actions et de vos schémas de navigation. Emphase recueille ces renseignements personnels au moyen de témoins, de journaux de serveur et d’autres technologies du même type. Emphase peut également recevoir des renseignements personnels de nature technique à votre sujet si vous visitez d’autres sites Web qui utilisent nos témoins.
- Tierces parties ou sources à la disposition du public. Emphase reçoit des renseignements personnels à votre sujet de diverses tierces parties :
- Information personnelle technique des sources suivantes :
- Fournisseurs d’analytique tels que Google Analytics ;
- Plateformes de services de marketing numérique telles que Zoho ;
- Réseaux de publicité tels que Google Adwords et Facebook.
- Coordonnées, renseignements personnels financiers ou concernant les transactions provenant de fournisseurs de services de traitement des paiements.
- Renseignements personnels provenant d’un organisme privé ou public pour des fins de suivi à votre demande ou lorsque la loi l’exige.
- Information personnelle technique des sources suivantes :
9. Conservation et retrait
Emphase prend toutes les mesures raisonnables afin que les renseignements personnels qu’il détient soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis ou utilisés. Dans la plupart des cas, la conservation de ses renseignements personnels sera de plusieurs années, voire plusieurs décennies. À titre d’exemple, les dossiers disciplinaires, d’équité salariale, de retraite, d’accident de travail ou d’invalidité doivent être conservés pour des durées suffisamment longues afin de s’assurer qu’il n’y a pas de perte de droits dans le futur, par exemple à la suite d’un versement rétroactif qui aurait lieu des années plus tard. Sur demande, Emphase expliquera à l’individu concerné la durée de la conservation des renseignements personnels.
Les renseignements personnels sont conservés pendant la période nécessaire pour réaliser les fins déterminées et autorisées, ou pour se conformer à une exigence juridique, conformément au calendrier de tenue de dossier d’Emphase. Lorsque la détention d’un renseignement personnel n’a plus de pertinence dans un dossier, Emphase détruira de façon sécuritaire l’information. Cependant, Emphase peut aussi l’anonymiser, en retirant les mentions permettant d’identifier une personne, s’il souhaite conserver des éléments pour d’autres fins.
La sécurité et la protection des renseignements personnels sont importantes pour Emphase. Emphase met en place des mesures de sécurité afin que les renseignements personnels demeurent strictement confidentiels et soient protégés contre la perte ou le vol et contre tout accès, communication, copie, utilisation ou modification non autorisée.
Ces mesures de sécurité peuvent notamment comprendre des mesures organisationnelles telles que la restriction des accès à ce qui est nécessaire ; la sauvegarde et l’archivage des données au moyen d’un système externe et des mesures technologiques comme l’utilisation de mots de passe et de chiffrement.
10. Incidents de confidentialité
Les incidents de confidentialité
Un incident de confidentialité correspond à un accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection.
Si Emphase a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’il détient, l’organisme prend les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.
En cas d’incident de confidentialité, Emphase procède à l’évaluation du préjudice. Cette évaluation tient compte notamment des éléments suivants : la sensibilité des renseignements personnels concernés ; les utilisations malveillantes possibles des renseignements et les conséquences appréhendées de l’utilisation des renseignements et la probabilité qu’ils soient utilisés à des fins préjudiciables.
Quand l’incident présente le risque qu’un préjudice sérieux soit causé aux personnes dont les renseignements sont concernés, Emphase avise par écrit :
- La Commission d’accès à l’information via le formulaire d’avis prescrit ;
- La ou les personnes concernées. L’avis doit permettre de la renseigner adéquatement sur la portée et les conséquences de l’incident.
- Cet avis doit contenir :
- Une description des renseignements personnels visés par l’incident. Si cette information n’est pas connue, l’organisation doit communiquer la raison justifiant l’impossibilité de fournir cette description ;
- Une brève description des circonstances de l’incident ;
- La date ou la période où l’incident a eu lieu, ou une approximation de cette période si elle n’est pas connue ;
- Une brève description des mesures prises ou envisagées pour diminuer les risques qu’un préjudice soit causé à la suite de l’incident ;
- Les mesures proposées à la personne concernée afin de diminuer le risque qu’un préjudice lui soit causé ou d’atténuer celui-ci ;
- Les coordonnées d’une personne ou d’un service avec qui la personne concernée peut communiquer pour obtenir davantage d’informations au sujet de l’incident.
- Cet avis doit contenir :
Registre des incidents de confidentialité
Emphase tient un registre des incidents de confidentialité, celui-ci collige l’ensemble des incidents de confidentialité impliquant un renseignement personnel :
- Ceux ne présentant pas de risque de préjudice sérieux et ;
- Ceux présentant un risque de préjudice sérieux.
Les renseignements contenus au registre des incidents de confidentialité sont tenus à jour et conservés pendant une période minimale de cinq ans après la date ou la période au cours de laquelle Emphase a pris connaissance de l’incident.
11. Demande d’accès ou de rectification
Toute personne peut faire une demande d’accès ou de rectification concernant les renseignements personnels détenus par Emphase. La personne concernée doit soumettre une demande écrite à cet effet à la personne responsable de la protection des renseignements personnels d’Emphase. Sous réserve de certaines restrictions légales notamment par le fait que les renseignements demandés concernent d’autres individus, que l’information qui ne peut être divulguée pour des raisons légales, de sécurité ou de droits d’auteur, que l’information a été obtenue dans le cadre d’une enquête sur une fraude, que l’information fait l’objet d’un litige ou est privilégiée, les personnes concernées peuvent demander l’accès à leurs renseignements personnels détenu par Emphase et en demander leur correction dans le cas où ils seraient inexacts, incomplets ou équivoques. La personne responsable de la protection des renseignements personnels d’Emphase doit répondre par écrit à ces demandes dans les 30 jours de la date de réception.
Toute demande d’accès à des renseignements personnels ou de modification des renseignements personnels peut être envoyée à l’adresse ci-dessous :
Responsable de la protection des renseignements personnels
Karine Vallières
[email protected]
Nos partenaires