1. Introduction
La présente politique entend répondre aux exigences de la loi et au désir de notre organisation de respecter son personnel et d’inspirer confiance à ses partenaires. À cette fin, notre politique présente les mesures adéquates pour protéger les renseignements personnels (RP) contre l’accès non autorisé, le vol et l’altération indue et pour assurer leur intégrité, leur confidentialité et leur disponibilité auprès des personnes admissibles seulement.
2. Objectifs
Dans le cadre de ses activités, Voltam recueille, détient, utilise et communique des RP. Ces RP peuvent revêtir différents caractères (légal, administratif, financier, gestion de la clientèle, etc.) et sont essentiels à nos activités.
Les objectifs de cette politique visent à :
- Assurer la protection des RP recueillis, détenus et communiqués par notre organisation, par de bonnes pratiques de gestion des RP.
- Déployer des mesures de protection permettant de réduire les risques d’atteinte à la vie privée, tels que l’accès non autorisé aux RP, incluant notamment le vol d’informations.
- Préserver l’intégrité de l’information, tout au long de son cycle de vie.
3. Portée
La présente politique s’adresse et s’applique à toute personne physique ou morale (partenaire régulier ou occasionnel) ayant accès aux RP, et ce, sans égard au statut d’emploi, y compris les propriétaires, dirigeants, employés permanents ou occasionnels, administrateurs, fournisseurs, etc. en relation avec Voltam.
4. Application
Les employés sont informés de l’existence de la politique, doivent la consulter périodiquement et se conformer aux exigences y étant énoncées. Qui plus est, les fournisseurs de services à qui des renseignements personnels sont confiés dans le cadre de nos activités respectent les principes énoncés dans la PGRP.
La direction générale, en collaboration avec le/les personnes responsables de la protection des renseignements personnels (RPRP), veille à l’application de la PGRP et s’assure d’instaurer au sein de Voltam, une culture de sécurité des RP.
5. Renseignements concernés
La présente politique concerne tout renseignement identifiant directement ou indirectement une personne, ou susceptible de procurer des informations privées (p. ex., statut matrimonial), voire intimes (p. ex., données médicales) sur une personne.
6. Étendue
6.1 Collecte
La présente politique autorise uniquement la collecte des RP nécessaires à l’exercice de nos activités, lesdits RP ne pouvant être obtenus qu’auprès des personnes autorisées, le tout à la connaissance et avec l’approbation de la personne à laquelle se rapportent les RP en cause, à moins d’exigences contraires (p. ex., légales). Dans toute la mesure du possible, l’organisation s’assure que les RP admissibles recueillis sont exacts, à jour, fiables et traçables.
6.2 Utilisation
La présente politique requiert de déterminer les fins de la collection avant de recueillir des RP. Elle permet la collecte, l’utilisation et la conservation des RP exclusivement aux fins pour lesquelles ils ont été demandés. Lesdits RP pourront être communiqués uniquement aux personnes, physiques ou morales, auxquelles il est requis de les communiquer dans le cadre de nos activités et, lorsque requis, seulement sur approbation de la personne concernée par ces RP. Il importe toutefois de noter que certains RP pourraient être divulgués sans l’autorisation de la personne visée dans les cas où la chose est prévue et imposée par la loi.
6.3 Protection des RP
La présente politique prévoit que Voltam prend les mesures requises pour que ses dirigeants et employés respectent la confidentialité des RP et les préserve de toute divulgation, tout accès ou toute utilisation non autorisée. Elle prévoit également que des ententes de confidentialité seront convenues avec tous les intervenants externes auxquels recourt notre organisation (fournisseurs, consultants, etc.). À cette fin, ont été mis au point :
- une catégorisation des RP permettant, notamment, de les protéger en fonction de leur valeur et des risques auxquels ils sont exposés, et de limiter la divulgation des RP aux personnes autorisées à les utiliser par nécessité, le tout afin d’assurer la confidentialité des RP tout au long de leur cycle de vie. Cela doit se faire en respectant les exigences légales et selon le niveau de sensibilité de ces RP.
- une procédure de traitement des plaintes concernant la protection des RP.
- des mesures ou contrôles permettant de prévenir les incidents de confidentialité (notamment la procédure de gestion des incidents de confidentialité et le registre afférent), la fraude, les fuites d’information ou d’exfiltration, les attaques informatiques, les erreurs accidentelles, les actions délibérées et l’atteinte à la vie privée.
- une méthode de sensibilisation des dirigeants/employés/intervenants aux risques, à la sécurité et la protection des RP, notamment en offrant des formations adaptées sur la gestion des RP, sur leur rôle et responsabilités à l’égard des RP, et sur les éléments en place permettant de parer aux incidents de confidentialité.
- l’obligation de signaler sans tarder à l’autorité compétente (responsable de la protection des RP ou comité des RP) tout problème lié aux RP, tels que tout incident ou tout acte susceptible de représenter un incident de confidentialité ou un incident de sécurité tel que le vol, l’intrusion dans un réseau ou système, les dommages délibérés, l’utilisation abusive, la fraude, les tentatives d’accès non autorisés ou événements de même nature.
- une procédure permettant d’aviser la Commission sur l’accès à l’information si un incident de confidentialité présente un risque qu’un préjudice sérieux soit causé.
6.4 Conservation des RP
La présente politique vise aussi la conservation sécuritaire des RP. Ainsi, notre organisation dispose de méthodes uniformisées de classement et de dénomination des documents. La conservation sécuritaire implique aussi que nous conservons sous clé des documents physiques, s’il y en a, et la conservation sécurisée de RP détenus en format électronique, le cas échéant.
D’autre part, la conservation des RP durera uniquement le temps requis par leur utilisation justifiée, à moins d’obligation légale. À cet effet, un calendrier de conservation des RP a été défini.
6.5 Destruction de RP
La présente politique prévoit que les RP devenus inutiles en fonction de l’usage qui leur était assigné seront détruits de façon sécuritaire dans le respect des politiques de Voltam et des lois applicables. Une destruction sécuritaire implique ici que le support des RP doit être physiquement supprimé, selon le médium de conservation, en vue de rendre impossible la récupération desdits RP après qu’on en aura disposé. La présente disposition de destruction des RP s’applique aussi en cas de décès de la personne concernée.
6.6 Désindexation des RP
La présente politique prévoit, dans les cas où la chose pourrait s’appliquer, de désindexer dans toute la mesure du possible les RP, en les extrayant par exemple des moteurs de recherches informatiques et des sites web de l’organisation s’il y a lieu.
6.7 Droits de la personne concernée par les RP
La présente politique entend respecter rigoureusement le droit de la personne concernée d’exiger qu’on obtienne son consentement avant d’utiliser ses RP, de refuser de donner certains RP sous réserve des lois applicables, de corriger ou de compléter ses RP, d’accéder en tout temps à ses RP et d’obtenir des réponses aux questions qu’elle se pose à propos de ses RP.
7. Rôles et responsabilités
- Le Président de Voltam : Est responsable de l’approbation du calendrier de conservation des RP.
- Le Directeur Général de Voltam : Est responsable de l’application du calendrier de conservation des RP et le porte à l’attention de tous les dirigeants/employés/intervenants par une diffusion adéquate.
- Le responsable TI : Soutient le Directeur Général en assurant la mise en place de mesures et contrôles nécessaires à l’application du calendrier de conservation des RP.
- Dirigeants/employés/intervenants : Chaque dirigeant/employé/intervenant s’engage à respecter tous les éléments de la présente politique sous peine de sanction appropriée ou disciplinaire pouvant aller jusqu’au congédiement. Il s’engage également à signaler tout acte dont il a connaissance, susceptible de constituer une violation réelle ou présumée des règles de sécurité ainsi que toute anomalie pouvant nuire à la sécurité et à la protection des RP.
8. Révision
La présente politique s’engage à garder à jour tout ce qui s’y rapporte et sera en conséquence révisée lorsque les circonstances l’exigeront, tout comme les mesures de protection et de sécurité qui en découlent.