Politique sur la protection des renseignements personnels

1. OBJECTIFS

1.1. La présente Politique sur la protection des Renseignements personnels encadre le traitement des Renseignements personnels de Rochette Excavation Inc. (ci-après : l’« Entreprise ») et favorise les bonnes pratiques en la matière.

1.2. L’Entreprise reconnaît l’importance de la protection des Renseignements personnels et se préoccupe de la façon dont elle traite ces renseignements. Elle s’engage donc à ne recueillir, utiliser, communiquer et conserver que les Renseignements personnels nécessaires à l’exercice de ses activités et dans le cadre de ses affaires.

1.3. L’Entreprise peut être appelée à recueillir, à détenir, à utiliser ou à communiquer à des tiers des Renseignements personnels obtenus dans le cadre de l’exécution de ses travaux et activités.

1.4. Dans ce contexte, la présente politique vise à établir les principes régissant la collecte, l’utilisation, la communication, la conservation et la destruction des Renseignements personnels par l’Entreprise afin d’assurer la protection de ceux-ci.

1.5. À cette fin, la Politique a notamment pour but de :
  • 1.5.1. Désigner et prévoir le rôle et les responsabilités du personnel de l’Entreprise;
  • 1.5.2. Établir des règles particulières en matière de collecte, d’utilisation, de communication, de conservation, de destruction, de droit d’accès et de rectification des Renseignements personnels.

2. CHAMP D’APPLICATION

2.1. La présente politique vise tous les Renseignements personnels détenus par l’Entreprise dans le cadre de ses activités au sens de la Loi sur la protection des Renseignements personnels dans le secteur privé ainsi que des autres lois et règlements applicables en matière de protection des Renseignements personnels (collectivement désignés, la « Loi »), notamment ceux relatifs à l’identité, à la santé, à la situation sociale ou familiale, à l’emploi, aux renseignements de nature financière, à la formation ou à l’éducation des individus concernés (ci-après : un « Renseignement personnel »).

2.2. Un Renseignement personnel est considéré comme sensible lorsqu’il, de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré d’attente raisonnable en matière de vie privée.

2.3. Pour les fins de la présente Politique, « Renseignement personnel » inclut également un renseignement personnel sensible.

2.4. Sans limiter la généralité de ce qui précède, la présente politique vise tant les Renseignements personnels qui concernent les membres du personnel de L’Entreprise que ceux relatifs à sa clientèle, ses fournisseurs et partenaires, et ce, quelle que soit la nature de leur support et la forme sous laquelle ils sont accessibles : écrite, graphique, sonore, visuelle, informatisée ou autre.

Exception : Les Renseignements personnels qui concernent une personne physique exerçant une fonction au sein d’une entreprise, tels que son nom, son titre et sa fonction, de même que l’adresse, l’adresse de courrier électronique et le numéro de téléphone de son lieu de travail ne sont pas visés par la présente politique.

2.5. La personne responsable de l’application de la présente politique est le responsable de la protection des Renseignements personnels :  
  • Nom : M. Marc-Antoine Laflamme
  • Titre : Directeur administratif
  • Adresse : 1245, route 138, Neuville, P.Q. G0A 2R0
  • Téléphone : 418 876-2880, poste 201
  • Courriel : malaflamme@rochetteexcavation.com
(ci-après : le « Responsable de la protection des Renseignements personnels »)

3. MESURES DE SÉCURITÉ

3.1. Les Renseignements personnels détenus par l’Entreprise sont conservés dans des endroits sécurisés, selon les pratiques généralement reconnues, et l’accès à ces Renseignements personnels est limité aux seuls membres du personnel de l’Entreprise qui le requièrent aux fins de l’exercice de leurs fonctions.

3.2. Les membres du personnel de l’Entreprise sont également conscients de l’importance d’assurer la sécurité et la confidentialité de tous les Renseignements personnels qu’elle détient et suivent des procédures qui protègent la confidentialité des Renseignements personnels et favorisent les meilleures pratiques en la matière.

3.3. L’Entreprise veille à la protection des Renseignements personnels dès leur collecte et implante des mesures de sécurité ayant pour objectif de les protéger contre un usage non conforme à la législation en vigueur, à éviter les pertes accidentelles, les modifications, divulgations ou accès non autorisés, un mauvais usage ou toute forme illégale d’utilisation.

3.4. En outre, lorsque l’Entreprise recueille des Renseignements personnels par courriel, l’Entreprise utilise uniquement l’information requise en lien avec ses activités pour effectuer ses travaux, en assurant de préserver la confidentialité.

3.5. L’Entreprise prend également les mesures de sécurité suivantes :
  • Tout renseignement personnel obtenu par l’utilisation de notre Site Web ou recueilli par moyen technologique (ex. : courriel, plateforme sécurisée, dossier physique, etc.) sera confidentiel et sécurisé. Les utilisateurs de notre Site Web seront informés des nouvelles normes ainsi que des mesures de sécurité mises en place par L’Entreprise.
  • Une liste des membres du personnel de l’Entreprise ayant accès aux dossiers des Renseignements personnels des employés sera détenue par le Responsable de la protection des Renseignements personnels est également versée aux dossiers de tous les employés de l’Entreprise, sous l’onglet Employeur D.
  • Ces Renseignements personnels seront détenus par le Responsable de la protection des Renseignements personnels et sécurisés et protégés dans un fichier électronique développé à cet effet ainsi que dans un classeur physique, maintenu sous clé.
  • Des politiques, règles de gouvernance, de conservation et de destruction des données, de processus de gestion contractuelle, etc. seront également conçues et mises à jour régulièrement ou au besoin.
  • Le personnel sera formé et sensibilisé aux nouvelles mesures de sécurité et des nouvelles façons de faire notamment sur la méthode de recueillir des Renseignements personnels, de leur utilisation ainsi que du suivi à y apporter. Également, de la création de mots de passe forts, et de l’importance de respecter les principes d’un bureau propre où tout document sensible est déposé au bon endroit et de manière sécurisé et protégé, et ce, dans le but d’éviter les incidents de confidentialité.
  • Une surveillance active de l’efficacité de ces mesures sera régulièrement exercée.

4. PERSONNES VISÉES ET RESPONSABILITÉS

4.1. Les membres du personnel de L’Entreprise sont tenus de respecter la présente Politique, tant pendant l’emploi qu’après sa terminaison, le cas échéant.

4.2. Chaque membre du personnel est également tenu à une obligation de confidentialité et de loyauté relativement notamment aux Renseignements personnels, aux informations ou aux documents auxquels il a accès dans le cadre de son emploi, incluant les Renseignements personnels, et ce, quelle que soit la nature de leur support et la forme sous laquelle ceux-ci sont accessibles (écrite, graphique, sonore, visuelle, informatisée ou autre). Cette obligation de confidentialité inclut une obligation de ne pas les utiliser (pour son propre bénéfice ou le bénéfice d’une tierce personne), les divulguer, les reproduire ou les transmettre à quiconque, sauf exception prévue à la loi.

4.3. Sans limiter la généralité de ce qui précède, les membres du personnel sont tenus de :

  • 4.3.1. Être informé et de se conformer aux exigences de la Loi et de la politique de protection des Renseignements personnels de l’Entreprise.
  • 4.3.2. Veiller à la protection des Renseignements personnels dans l’exercice de leurs fonctions.
  • 4.3.3. Signaler immédiatement toute violation ou suspicion de violation des Renseignements personnels au responsable de la protection des Renseignements personnels.
  • 4.3.4. Participer aux formations obligatoires sur la protection des Renseignements personnels.

4.4. Les membres de la direction sont tenus de :

  • 4.4.1. Garantir la conformité de l’organisation à la loi sur la protection des Renseignements personnels.
  • 4.4.2. Désigner une personne spécifique pour superviser la conformité en matière de protection des Renseignements personnels.
  • 4.4.3. S’assurer que le personnel est formé et sensibilisé aux obligations en matière de protection des Renseignements personnels.
  • 4.4.4. Établir et maintenir des politiques et des procédures pour garantir la protection des Renseignements personnels en collaboration avec la personne responsable des Renseignements personnels.
  • 4.4.5. Collaborer avec la Personne responsable de la protection des Renseignements personnels en cas d’incident de confidentialité, selon les exigences de la loi.
  • 4.4.6. Revoir et auditer les pratiques de l’organisation en matière de protection des Renseignements personnels pour garantir la conformité continue.

4.5. Le Responsable de la protection des Renseignements personnels est tenu de :

  • 4.5.1. Assurer la gestion des incidents de confidentialité.
  • 4.5.2. Approuver les politiques et pratiques de gouvernance de l’Entreprise concernant les Renseignements personnels.
  • 4.5.3. Recevoir et traiter les demandes d’accès ou de rectification de Renseignements personnels. En cas de refus, il doit aider le requérant à comprendre ce refus.
  • 4.5.4. Communiquer les renseignements d’une personne décédée à certains proches, sauf indication contraire de la personne décédée.
  • 4.5.5. Participer à l’évaluation des facteurs relatifs à la vie privée lors de projets impliquant des Renseignements personnels.
  • 4.5.6. Répondre aux demandes de cessation de diffusion, de désindexation et de réindexation de Renseignements personnels.
  • 4.5.7. Être informé des violations de confidentialité par les mandataires ou exécutants d’un contrat et effectuer des vérifications à ce sujet.
  • 4.5.8. Répondre aux demandes concernant le droit à la portabilité des Renseignements personnels.
  • 4.5.9. Offrir de la formation interne.
  • 4.5.10. Servir d’interlocuteur auprès de la Commission d’accès à l’information.
  • 4.5.11. Mettre en place des mesures préventives pour la protection des Renseignements personnels.

5. COLLECTE DE RENSEIGNEMENTS PERSONNELS

5.1. Dans le cours normal de ses activités, et dans le cadre de ses affaires, l’Entreprise doit recueillir des Renseignements personnels.

5.2. L’Entreprise ne recueille que les Renseignements personnels nécessaires à ces fins.

5.3. Sauf lorsqu’autrement consenti, l’Entreprise collecte des Renseignements personnels de l’un ou l’autre des moyens suivants :
  • 5.3.1. Auprès de la personne concernée
  • 5.3.2. Lors de ses interactions avec la personne concernée
  • 5.3.3. Auprès du titulaire de l’autorité parentale ou du tuteur.


5.4. Il est possible que l’Entreprise recueille des Renseignements personnels en ayant recours à une technologie comprenant des fonctions permettant de l’identifier, de la localiser ou d’effectuer un profilage.

5.5. Dans cette optique, l’Entreprise s’assure d’informer la personne concernée :
  • 5.5.1. Du recours à une telle technologie
  • 5.5.2. Des moyens offerts pour activer les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage.


5.6. Aux fins du paragraphe 5.4 des présentes, le profilage s’entend de la collecte et de l’utilisation de Renseignements personnels afin d’évaluer certaines caractéristiques d’une personne, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.

6. UTILISATION DES RENSEIGNEMENTS PERSONNELS

6.1. Par le biais de la présente politique, l’Entreprise veille à ce que les personnes concernées par les Renseignements personnels comprennent les fins pour lesquelles leurs Renseignements personnels sont collectés.

6.2. Avec le consentement de la personne concernée ou, le cas échéant, en application de la Loi, l’Entreprise utilise les Renseignements personnels aux fins suivantes :

6.2.1. Auprès de la clientèle :
  • 6.2.1.1. Procurer des services de qualité au client;
  • 6.2.1.2. Identifier et assurer la prestation continuelle de services de qualité.
  • 6.2.1.3. Assurer et faciliter la communication avec le client;
  • 6.2.1.4. Communiquer avec d’autres fournisseurs ou organismes, le cas échéant, pour la prestation des services;
  • 6.2.1.5. Assurer et favoriser le suivi de la facturation et du recouvrement;
  • 6.2.1.6. Respecter toutes les autres exigences obligatoires prescrites par une autorité gouvernementale;
  • 6.2.1.7. Exercer des activités administratives et de gestion, notamment la planification de l’affectation des ressources, la production de rapports ou des évaluations;
  • 6.2.1.8. À des fins de développement (y compris du point de vue de la sécurité);
  • 6.2.1.9. À toutes autres fins pouvant être précisées avant ou au moment de la collecte des Renseignements personnels;
  • 6.2.1.10. À toutes autres fins exigées ou permises par la Loi;
  • 6.2.1.11. À des fins compatibles à celles qui précèdent.


6.2.2. Auprès de ses employés, fournisseurs et partenaires :
  • 6.2.2.1. À des fins de recrutement (traitement des demandes d’emploi et évaluation du profil d’un candidat en vue de son embauche au sein de l’Entreprise);
  • 6.2.2.2. Assurer et faciliter la communication avec l’employé, le fournisseur ou le partenaire;
  • 6.2.2.3. Assurer et favoriser le suivi de la rémunération, de la facturation et du recouvrement;
  • 6.2.2.4. Exercer des activités administratives, disciplinaires et de gestion;
  • 6.2.2.5. À des fins de marketing et de développement des affaires;
  • 6.2.2.6. Communiquer avec d’autres fournisseurs ou organismes, le cas échéant, pour la prestation des services;
  • 6.2.2.7. Respecter toutes les autres exigences obligatoires prescrites par une autorité gouvernementale;
  • 6.2.2.8. À des fins de développement (y compris du point de vue de la sécurité);
  • 6.2.2.9. À toutes autres fins pouvant être précisées avant ou au moment de la collecte des Renseignements personnels;
  • 6.2.2.10. À toutes autres fins exigées ou permises par la Loi;
  • 6.2.2.11. À des fins compatibles à celles qui précèdent.

7. COMMUNICATION DE RENSEIGNEMENTS PERSONNELS

7.1. Aux fins exigées ou permises par la Loi, l’Entreprise peut fournir des Renseignements personnels à ses fournisseurs de services ainsi qu’à ses partenaires.

7.2. L’Entreprise peut également partager des Renseignements personnels avec certains tiers, notamment les suivants :
  • 7.2.1. Des tiers fournisseurs de service;
  • 7.2.2. Les autorités gouvernementales et des organismes d’application de la loi lorsque les lois applicables l’exigent.


7.3. Dans cette optique, l’Entreprise s’engage à limiter les Renseignements personnels qu’elle fournit aux tiers aux seuls renseignements qui sont raisonnablement nécessaires pour leur permettre de s’acquitter de leurs fonctions.

7.4. Il est possible que les Renseignements personnels soient communiqués à l’extérieur du Québec.

7.5. Avant de communiquer à l’extérieur du Québec un Renseignement personnel, l’Entreprise s’assure que les Renseignements personnels bénéficieront d’une protection adéquate en procédant à une évaluation des facteurs relatifs à la vie privée, en tenant compte des éléments suivants :
  • 7.5.1. La sensibilité du renseignement;
  • 7.5.2. La finalité de son utilisation;
  • 7.5.3. Les mesures de protection, y compris celles qui sont contractuelles, dont le renseignement bénéficierait;
  • 7.5.4. Le régime juridique applicable dans l’État où ce renseignement serait communiqué, notamment les principes de protection des Renseignements personnels qui y sont applicables.


7.6. Les contrats que l’Entreprise conclut avec ses fournisseurs de services exigent d’eux qu’ils préservent la confidentialité des Renseignements personnels et prévoient, notamment, l’obligation des tiers à respecter le cadre juridique applicable à l’Entreprise en matière de protection des Renseignements personnels et de la vie privée.

7.7. Un consentement sera demandé aux personnes concernées par les Renseignements personnels si l’Entreprise doit communiquer à des tiers des Renseignements personnels qui ne sont pas en lien avec ses opérations courantes et ses activités ou qui sont incompatibles avec les fins pour lesquelles ils ont été recueillis.

7.8. La personne concernée peut retirer son consentement à la communication ou à l’utilisation de Renseignements personnels recueillis par l’Entreprise.

8. CONSERVATION ET DESTRUCTION DE RENSEIGNEMENTS PERSONNELS

8.1. L’Entreprise ne conserve les Renseignements personnels que pour la durée nécessaire aux fins prévues dans la présente politique et/ou pour se conformer à ses obligations légales et réglementaires.

8.2. À cet égard, l’Entreprise se dote d’un calendrier de conservation des Renseignements personnels conforme à ses obligations.

8.3. À l’expiration du délai de conservation des Renseignements personnels, l’Entreprise assure la destruction physique et technologique ou l’anonymisation de ceux-ci, selon les meilleures pratiques en la matière.

9. RECTIFICATION OU ACCÈS AUX RENSEIGNEMENTS PERSONNELS

9.1. L’Entreprise s’efforce d’assurer l’exactitude des Renseignements personnels et d’en assurer la mise à jour.

9.2. Advenant des changements concernant les Renseignements personnels de ses employés, clients, fournisseurs et partenaires, l’Entreprise escompte en être avisée sans délai.

9.3. À la demande de la personne concernée, l’Entreprise confirme, le cas échéant, l’existence d’un dossier sur celle-ci.

9.4. La personne concernée, ou son représentant, le cas échéant, peut adresser une demande d’accès ou de rectification à l’Entreprise. Cette demande ne sera considérée par l’Entreprise que si elle est faite par écrit par une personne justifiant de son identité.

9.5. Le Responsable de la protection des Renseignements personnels au sein de l’Entreprise s’assure de répondre par écrit à la demande d’accès ou de rectification, au plus tard dans les 30 jours de la date de réception de la demande.

9.6. Le cas échéant, la personne concernée qui souhaite obtenir une transcription, reproduction ou transmission des Renseignements personnels contenus à son dossier sera préalablement avisée des frais y afférents.

10. INCIDENT DE CONFIDENTIALITÉ

10.1. Advenant un incident de confidentialité ou en cas de doute sur la survenance d’un tel incident, l’Entreprise s’assure de respecter une série d’étapes prévues à son Plan de gestion des incidents de confidentialité impliquant des Renseignements personnels, afin de prendre les moyens pour protéger les Renseignements personnels impliqués, mitiger les risques de préjudice et d’en limiter les conséquences.

10.2. On entend par « incident de confidentialité » l’accès, l’utilisation ou la communication non autorisés par la Loi à un Renseignement personnel, de même que la perte d’un Renseignement personnel ou toute autre atteinte à la protection d’un tel Renseignement personnel.

10.3. Un incident de confidentialité peut résulter d’une atteinte dont la source est à l’interne (c’est-à-dire, provenant d’un employé de l’Entreprise) ou à l’externe (c’est-à-dire, provenant d’une entité ou personne distincte de l’Entreprise).

10.4. Tout membre du Personnel qui a des motifs de croire qu’un incident de confidentialité impliquant un renseignement personnel qu’il détient s’est produit doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé, communiquer avec le Responsable de la protection des Renseignements personnels afin de traiter de l’incident de confidentialité et éviter que de nouveaux incidents de même nature ne se produisent.

10.5. De plus, un registre des incidents de confidentialité doit être tenu par L’Entreprise.

11. ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE

11.1. Advenant la conception, le développement ou l’exploitation d’un projet ou d’une initiative impliquant des Renseignements personnels ou risquant d’avoir une incidence sur le respect de la vie privée des personnes, l’Entreprise procèdera, conformément aux exigences de la Loi, à l’évaluation des facteurs liés à la vie privée (ci-après : l’« EFVP »).

11.2. L’EFVP est une démarche préventive visant à mieux protéger les Renseignements personnels et à mieux respecter la vie privée des personnes physiques. Elle consiste à considérer tous les facteurs qui auront un impact positif ou négatif pour le respect de la vie privée des personnes concernées.

11.3. Lorsqu’applicable, L’Entreprise procédera à la réalisation d’une EFVP afin d’identifier les risques d’atteinte à la vie privée engendrés par la collecte, l’utilisation, la communication, la conservation ou la destruction des renseignements et l’évaluation de leurs impacts. L’Entreprise verra également à mettre en place des stratégies pour éviter ces risques ou les réduire efficacement et prendre toutes les mesures afin de protéger efficacement ces Renseignements personnels.

12. INTERROGATIONS ET PRÉOCCUPATIONS LIÉES À LA CONFIDENTIALITÉ

12.1. Toutes questions ou préoccupations concernant la façon dont l’Entreprise traite les Renseignements personnels au cours de leur cycle de vie au sein de l’Entreprise peut être adressée au Responsable de la protection des Renseignements personnels au sein de l’Entreprise.

13. PLAINTES LIÉES À LA CONFIDENTIALITÉ

13.1. Pour formuler une plainte quant au non-respect des procédures de traitement des Renseignements personnels, une personne peut s’adresser au Responsable de la protection des Renseignements personnels.

13.2. Dans ce contexte, l’Entreprise s’assure de respecter une série d’étapes prévues à sa Procédure de traitement des plaintes relatives à la protection des renseignements personnels, afin de traiter la plainte de façon équitable, laquelle est jointe en Annexe aux présentes.

14. ENTRÉE EN VIGUEUR ET MISE À JOUR

14.1. La présente politique est en vigueur à compter du 15 novembre 2024.

14.2. La présente politique pourrait être mise à jour en tout temps afin de l’adapter à la réalité organisationnelle de l’Entreprise ou advenant toute modification au cadre législatif applicable en la matière.

14.3. Pour vous assurer d’avoir l’information la plus à jour, visitez régulièrement le site Web de l’Entreprise ou veuillez communiquer avec le Responsable de la protection des Renseignements personnels.

14.4. La date de dernière mise à jour de la Politique est le 1er décembre 2024.