Legal | Mon site Craft

TABLE DES MATIÈRES

1. PRÉAMBULE

2. OBJET

3. CADRE NORMATIF

4. DÉFINITIONS

5. CHAMPS D'APPLICATION

6. TRAITEMENT DES RENSEIGNEMENTS PERSONNELS

7. ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE

8. ACTIVITÉS DE RECHERCHE ET ACCÈS AUX RENSEIGNEMENTS PERSONNELS

9. DROITS DES PERSONNES CONCERNÉES

10. TRAITEMENT DES PLAINTES

11. SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS

12. INCIDENTS DE CONFIDENTIALITÉ

13. REGISTRE DES INCIDENTS DE CONFIDENTIALITÉ

14. RÔLES ET RESPONSABILITÉS

15. APPROBATION

16. ACTIVITÉS DE SENSIBILISATION

17. SANCTIONS

18. MISE À JOUR

19. ENTRÉE EN VIGUEUR

PRÉAMBULE

Dans le cadre de ses activités et de sa mission, EVOQ Architecture traite des renseignements personnels, notamment ceux de sa clientèle et de ses employés]. À ce titre, EVOQ Architecture reconnait l’importance de respecter la vie privée et de protéger les renseignements personnels qu’il détient.

Afin de s’acquitter de ses obligations en la matière, EVOQ Architecture s’est doté de la présente politique. Celle-ci énonce les principes cadres applicables à la protection des renseignements personnels que EVOQ Architecture détient tout au long de leur cycle de vie ainsi que les droits des personnes concernées.

La protection des renseignements personnels incombe à toute personne qui traite ces renseignements.

OBJET

La présente politique :

énonce les principes de gouvernance de EVOQ Architecture à l’égard des renseignements personnels tout au long de leur cycle de vie ;

encadre l’exercice des droits des personnes concernées ;

prévoit le processus de traitement des plaintes relatives à la protection des renseignements personnels ;

définit les rôles et responsabilités en matière de protection des renseignements personnels de EVOQ Architecture ;

décrit les activités de formation et de sensibilisation que EVOQ Architecture offre à son personnel.

CADRE NORMATIF

La présente politique est notamment régie par la Loi sur la protection des renseignements personnels dans le secteur privé et la réglementation applicable en matière de protection de la vie privée.

DÉFINITIONS

Aux fins de la présente politique, les termes suivants signifient :

« CAI » désigne la Commission d’accès à l’information du Québec.

« cycle de vie » désigne l’ensemble des étapes visant le traitement d’un renseignement personnel soit la collecte, l’utilisation, la communication, la conservation et la destruction de celui-ci.

« évaluation des facteurs relatifs à la vie privée » ou « ÉFVP » désigne la démarche préventive qui vise à mieux protéger les renseignements personnels et à respecter la vie privée des personnes physiques. Elle consiste à considérer tous les facteurs qui auraient des conséquences positives et négatives sur le respect de la vie privée des personnes concernées.

« incident de confidentialité » désigne toute consultation, utilisation ou communication non autorisées par la loi d’un renseignement personnel, ou toute perte ou autre atteinte à la protection de ce renseignement.

« loi » désigne la Loi sur la protection des renseignements personnels dans le secteur privé.

« personne concernée » désigne une personne physique à qui se rapportent les renseignements personnels.

« profilage » désigne la collecte et l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.

« renseignement personnel » désigne toute information qui concerne une personne physique et qui permet de l’identifier directement — soit par le recours à cette seule information — ou indirectement — c’est-à-dire par combinaison avec d’autres informations.

« renseignement personnel sensible » désigne tout renseignement personnel qui — de par sa nature, notamment médicale, biométrique ou autrement intime, ou en raison de la manière dont il est utilisé ou communiqué — suscite un haut degré d’attente raisonnable en matière de vie privée.

« responsable de la protection des renseignements personnels » ou « RPRP » désigne la personne qui, au sein de EVOQ Architecture, veille à y assurer le respect et la mise en œuvre de la loi.

CHAMP D’APPLICATION

La présente politique s’applique aux renseignements personnels détenus par EVOQ Architecture et à toute personne qui traite des renseignements personnels pour EVOQ Architecture , par exemple des fournisseurs de services ou sous-traitants.

TRAITEMENT DES RENSEIGNEMENTS PERSONNELS

La protection des renseignements personnels est assurée tout au long de leur cycle de vie dans le respect des principes suivants, et tenant compte des exceptions prévues par la loi.

COLLECTE

EVOQ Architecture ne recueille que les renseignements personnels nécessaires à la réalisation de ses activités. Avant de recueillir des renseignements personnels, EVOQ Architecture détermine les fins de leur traitement.

La collecte de renseignements personnels se fait auprès de la personne concernée sauf si la loi permet de les recueillir auprès d’un tiers.

Au moment de la collecte, et par la suite sur demande, EVOQ Architecture informe les personnes concernées, minimalement :

des fins auxquelles ces renseignements sont recueillis ;

des moyens par lesquels les renseignements sont recueillis ;

des droits d’accès et de rectification prévus par la loi ;

de leur droit de retirer leur consentement à la communication ou à l’utilisation des renseignements recueillis ;

lorsqu’applicable, du nom du tiers pour qui la collecte est faite ;

lorsqu’applicable, du nom des tiers ou des catégories de tiers à qui il est nécessaire de communiquer les renseignements aux fins déclarées ;

lorsqu’applicable, de la possibilité que les renseignements soient communiqués à l’extérieur du Québec ;

lorsqu’applicable, du recours à une technologie comprenant des fonctions permettant de l’identifier ou d’effectuer du profilage de celle-ci ;

des moyens offerts pour activer les fonctions permettant de les identifier, de les localiser ou d’effectuer leur profilage.

L’information énumérée au paragraphe 6.1.3 est donnée en termes simples et clairs, au moyen d’une politique de confidentialité ou d’un avis « juste-à-temps ».

La personne concernée qui fournit ses renseignements personnels après avoir reçu l’information au paragraphe 6.1.3 est présumée consentir à l’utilisation et à la communication aux fins déclarées.

À la demande d’une personne concernée, EVOQ Architecture devra également l’informer quant aux éléments suivants :

les renseignements personnels recueillis auprès d’elle ;

les catégories de personnes qui ont accès à ces renseignements au sein de EVOQ Architecture ;

la durée de conservation de ces renseignements ;

les coordonnées du RPRP de EVOQ Architecture .

Lorsque la loi exige l’obtention d’un consentement, c’est-à-dire lorsqu’il ne peut être présumé suivant les paragraphes 6.1.3 et 6.1.5 et qu’aucune exception au consentement s’applique, celui-ci doit être manifeste, libre, éclairé et donné à des fins spécifiques. Il est demandé à chacune de ces fins, en termes simples et clairs. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé.

UTILISATION

EVOQ Architecture n’utilise les renseignements personnels qu’aux fins pour lesquelles ces renseignements ont été recueillis. Cependant, EVOQ Architecture peut modifier ces fins si la personne concernée y consent.

EVOQ Architecture peut également les utiliser à des fins secondaires sans le consentement de la personne concernée, dans l’un ou l’autre des cas suivants :

lorsque l’utilisation est à des fins compatibles avec celles pour lesquelles les renseignements ont été recueillis (les fins compatibles excluent cependant la prospection commerciale ou philanthropique) ;

lorsque l’utilisation est manifestement au bénéfice de la personne concernée ;

lorsque son utilisation est nécessaire à des fins de prévention et de détection de la fraude ou d’évaluation et d’amélioration des mesures de protection et de sécurité ;

lorsque son utilisation est nécessaire à des fins de fourniture ou de livraison d’un produit ou de prestation d’un service demandé par la personne concernée ;

lorsque l’utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques et que les renseignements sont dépersonnalisés.

Lorsque l’utilisation projetée à des fins secondaires implique des renseignements personnels sensibles, EVOQ Architecture doit obtenir le consentement exprès des personnes concernées.

COMMUNICATION

Sous réserve des exceptions prévues par la loi, EVOQ Architecture ne peut communiquer des renseignements personnels sans le consentement de la personne concernée. Le consentement doit être donné expressément lorsque des renseignements personnels sensibles sont en cause.

EVOQ Architecture peut communiquer des renseignements personnels sans consentement à un mandataire ou un fournisseur de services dans le cadre d’un mandat ou d’un contrat de services. À cette fin, EVOQ Architecture doit conclure une entente écrite avec le mandataire ou le fournisseur de services, laquelle stipule, minimalement, les mesures que le mandataire ou le fournisseur de services doit prendre :

pour assurer la protection du caractère confidentiel des renseignements personnels communiqués ;

pour que ces renseignements ne soient utilisés que dans l’exercice du mandat ou l’exécution de son contrat ;

pour qu’il ne le conserve pas après son expiration.

Par ailleurs, l’entente doit indiquer les éléments suivants :

le mandataire ou le fournisseur doit aviser sans délai le RPRP de toute violation ou tentative de violation par toute personne de l’une ou l’autre des obligations relatives à la confidentialité des renseignements communiqués ;

le RPRP de EVOQ Architecture se réserve le droit d’effectuer toute vérification relative à cette confidentialité.

Lorsque les renseignements personnels sont communiqués à l’extérieur du Québec, EVOQ Architecture procède à une ÉFVP conformément à l’article 7 des présentes.

REGISTRE DES COMMUNICATIONS

EVOQ Architecture tient à jour un registre de certaines communications de renseignements personnels. Un tel registre détaille les communications suivantes :

à une personne ou à un organisme ayant le pouvoir de contraindre EVOQ Architecture à lui communiquer des renseignements personnels et qui les requiert dans l’exercice de ses fonctions ;

à une personne qui doit les recevoir en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée, ou à qui EVOQ Architecture peut les communiquer en vue de prévenir un acte de violence, dont un suicide, en cas de risque sérieux de mort ou de blessures graves pour une personne ou un groupe de personnes identifiable ;

à un service d’archives ou à toute personne, dans ce deuxième cas, si le document est vieux de plus de 100 ans ou si la personne concernée est décédée depuis plus de 30 ans ;

à une personne ou à un organisme pour les fins d’un mandat ou d'un contrat de services ou d’entreprise ;

à l’autre partie à une transaction commerciale si la communication est nécessaire aux fins de la conclusion de la transaction ;

à une personne qui peut les utiliser à des fins d’étude, de recherche ou de statistique ou à une personne que la CAI a autorisée à les utiliser ;

à une personne que la loi autorise à recouvrer des créances pour autrui et qui le requiert à cette fin dans l’exercice de ses fonctions ;

à une personne si le renseignement est nécessaire aux fins de recouvrer une créance de EVOQ Architecture .

CONSERVATION

EVOQ Architecture prend toutes les mesures raisonnables afin que les renseignements personnels qu’il détient soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis ou utilisés.

EVOQ Architecture conserve les renseignements personnels aussi longtemps que nécessaire pour mener ses activités, sous réserve de délais prévus à sa Politique de conservation et le calendrier y afférent.

Destruction et anonymisation

Lorsque les finalités pour lesquelles les renseignements personnels recueillis sont atteintes, ces renseignements sont détruits ou anonymisés, suivant les délais prévus au calendrier de conservation et aux règles de gestion des documents de EVOQ Architecture.

ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE

Sous la supervision du RPRP, EVOQ Architecture réalise une ÉFVP notamment dans le contexte des traitements suivants de renseignements personnels :

avant d’entreprendre un projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services qui implique des renseignements personnels ;

avant de communiquer des renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques ;

lorsqu’il entend communiquer des renseignements personnels à l’extérieur du Québec.

En effectuant une ÉFVP, EVOQ Architecture tient compte de la sensibilité des renseignements à être traités, des fins de leur utilisation, de leur quantité, de leur distribution et de leur support, ainsi que de la proportionnalité des mesures proposées pour protéger les renseignements personnels.

De plus, lorsque les renseignements personnels sont communiqués à l’extérieur du Québec, EVOQ Architecture s’assure que ceux-ci bénéficient d’une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus.

La réalisation d’une ÉFVP sert à démontrer que EVOQ Architecture a respecté toutes les obligations en matière de protection des renseignements personnels et que toutes les mesures ont été prises afin de protéger efficacement ces renseignements.

ACTIVITÉS DE RECHERCHE ET ACCÈS AUX RENSEIGNEMENTS PERSONNELS

Des chercheurs peuvent demander l’accès à des renseignements personnels à des fins de recherche. Une telle demande doit être soumise au RPRP de EVOQ Architecture.

Lorsque l’ÉFVP conclut que des renseignements personnels peuvent être communiqués à cette fin, EVOQ Architecture doit conclure une entente avec les chercheurs qui comprend le contenu obligatoire de la loi et toute mesure supplémentaire identifiée dans l’ÉFVP.

DROITS DES PERSONNES CONCERNÉES

Sous réserve de ce que prévoient les lois applicables, toute personne concernée à propos de laquelle EVOQ Architecture détient des renseignements personnels dispose notamment des droits suivants :

le droit d’accéder aux renseignements personnels détenus par EVOQ Architecture et d’en obtenir une copie, que ce soit en format électronique ou non électronique ;

à moins que cela ne soulève des difficultés pratiques sérieuses, un renseignement personnel informatisé recueilli auprès d’une personne concernée, et non pas créé ou inféré à partir d’un renseignement personnel la concernant, lui est communiqué dans un format technologique structuré et couramment utilisé, à sa demande. Ce renseignement est aussi communiqué, à sa demande, à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement

le droit de faire rectifier tout renseignement personnel incomplet ou inexact détenu par EVOQ Architecture ;

le droit de demander la suppression d’un renseignement périmé ou non justifié, ou de formuler par écrit des commentaires à EVOQ Architecture ;

le droit de demander à EVOQ Architecture de cesser de diffuser un renseignement ou de désindexer tout hyperlien rattaché à son nom par moyen technologique, lorsque la diffusion de ce renseignement contrevient à la loi ou à une ordonnance judiciaire ;

le droit de demander à EVOQ Architecture de cesser de diffuser un renseignement ou de désindexer ou réindexer tout hyperlien rattaché à son nom, lorsque les conditions suivantes sont réunies :

la diffusion de ce renseignement lui cause un préjudice grave relatif au droit au respect de sa réputation ou de sa vie privée ;

ce préjudice est manifestement supérieur à l’intérêt du public de connaître ce renseignement ou à l’intérêt de toute personne de s’exprimer librement ;

la cessation de la diffusion, la réindexation ou la désindexation demandée n’excède pas ce qui est nécessaire pour éviter que le préjudice ne se perpétue, en tenant compte, notamment, du fait que la personne concernée est une personnalité publique ou non, du fait que le renseignement concerne une personne mineure, du fait que le renseignement est à jour et exact, de la sensibilité du renseignement, du contexte dans lequel le renseignement est diffusé, le délai écoulé entre la diffusion du renseignement et la demande faite à EVOQ Architecture, de si le renseignement concerne une procédure criminelle ou pénale, de l’obtention d’un pardon ou de l’application d’une restriction à l’accessibilité des registres des tribunaux judiciaires ;

le droit d’être informée, le cas échéant, que des renseignements personnels sont utilisés pour prendre une décision fondée sur un traitement automatisé

Le conjoint ou le proche parent d’une personne décédée peut demander à EVOQ Architecture un renseignement personnel qu’il détient concernant cette personne, si la connaissance de ce renseignement est susceptible de l’aider dans son processus de deuil et que la personne décédée n’a pas consigné par écrit son refus d’accorder ce droit d’accès.

Bien que le droit d’accès puisse être exercé en tout temps, l’accès aux documents contenant ces renseignements est assujetti à certaines exceptions identifiées dans la loi.

EVOQ Architecture peut refuser de communiquer à une personne un renseignement personnel la concernant lorsque la divulgation du renseignement risquerait vraisemblablement :

de nuire à une enquête menée par son service de sécurité interne ayant pour objet de prévenir, détecter ou réprimer le crime ou les infractions à la loi ou, pour son compte, par un service externe ayant le même objet ou un titulaire de permis d’agence de gardiennage ou d’agence d’investigation délivré conformément à la Loi sur la sécurité privée ;

d’avoir un effet sur une procédure judiciaire dans laquelle l’une ou l’autre de ces personnes a un intérêt

EVOQ Architecture doit refuser de communiquer à une personne un renseignement personnel :

à une personne concernée lorsque sa divulgation révélerait vraisemblablement un renseignement personnel sur un tiers ou l’existence d’un tel renseignement et que cette divulgation serait susceptible de nuire sérieusement à ce tiers, à moins que ce dernier ne consente à sa communication ou qu’il ne s’agisse d’un cas d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée ;

au liquidateur de la succession, au bénéficiaire d’une assurance-vie ou d’une indemnité de décès, à l’héritier ou au successible de la personne concernée par ce renseignement, à moins que cette communication ne mette en cause les intérêts et les droits de la personne qui le demande à titre de liquidateur, de bénéficiaire, d’héritier ou de successible, le tout sous réserve du droit du conjoint ou du parent d’une personne décédée mentionné ci-dessus.

La demande d’accès aux renseignements personnels doit être suffisamment précise pour permettre au RPRP d’identifier lesdits renseignements personnels. Le droit d’accès ne s’applique qu’aux renseignements personnels existants.

Le RPRP répond par écrit aux demandes d’accès ou de rectification, avec diligence et au plus tard dans les 30 jours de la date de réception de la demande.

L’accès aux renseignements personnels contenus dans un dossier est gratuit. Toutefois, EVOQ Architecture pourrait exiger des frais raisonnables pour la transcription, la reproduction ou la transmission de ces renseignements, après avoir informé le requérant du montant approximatif exigible, avant de procéder à la transcription, la reproduction ou la transmission de ces renseignements.

Lorsque le RPRP acquiesce à une demande de rectification ou de suppression, il notifie cette rectification ou cette suppression à toute personne qui a reçu les renseignements dans les six mois précédents et, le cas échéant, à la personne qui les tient. De plus, il délivre sans frais au requérant une copie de tout renseignement personnel modifié ou ajouté ou, selon le cas, une attestation des renseignements personnels supprimés.

À défaut de répondre dans les 30 jours de la réception de la demande, EVOQ Architecture sera réputé avoir refusé d’y acquiescer. Cela dit, le RPRP doit motiver tout refus d’acquiescer à une demande et indiquer la disposition de la loi sur laquelle ce refus s’appuie, les recours qui s’offrent au requérant en vertu de la loi et le délai dans lequel ils peuvent être exercés. Il doit également prêter assistance au requérant qui le demande pour l’aider à comprendre le refus.

TRAITEMENT DES PLAINTES

Toute plainte relative aux pratiques de protection des renseignements personnels de EVOQ Architecture ou de sa conformité aux exigences de la loi concernant les renseignements personnels est transmise au Responsable de la Protection des Renseignements Personnels (RPRP). Le processus de traitement des plaintes se déroule comme suit :

Réception de la plainte : Dès réception de la plainte, le RPRP envoie un accusé de réception à la personne plaignante dans un délai de 7 jours ouvrables.

Évaluation de la plainte : Le RPRP examine la plainte pour évaluer sa recevabilité et la nature des préoccupations soulevées. Cette étape comprend une analyse des faits rapportés, une consultation des dossiers et, si nécessaire, une entrevue avec la personne plaignante ou toute autre partie concernée.

Enquête et résolution : Selon la complexité de la plainte, le RPRP peut mener une enquête approfondie pour déterminer si des manquements aux politiques de protection des renseignements personnels ont eu lieu. Des mesures correctives, incluant la mise en place de nouvelles procédures ou des sanctions disciplinaires, peuvent être envisagées pour remédier à tout manquement identifié.

Réponse formelle : Le RPRP fournit une réponse écrite à la personne plaignante dans un délai de 45 jours à compter de la réception de la plainte. Cette réponse doit inclure :

Une description des conclusions de l’enquête,

Les mesures correctives envisagées ou appliquées (le cas échéant),

Les recours disponibles pour la personne plaignante, tels que le dépôt de la plainte auprès de la Commission d’accès à l’information (CAI) du Québec si elle juge la réponse insatisfaisante.

Suivi : Après le traitement de la plainte, le RPRP documente les actions prises et met à jour les pratiques de protection des renseignements personnels, si nécessaire, pour prévenir des incidents similaires.

SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS

Même s’il ne peut garantir le risque zéro, EVOQ Architecture met en place des mesures de sécurité raisonnables afin d’assurer la confidentialité, l’intégrité et la disponibilité des renseignements personnels recueillis, utilisés, communiqués, conservés ou détruits. Ces mesures tiennent notamment en compte du degré de sensibilité des renseignements personnels, de la finalité de leur collecte, de leur quantité, de leur localisation et de leur support.

EVOQ Architecture gère les droits d’accès des membres son personnel afin que seuls ceux soumis à un engagement de confidentialité (le cas échéant) et ayant besoin d’y accéder dans le cadre de leurs fonctions aient accès aux renseignements personnels.

INCIDENTS DE CONFIDENTIALITÉ

Tout incident de confidentialité est pris en charge conformément à la procédure en place chez EVOQ Architecture. EVOQ Architecture prend alors les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent. Il met à jour son programme de protection des renseignements personnels, le cas échéant.

Tout incident de confidentialité est signalé au RPRP et est consigné au registre des incidents de confidentialité, conformément à l’article 13.1 de la présente politique.

Si l’incident de confidentialité présente un risque de préjudice sérieux pour les personnes concernées, EVOQ Architecture avise celles-ci avec diligence ainsi que la CAI, conformément à sa procédure de réponse aux incidents.

REGISTRE DES INCIDENTS DE CONFIDENTIALITÉ

EVOQ Architecture tient à jour un registre des incidents de confidentialité conforme à la loi et à la réglementation. Un tel registre comprend :

une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description ;

une brève description des circonstances de l’incident ;

la date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période ;

la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident ;

le nombre de personnes concernées par l’incident ou, s’il n’est pas connu, une approximation de ce nombre ;

une description des éléments qui amènent EVOQ Architecture à conclure qu’il existe ou non un risque qu’un préjudice sérieux soit causé aux personnes concernées, tels que la sensibilité des renseignements personnels concernés, les utilisations malveillantes possibles de ces renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables ;

si l’incident présente un risque qu’un préjudice sérieux soit causé, les dates de transmission des avis à la CAI et aux personnes concernées, en application du deuxième alinéa de l’article 3.5 de la Loi sur la protection des renseignements personnels dans le secteur privé, de même qu’une mention indiquant si des avis publics ont été donnés par EVOQ Architecture et la raison pour laquelle ils l’ont été, le cas échéant ;

une brève description des mesures prises par EVOQ Architecture, à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé ;

tout autre élément prévu par le Règlement sur les incidents de confidentialité.

RÔLES ET RESPONSABILITÉS

La protection des renseignements personnels que EVOQ Architecture détient repose sur l’engagement de tous ceux qui traitent ces renseignements et plus particulièrement des suivants :

Le RPRP :

est désigné par écrit par la personne exerçant la plus haute autorité au sein de EVOQ Architecture;

veille à assurer le respect et la mise en œuvre de la loi pour [EVOQ Architecture.

s’assure de l’établissement et de la mise en œuvre des politiques et pratiques encadrant la gouvernance de l’entreprise à l’égard des renseignements personnels et propres à assurer la protection de ces renseignements, notamment en approuvant celles-ci.

est consulté, aux fins d’une ÉFVP, dès le début de tout projet d’acquisition, de développement et de refonte de système d'information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.

à toute étape d’un projet visé au point précédent, le RPRP peut suggérer des mesures afin d’assurer la protection des renseignements personnels impliqués par le projet, telles que :

la nomination d’une personne chargée de la mise en œuvre des mesures de protection;

des mesures de protection des renseignements personnels dans tout document relatif au projet;

une description des responsabilités des participants au projet en matière de protection des renseignements personnels;

la tenue d’activités de formation sur la protection des renseignements personnels pour les participants au projet.

supervise la tenue des registres prévus aux articles 6.4 et 13 de la présente politique.

participe à l’évaluation du risque de préjudice sérieux lié à un incident de confidentialité, notamment eu égard à la sensibilité des renseignements visés, aux conséquences anticipées de leur utilisation et à la probabilité que ces renseignements soient utilisés à des fins malveillantes.

collabore avec les autorités gouvernementales compétentes et les parties prenantes concernées en cas d’incident de confidentialité.

le cas échéant, enregistre la communication d’un incident de confidentialité à une personne ou un organisme susceptible de diminuer un risque de préjudice.

le cas échéant, effectue des vérifications des obligations de confidentialité en lien avec la communication de renseignements personnels dans le cadre de mandats ou de contrats de services confiés à des tiers conformément à l’article 6.3.2 de la présente politique.

reçoit les demandes écrites d’exercice de droits des personnes concernées et s’assure de respecter les paragraphes 9.5 à 9.8 de la présente politique.

rend des comptes annuellement au conseil d’administration sur la conformité de EVOQ Architecture aux exigences de la loi dont il veille à assurer le respect et la mise en œuvre.

Toute personne qui traite des renseignements personnels que EVOQ Architecture détient :

agit avec précaution intègre les principes énoncés à la présente politique à ses activités ;

n’accède qu’aux renseignements nécessaires à l’exercice de ses fonctions ;

n’intègre et ne conserve des renseignements que dans les dossiers destinés à l’accomplissement de ses fonctions ;

conserve ces dossiers de manière à ce que seules les personnes autorisées y aient accès ;

protège l’accès aux renseignements personnels en sa possession ou auxquels elle a accès par un mot de passe ;

s’abstient de communiquer les renseignements personnels dont elle prend connaissance dans l’exercice de ses fonctions, à moins d’être dûment autorisé à le faire ;

s’abstient de conserver, à la fin de son emploi ou de son contrat, les renseignements personnels obtenus ou recueillis dans le cadre de ses fonctions et maintient ses obligation de confidentialité ;

détruit tout renseignement personnel conformément au calendrier de conservation de EVOQ Architecture ;

participe aux activités de sensibilisation et de formation en matière de protection des renseignements personnels qui lui sont destinées ;

signale tout manquement, incident de confidentialité ou toute autre situation ou irrégularité qui pourrait compromettre de quelque façon que ce soit la sécurité, l’intégrité ou la confidentialité de renseignements personnels conformément à la procédure établie par EVOQ Architecture.

APPROBATION

La présente politique et toutes les politiques liées à la protection des renseignements personnels en découlant sont soumises à l’approbation de EVOQ Architecture.

ACTIVITÉS DE SENSIBILISATION

EVOQ Architecture offre des activités de formation et de sensibilisation à son personnel en matière de protection des renseignements personnels, incluant :

Formations annuelles obligatoires pour tous les employés ;

Rappels périodiques par courriel pour renforcer les bonnes pratiques.

SANCTIONS

Toute personne qui enfreint la présente politique est passible de sanctions disciplinaires selon le cadre normatif applicable.

MISE À JOUR

De manière à suivre l’évolution des lois applicables en matière de protection des renseignements personnels et à améliorer le programme de protection des renseignements personnels de EVOQ Architecture, la présente politique pourra être mise à jour au besoin.

ENTRÉE EN VIGUEUR

La présente politique entre en vigueur lors de son adoption LE 18 novembre 2024.