Politique de gouvernance en matière
de protection des renseignements personnels.
- Accueil
- Confidentialités et renseignements personnels
1.
objectifs
1.2. Chez JDS, la protection de vos renseignements personnels est notre
priorité. Afin de répondre à vos attentes, nous prenons les mesures nécessaires
pour protéger les renseignements personnels, gérer correctement les données et
assurer la responsabilité de nos employés à l’égard de la protection des
renseignements personnels.
1.3. La protection des renseignements personnels signifie la protection et la
gestion efficaces des renseignements personnels par la détermination,
l’évaluation, la surveillance et l’atténuation des risques pour la protection
des renseignements personnels dans les services et les activités de JDS qui
comportent la collecte, la conservation, l’utilisation, la divulgation et la
destruction de renseignements personnels.
1.4. La politique de gouvernance en matière de protection des renseignements
personnels (ci-après appelé le « Cadre de gouvernance » ou le
« Cadre ») a pour objet d’articuler notre vision, notre objectif et
notre engagement à l’égard de la protection des renseignements personnels, y
compris le traitement et la protection des renseignements personnels, afin que
la vie privée de nos clients soit respectée. Le Cadre est conçu comme document
de référence pour les visiteurs de notre site Web et nos clients (collectivement :
les « Clients », « vous », « vos » ou « vôtre »).
1.5. Le présent Cadre de gouvernance ne s’applique pas à un renseignement
personnel qui a un caractère public en vertu de la loi.
2.
définitions
2.1.
Sauf indication contraire des
présentes, nous nous engageons à ne pas divulguer, louer, vendre, céder ou
échanger à des tiers, les renseignements personnels concernant nos clients,
sans avoir obtenu au préalable leur consentement.
2.2. Nous définissons certains termes comme suit :
§ Anonymisation : Un renseignement concernant une personne est anonymisé lorsqu’il est raisonnable de conclure qu’il ne permet plus d’identifier directement ou indirectement cette personne.
§ Gouvernance de la protection des renseignements personnels : il s’agit de l’ensemble des activités de JDS pour recueillir, utiliser et divulguer des renseignements personnels en conformité avec la loi et les directives réglementaires; protéger les renseignements personnels et gérer les risques liés au traitement de ces renseignements.
§
Incident de confidentialité : Constitue un incident de
confidentialité :
a) L’accès non autorisé à un renseignement personnel;
b) L’utilisation non autorisée d’un renseignement
personnel;
c) La communication non autorisée d’un renseignement
personnel;
d) La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
§ Renseignements personnels (cette définition est précisée dans la Loi sur la protection des renseignements personnels): il s’agit des renseignements, quels que soient leur forme et leur support, concernant un individu identifiable, notamment :
a) les renseignements relatifs à
sa race, à son origine nationale ou ethnique, à sa couleur, à sa religion, à
son âge ou à sa situation de famille;
b) les renseignements relatifs à
son éducation, à son dossier médical, à son casier judiciaire, à ses
antécédents professionnels ou à des opérations financières auxquelles il a
participé;
c) tout numéro ou symbole, ou
toute autre indication identificatrice, qui lui est propre;
d) son adresse, ses empreintes
digitales ou son groupe sanguin;
e) ses opinions ou ses idées
personnelles, à l’exclusion de celles qui portent sur un autre individu ou sur
une proposition de subvention, de récompense ou de prix à octroyer à un autre
individu par une institution fédérale, ou subdivision de celle-ci visée par
règlement;
f) toute correspondance de
nature, implicitement ou explicitement, privée ou confidentielle envoyée par
lui à une institution fédérale, ainsi que les réponses de l’institution dans la
mesure où elles révèlent le contenu de la correspondance de l’expéditeur;
g) les idées ou opinions
d’autrui sur lui;
h) les idées ou opinions d’un
autre individu qui portent sur une proposition de subvention, de récompense ou
de prix à lui octroyer par une institution, ou subdivision de celle-ci, visée à
l’alinéa e), à l’exclusion du nom de cet autre individu si ce nom est mentionné
avec les idées ou opinions;
i) son nom lorsque celui-ci est mentionné avec d’autres renseignements personnels le concernant ou lorsque la seule divulgation du nom révélerait des renseignements à son sujet;
§
Tiers : Toute personne physique ou morale externe à JDS, qui ne fait
pas partie de notre organisation ou des membres de notre personnel. Le tiers
peut inclure les fournisseurs, les distributeurs, les sous-traitants, les
autres contractants, les partenaires, les consultants, les autres organismes
externes, etc.
3.
collecte de renseignements
confidentiels
3.1.
JDS collecte des renseignements
personnels notamment auprès des clients, des visiteurs de son site Web, des
sous-traitants et de son personnel.
3.2.
De façon générale, JDS collecte les
renseignements personnels directement auprès de la personne concernée et avec
son consentement, sauf si une exception est prévue par la loi.
3.3.
Le consentement peut être obtenu de
façon implicite dans certaines situations, par exemple, lorsque la personne
décide de fournir volontairement ses renseignements personnels dans le cadre
volontaire des activités de JDS, tels que lors d’une embauche ou lors de
l’ouverture du dossier du client.
3.4.
Dans tous les cas, nous ne collectons
des renseignements personnels que si nous avons une raison valable de le faire.
De plus, la collecte ne sera limitée qu’aux renseignements nécessaires dont
nous avons besoin pour remplir l’objectif visé.
3.5.
À moins d’une exception prévue par la
loi, nous demanderons le consentement de la personne concernée avant de
collecter des renseignements personnels qui la concernent auprès d’un tiers.
3.6.
Considérant que nous pouvons
également collecter des renseignements personnels par un moyen technologique, nous
nous sommes dotés d’une Politique de confidentialité disponible ICI.
4.
informations communiquées lors de la
collecte de renseignements personnels
4.1.
Lorsque nous recueillons des
renseignements personnels, nous nous assurons d’informer la personne concernée,
au plus tard au moment de la collecte :
§
Des fins auxquelles ces renseignements sont recueillis;
§
Des moyens par lesquels les renseignements sont recueillis;
§
Du caractère obligatoire ou facultatif de la demande;
§
Des conséquences d’un refus de répondre ou de consentir à la
demande;
§
Des droits d’accès et de rectification prévus par la loi;
§
De la possibilité que les renseignements personnels soient
communiqués à des tiers, le cas échéant;
§
Sur demande, la personne concernée est également informée des
renseignements personnels recueillis auprès d’elle, des catégories de personnes
qui y ont accès au sein de JDS et de la durée de conservation de ces
renseignements.
5.
utilisation des renseignements
personnels
5.1.
JDS s’engage à utiliser les
renseignements personnels en sa possession uniquement aux fins pour lesquelles
ils ont été recueillis et pour lesquels la loi l’autorise à les utiliser. Il
peut toutefois les recueillir, les utiliser ou les divulguer sans le consentement
de la personne visée lorsque cela est permis ou exigé par la loi.
5.2.
Dans certaines circonstances
particulières, JDS peut recueillir, utiliser ou divulguer des renseignements
personnels sans que la personne concernée en soit informée ou qu’elle ait donné
son consentement. De telles circonstances sont réunies notamment lorsque, pour
des raisons juridiques, médicales ou de sécurité, il est impossible ou peu
probable d’obtenir son consentement, lorsque cette utilisation est
manifestement au bénéfice de cette personne, lorsque cela est nécessaire pour
prévenir ou détecter une fraude ou pour tous autres motifs sérieux.
5.3.
JDS limite l’accès des membres du
personnel aux seuls renseignements personnels et connaissances de nature
personnelle qui sont nécessaires à l’exercice de leur fonction.
6.
PRINCIPES DIRECTEURS de la protection
des renseignements personnels
6.1.
Nos principes directeurs en matière
de protection des renseignements personnels sont les suivants :
6.1.1. Nous valorisons et
respectons les données des Clients en notre possession et nous permettons à nos
Clients de bien comprendre comment elles sont utilisées et à quelles fins.
6.1.2. Nous appuyons nos
employés afin qu’ils comprennent leurs responsabilités en matière de traitement
des données et nous répondons aux demandes de nos Clients en temps opportun et
utile pour offrir une expérience transparente et efficace.
6.1.3. Nous plaçons nos Clients
au cœur de tous les changements et améliorations en adoptant des pratiques
innovantes et en intégrant les principes de protection des renseignements
personnels dans tout ce que nous accomplissons.
6.1.4. Nous collaborons
avec les employés et nous assurons une gestion efficace et sécurisée des
données des Clients dans toutes nos opérations pour établir et maintenir la
confiance des Clients.
6.1.5. Nous prenons des
décisions sur la façon dont les données des Clients sont traitées en conformité
avec les obligations législatives, les pratiques exemplaires de confidentialité
et fondées sur des normes éthiques.
6.1.6. Nous prenons des
mesures proactives et non réactives, des mesures préventives et non correctives.
6.1.7. Nous veillons à ce
que les renseignements personnels soient systématiquement protégés dans les
systèmes informatiques ou dans le cadre des pratiques internes, afin que les Clients
n’aient à poser aucun geste.
6.1.8. Les mesures de
protection des renseignements personnels ne doivent pas être intégrées après
coup, mais plutôt constituer des éléments pleinement intégrés du système.
6.1.9. Assurer la sécurité
du cycle de vie des données en conservant de façon sécurisée les données, puis les
détruire quand elles ne sont plus utiles.
7.
MESURES à l’égard de la protection
des renseignements confidentiels
7.1.
Afin de respecter notre engagement à
l’égard de la protection des renseignements personnels, nous concentrons nos
efforts sur la prise des mesures décrites ci-dessous, qui, lorsqu’elles sont
combinées, offrent un ensemble complet de mécanismes permettant de protéger vos
renseignements personnels. La responsabilité de ces mécanismes incombe à
différents responsables de JDS, le responsable de la protection des
renseignements personnels ayant la responsabilité s’acquitter de son mandat et
d’aider JDS à respecter son engagement à l’égard de la protection des
renseignements personnels.
1. Conception et exécution des programmes
Nous
intégrons nos principes directeurs de la protection des renseignements
personnels et les principes de la protection des renseignements personnels dans
l’élaboration, l’exploitation et la gestion de tous les programmes, processus,
solutions et technologies qui comportent des renseignements personnels. Nous tenons compte de
la nécessité d’assurer une prestation de services et une protection des
renseignements personnels à la fois efficaces et opportunes de manière à
assurer la protection des renseignements de nature délicate les plus
vulnérables.
2. Politique de confidentialité
Nous sommes réceptifs et transparents dans nos communications avec vous afin de nous assurer que vous connaissez vos droits en matière de vie privée et la manière dont nous utilisons et gérons vos renseignements personnels, par exemple grâce à notre politique de confidentialité.
3. Authentification
Afin de
protéger vos renseignements personnels, nous validons l’identité de nos Clients
à l’aide de : portails ou de systèmes, consultations par téléphone ou en
personne, processus d’ouverture de session ou d’authentification à deux facteurs.
4. Gestion de l’identité
Nous gérons
également les justificatifs d’identité des employés afin de nous assurer que
seuls les employés autorisés ont accès à des renseignements personnels aux fins
autorisées.
8.
communication de renseignements
8.1.
En principe, JDS ne peut communiquer
les renseignements personnels qu’il détient sur une personne sans le
consentement de celle-ci.
8.2.
Toutefois, JDS peut communiquer à un
tiers des renseignements personnels sans le consentement de la personne
concernée lorsque la communication est due à une exigence réglementaire ou
légale ou lorsque la loi le permet.
8.3.
Lors de ces échanges de
renseignements confidentiels, nous intégrons les exigences en matière de
protection des renseignements personnels dans toutes les communications afin de
faciliter le traitement et la protection appropriés des renseignements
personnels.
8.4.
Les principales démarches de
protection des renseignements personnels sont les suivantes :
1. Fournisseurs de services et partenaires tiers
Nous
intégrons des contrôles et des exigences de sécurité et de protection des
renseignements personnels dans toutes nos interactions avec des fournisseurs de
services tiers, par exemple pour la plateforme Quickbooks ou Google Drive.
2. Anonymisation des données
Nous prenons les mesures nécessaires pour anonymiser l’ensemble de renseignements personnels avant la communication des renseignements afin de respecter la vie privée.
3. Échange de renseignements avec des tiers autorisés
Nous nous
efforçons d’intégrer le niveau approprié de mesures de protection des
renseignements personnels dans tous les échanges de renseignements avec des
tiers autorisés, comme les institutions financières, les comptables et les
représentants autorisés.
9.
Contrôles internes et externes
9.1.
JDS prend les précautions et les
mesures nécessaires pour protéger les renseignements personnels contre les
menaces externes et internes.
9.2.
Les principales démarches de
protection des renseignements personnels sont les suivantes :
1. Contrôle externe
Nous
protégeons les renseignements personnels des Clients contre les menaces externes,
comme les attaques cybernétiques et l’hameçonnage, en utilisant des pare-feux
et des logiciels de chiffrement, de détection des virus et de prévention des
intrusions, en recueillant les renseignements sur les menaces pour surveiller
et détecter les atteintes et en validant de multiples points de données, comme
la mise en œuvre de l’authentification à deux facteurs.
2. Contrôle interne
Nous protégeons les
renseignements personnels contre les menaces internes en utilisant des
solutions automatisées pour détecter, repérer et vérifier les transactions
douteuses des utilisateurs dans les systèmes de JDS. Aux fins de sécurité de l’information, nous mettons également en
œuvre les principes de l’accès minimal aux systèmes (les employés ont seulement
accès aux renseignements dont ils ont besoin pour faire leur travail), du
besoin de savoir (les renseignements sont seulement accessibles par ceux qui en
ont besoin pour faire leur travail) et de la séparation des tâches.
3. Sensibilisation des employés
Nous appuyons nos employés dans leur compréhension des responsabilités à l’égard de la protection des renseignements personnels et des obligations en matière de gouvernance afin d’améliorer la culture de la protection des renseignements personnels chez nous.
4. Gestion des données et des dossiers
Nous prenons
des mesures pour gérer efficacement les renseignements personnels en notre
possession de manière à maintenir leur exactitude, à nous assurer que nous ne
les utilisons que dans le cadre de nos activités et à les conserver seulement
aussi longtemps que nécessaire et selon les prescriptions des lois applicables.
Par exemple,
aucun document financier n’est transmis à nos Clients par échange électronique
via des boîtes courriels régulières. Nos Clients doivent impérativement ouvrir
leur compte individuel dans la plateforme tierce Quickbooks pour avoir accès
aux documents.
Dans le cadre
de la transmission des documents financiers des Clients à leur comptable,
ceux-ci sont transmis via un lien sécurisé.
5. Évaluation des facteurs relatifs à la vie privée et fichiers de
renseignements personnels
JDS
procède à une évaluation des facteurs relatifs à la vie privée
(ÉFVP) pour tout projet d’acquisition, de développement et de refonte de
système d’information ou de prestation électronique de services impliquant des
renseignements personnels. L’évaluation des facteurs relatifs à la vie privée
réalisée devra être proportionnée à la sensibilité des renseignements
concernés, à la finalité de leur utilisation, à leur quantité, à leur
répartition et à leur support.
JDS peut
s’aider du guide développé par la Commission d’accès à l’information « Guide
d’accompagnement – Réaliser une évaluation des facteurs relatifs à la vie
privée (www.cai.gouv.qc.ca/documents/CAI_Guide_EFVP_FR.pdf) » pour réaliser
l’évaluation des facteurs relatifs à la vie privée, le cas échant.
6. Vérifications et examens de conformité
Nous
confirmons que les renseignements personnels sont traités conformément à nos
obligations et exigences législatives en matière de protection des
renseignements personnels en effectuant des vérifications et en assurant une
surveillance continue.
7. Consentement
Nous respectons nos obligations législatives et les procédures de gouvernance sur la protection des renseignements personnels au moment de recueillir, d’utiliser ou de divulguer des renseignements personnels.
8. Gestion des incidents de confidentialité
Lorsque JDS
a des motifs de croire que s’est produit un incident de
confidentialité impliquant un renseignement personnel que nous détenons, nous
prenons les mesures raisonnables pour diminuer les risques qu’un préjudice soit
causé et éviter que de nouveaux incidents de même nature ne se produisent, ce
qui peut inclure la sanction des individus en cause.
Quand
l’incident présente le risque qu’un préjudice sérieux soit causé aux personnes
dont les renseignements sont concernés, JDS avise par écrit :
(1) La Commission
d’accès à l’information via le formulaire d’avis prescrit (https://www.cai.gouv.qc.ca/documents/CAI_FO_avis_incident_confidentialite.pdf);
(2) La ou les
personnes concernées. L’avis doit permettre de la renseigner adéquatement sur
la portée et les conséquences de l’incident. Cet avis doit contenir :
• Une description des
renseignements personnels visés par l’incident. Si cette information n’est pas
connue, l’organisation doit communiquer la raison justifiant l’impossibilité de
fournir cette description.
• Une brève
description des circonstances de l’incident;
• La date ou la
période où l’incident a eu lieu, ou une approximation de cette période si elle
n’est pas connue;
• Une brève
description des mesures prises ou envisagées pour diminuer les risques qu’un
préjudice soit causé à la suite de l’incident;
• Les mesures
proposées à la personne concernée afin de diminuer le risque qu’un préjudice
lui soit causé ou d’atténuer celui-ci;
• Les coordonnées
d’une personne ou d’un service avec qui la personne concernée peut communiquer
pour obtenir davantage d’informations au sujet de l’incident.
JDS
tient un registre des incidents de confidentialité, dont le
contenu est déterminé par la loi. Les renseignements contenus au registre des
incidents de confidentialité sont tenus à jour et conservés pendant une période
minimale de cinq (5) ans après la date ou la période au cours de laquelle JDS
a pris connaissance de l’incident.
10.
conservation des renseignements
personnels
10.1.
JDS conserve les renseignements
personnels qu’il détient pour le temps nécessaire pour atteindre les fins pour
lesquelles il les a collectés et conformément à son calendrier de conservation,
à moins d’une durée prescrite par la loi ou la réglementation applicable.
10.2.
JDS s’assure de la qualité des
renseignements personnels qu’il détient. En ce sens, les renseignements
personnels conservés sont à jour, exacts et complets pour servir aux fins pour
lesquelles ils ont été recueillis ou utilisés.
10.3.
La mise à jour constante des
renseignements personnels n’est pas nécessaire, sauf si cela est justifié par
les fins pour lesquelles ce renseignement est recueilli. Cependant, si les
renseignements doivent servir à une prise de décision, ils doivent être à jour
au moment de celle-ci.
10.4.
Selon la nature des renseignements
personnels, ceux-ci peuvent être conservés aux dans les divers systèmes
informatiques de JDS ou de ses fournisseurs de services.
10.5.
JDS mets en place des mesures de
sécurité afin que les renseignements personnels demeurent strictement
confidentiels et soient protégés contre la perte ou le vol et contre tout
accès, communication, copie, utilisation ou modification non autorisée.
10.6.
Ces mesures de sécurité peuvent
notamment comprendre des mesures organisationnelles telles que la restriction
des accès à ce qui est nécessaire; la sauvegarde et l’archivage des données;
des mesures technologiques comme l’utilisation de mots de passe et de
l’authentification à deux facteurs.
11.
demande d’accès à ses renseignements
personnels
11.1.
Toute personne qui en fait la demande
a un droit d’accès aux renseignements personnels la concernant détenus par le JDS,
sous réserve des exceptions prévues par la loi.
11.2.
Une demande de communication ne peut
être considérée que si elle est faite par écrit par une personne physique
justifiant de son identité à titre de personne concernée ou à titre de personne
représentante autorisée.
11.3.
Cette demande doit être adressée à la
personne responsable de la protection des renseignements personnels qui est indiquée dans
notre politique de confidentialité. La demande
doit fournir suffisamment d’indications précises pour lui permettre de la
traiter. Lorsque
la demande n’est pas suffisamment précise ou lorsqu’une personne le requiert,
le responsable doit prêter assistance pour identifier les renseignements
recherchés.
11.4.
Le responsable de la protection des
renseignements personnels doit répondre par écrit à la demande d’accès avec
diligence et au plus tard dans les trente (30) jours de la réception de la
demande. À défaut de répondre dans les trente (30) jours de la réception de la
demande, la personne est réputée avoir refusé d’y acquiescer.
11.5.
L’accès aux renseignements personnels
est gratuit. Toutefois, des frais raisonnables peuvent être exigés du requérant
pour la transcription, la reproduction ou la transmission de ces
renseignements. Si nous entendons exiger des frais en vertu de la loi et de la
présente clause, nous informerons le requérant du montant approximatif
exigible, avant de procéder à la transcription, la reproduction ou la
transmission de ces renseignements.
11.6.
Le responsable de la protection des renseignements
personnels doit motiver tout refus d’acquiescer à une demande et indiquer la
disposition de la loi sur laquelle ce refus s’appuie, les recours qui s’offrent
au requérant en vertu de la présente loi et le délai dans lequel ils peuvent
être exercés. Il doit également prêter assistance au requérant qui le demande
pour l’aider à comprendre le refus.
11.7.
Nous devons refuser de donner communication
à une personne d’un renseignement personnel la concernant lorsque sa
divulgation révélerait vraisemblablement un renseignement personnel sur un
tiers ou l’existence d’un personnel sur un tiers ou l’existence d’un tel
renseignement et que cette divulgation serait susceptible de nuire sérieusement
à ce tiers, à moins que ce dernier ne consente à sa communication ou qu’il ne
s’agisse d’un cas d’urgence mettant en danger la vie, la santé ou la sécurité
de la personne concernée.
11.8.
Nous pouvons communiquer au conjoint ou
à un proche parent d’une personne décédée un renseignement personnel que nous
détenons concernant cette personne, si la connaissance de ce renseignement est
susceptible d’aider le requérant dans son processus de deuil et que la personne
décédée n’a pas consigné par écrit son refus d’accorder ce droit d’accès.
11.9.
Sous réserve de la clause précédente,
nous devons refuser de donner communication d’un renseignement personnel au
liquidateur de la succession, au bénéficiaire d’une assurance-vie ou d’une
indemnité de décès, à l’héritier ou au successible de la personne concernée par
ce renseignement, à moins que cette communication ne mette en cause les
intérêts et les droits de la personne qui le demande à titre de liquidateur, de
bénéficiaire, d’héritier ou de successible.
11.10. Toute personne intéressée peut soumettre à la Commission d’accès à
l’information une demande d’examen de mésentente relative à l’application
d’une disposition portant sur l’accès d’un renseignement personnel.
11.11. Nous pouvons demander à la Commission d’accès à l’information de
nous autoriser à ne pas tenir compte de demandes manifestement abusives par
leur nombre, leur caractère répétitif ou systématique ou de demandes qui, de
l’avis de la Commission, ne sont pas conformes à l’objet de la loi. Nous
pouvons aussi demander à la Commission de circonscrire la demande du requérant
ou de prolonger le délai dans lequel nous devons répondre.
12.
Demande de rectification
12.1.
Toute personne qui reçoit
confirmation de l’existence d’un renseignement personnel la concernant peut,
s’il est inexact, incomplet ou ambigu, ou si sa collecte, sa communication ou
sa conservation ne sont pas autorisées par la loi, exiger que le renseignement
soit rectifié.
12.2.
Une personne physique qui justifie de
son identité à titre de personne concernée ou à titre de personne représentante
autorisée peut formuler, par écrit, une demande de rectification auprès de la
personne responsable de la protection des renseignements personnels en
fournissant suffisamment d’indications précises pour lui permettre de la
traiter.
12.3.
Lorsqu’il accorde une demande de
rectification, JDS délivre sans frais à la personne qui l’a faite une copie de
tout renseignement personnel modifié ou ajouté, ou, selon le cas, une
attestation du retrait d’un renseignement personnel.
12.4.
Toute personne intéressée peut
soumettre à la Commission d’accès à l’information une demande d’examen
de mésentente relative à l’application d’une disposition portant sur la
rectification d’un renseignement personnel.
13.
destruction des renseignements
personnels
13.1.
En règle générale, lorsque les fins
pour lesquelles un renseignement personnel a été recueilli ou utilisé sont
accomplies et que la période de conservation est atteinte, nous détruisons de
manière irréversible ou l’anonymisons pour l’utiliser à d’autres fins.
13.2.
La destruction des documents
d’origine contenant des renseignements personnels ou confidentiels est faite de
façon sécuritaire. Lorsque nous procédons à la destruction de documents
contenant des renseignements personnels, nous nous assurons de prendre les
mesures de protection nécessaires visant à assurer la confidentialité de
ceux-ci. JDS détermine la méthode de destruction utilisée en fonction de la
sensibilité des renseignements, de la finalité de leur utilisation, de leur
quantité, de leur répartition et de leur support.
13.3.
Dans l’éventualité où JDS désire
détruire les documents originaux à la suite de leur numérisation, il respecte
les conditions suivantes : (1) l’information contenue dans les documents
numérisés n’a pas été altérée et elle a été maintenue dans son intégralité; (2)
la numérisation ainsi que le support pour conserver les documents numérisés
doit assurer la stabilité et la pérennité des documents. JDS choisit un support
ou une technologie sur lequel il conserve ses documents qui lui permet de
respecter ces conditions.
13.4.
Voici une liste des techniques de
destruction définitive des documents qui peuvent être utilisées :
|
Support du document |
Méthodes de destruction |
|
Papier |
Déchiqueteuse |
|
Médias numériques que l’on souhaite réutiliser ou recycler (Exemple : carte de
mémoire flash (carte SD, XD, etc.) clés USB, disque dur d’ordinateur, etc.) |
Formatage, réécriture, déchiquetage numérique (logiciel effectuant une
suppression sécuritaire et qui écrira de l’information aléatoire à l’endroit
où se trouvait le fichier supprimé) |
|
Médias numériques non réutilisables (Exemple : CD, DVD, cartes de mémoire flash, clés USB et disques
durs qui ne seront plus utilisés) |
Destruction physique (déchiquetage, broyage, meulage de surface,
désintégration, trouage, etc.). La plupart des déchiqueteuses pourront détruire les CD et les DVD. Démagnétiseur pour les disques durs. |
|
Machines contenant des disques durs (Exemple : photocopieur, télécopieur, numériseur, imprimante,
etc.) |
Écrasement des informations sur le disque dur ou disque dur enlevé et
détruit lorsque les machines sont remplacées. |
14.
procédureS de numérisation
14.1.
La personne responsable de la
numérisation :
14.1.1.
Effectue la préparation physique des documents à
numériser (enlève les trombones et les agrafes);
14.1.2.
Numérise les documents et demeure présente tout au
long du processus afin de protéger l’intégrité des données numérisées;
14.1.3.
Effectue une vérification exhaustive des documents
numérisés afin de s’assurer de la quantité, de la qualité et de l’intégrité des
documents reproduits. Elle vérifie que :
a) Les documents numérisés sont conformes aux documents sources;
b) Les données sont lisibles et de bonne qualité;
c) Le recto verso a bien été fait, le cas échéant; si l’option recto verso
a fait en sorte de laisser des pages blanches, elle élimine ces dernières;
d) Les documents ou les pages ont été numérisés dans le bon sens.
14.1.4.
Vérifie que le nombre de documents ou de pages est
exact (si des pages manquent, elle reprend la numérisation au complet);
14.1.5.
Renomme les fichiers PDF selon la convention de
nommage établie;
14.1.6.
Enregistre le ou les fichiers PDF dans le logiciel Google
Drive.
15.
coordonnées de la personne responsable
de la protection des renseignements personnels
15.1. La personne responsable de
la protection des renseignements personnels est Julie Dufour, présidente de JDS. Il
peut être contacté par téléphone au 418-440-6941 ou par courriel au : jdufour@juliedufoursignature.com.
15.2. Cette personne est
notamment responsable de :
15.2.1.
Recevoir et traiter les demandes d’accès et de
rectification en respect de la protection des renseignements personnels et de
la confidentialité;
15.2.2.
Traiter les incidents de confidentialité;
15.2.3.
Recevoir les plaintes qui mettent en cause la
protection des renseignements personnels et les traiter;
15.2.4.
Tenir à jour le registre des incidents de
confidentialités;
15.2.5. Tenir à jour
la liste de classement des documents de manière à en permettre le repérage et
l’inventaire des fichiers de renseignements personnels.
15.3. Il est possible de
communiquer avec la responsable de la protection des renseignements personnels
pour toute question en lien avec l’application du présent Cadre de gouvernance en
matière de protection des renseignements personnels.
16.
Processus de traitement des plaintes
en lien avec la protection des renseignements personnels
16.1.
Toute personne concernée par
l’application du présent Cadre de gouvernance peut porter plainte concernant
l’application du présent Cadre de gouvernance ou, plus généralement, concernant
la protection de ses renseignements personnels par JDS.
Réception de la plainte
16.2.
Toute personne qui souhaite formuler
une plainte relative à l’application du présent Cadre ou, plus généralement, à
la protection de ses renseignements personnels par le JDS doit le faire par
écrit en s’adressant à la personne responsable de la protection des
renseignements personnels identifié à la clause 15 des présentes.
16.3.
La personne devra indiquer son nom,
ses coordonnées pour le joindre, incluant un numéro de téléphone, ainsi que
l’objet et les motifs de sa plainte, en donnant suffisamment de détails pour
que celle-ci puisse être évaluée par la responsable. Si la plainte formulée
n’est pas suffisamment précise, la responsable de la protection des
renseignements personnels peut requérir toute information additionnelle qu’elle
juge nécessaire pour pouvoir évaluer la plainte.
Traitement de la plainte
16.4.
JDS s’engage à traiter toute plainte
reçue de façon confidentielle.
16.5.
La plainte est traitée dans un délai
raisonnable. La personne responsable de la protection des renseignements
personnels doit évaluer la plainte et formuler une réponse motivée écrite à la
personne plaignante.
16.6.
Dans les 30 jours suivant la
réception de la plainte ou suivant la réception de tous les renseignements additionnels
jugés nécessaires et requis par la personne responsable de la protection des
renseignements personnels pour pouvoir la traiter, cette dernière doit
l’évaluer et formuler une réponse motivée écrite par courriel, au plaignant.
16.7.
Cette évaluation visera à déterminer
si le traitement des renseignements personnels par JDS est conforme au présent
Cadre en place au sein de l’organisation et à la législation ou réglementation
applicable.
16.8.
Dans le cas où la plainte ne peut
être traitée dans ce délai, le plaignant doit être informé des motifs
justifiant l’extension de délai, de l’état d’avancement du traitement de sa
plainte et du délai raisonnable nécessaire pour pouvoir lui fournir une réponse
définitive.
16.9.
Il est également possible de déposer
une plainte auprès de la Commission d’accès à l’information du Québec ou
à tout autre organisme de surveillance en matière de protection des
renseignements personnels responsable de l’application de la loi concernée par
l’objet de la plainte.
Dossier de plainte
16.10. JDS doit constituer un dossier distinct pour chacune des plaintes qui
lui sont adressées en vertu de la présente procédure de traitement de plainte.
Chaque dossier contient la plainte, l’analyse et la documentation à l’appui de
son évaluation, ainsi que la réponse écrite envoyée à la personne plaignante.
17.
entrée en vigueur et révision
17.1. Le présent Cadre de
gouvernance est approuvé par la personne responsable de la protection des
renseignements personnels.
17.2. Il est complémentaire à notre
Politique de confidentialité. Le Cadre entre en vigueur à la date de son
approbation. Il demeure en application tant et aussi longtemps qu’il n’est pas
abrogé, modifié ou remplacé par un autre Cadre de gouvernance.
17.1. Le présent Cadre de
gouvernance peut être mis à jour périodiquement en fonction des changements
survenus dans nos pratiques et nos mesures en matière de protection des
renseignements personnels. Il est de votre responsabilité de consulter
périodiquement notre Cadre de gouvernance afin de vous tenir informé de nos
pratiques à jour.
17.2. Le Cadre de gouvernance
révisé sera affiché sur notre site Web et la date de la dernière mise à jour
est indiquée au bas des présentes. Les modifications prendront effet dès leur
publication sur notre site Web.
(Dernière version du présent
Cadre de gouvernance: en date du 23 août 2023)
