- OBJECTIF
Croissance nordique Inc. est une entreprise constituée en vertu de la Loi sur les sociétés par actions qui traite des renseignements personnels dans le cadre de ses activités.
La présente politique vise à assurer la protection des renseignements personnels et à encadrer la manière dont Croissance nordique Inc. les collecte, les utilise, les communique, les conserve et les détruit ou dont, autrement, elle les gère. De plus, elle vise à informer toute personne intéressée sur la manière dont Croissance nordique Inc. traite leurs renseignements personnels. Elle vise également le traitement des renseignements personnels recueillis par Croissance nordique Inc. par un moyen technologique.
- PORTÉE
Cette politique s’applique à Croissance nordique Inc., ce qui inclut notamment ses dirigeants, employés, consultants, ainsi qu’à toute personne qui, autrement, fournit des services pour le compte de Croissance nordique Inc. Elle s’applique également à l’égard du site internet de Croissance nordique Inc., ainsi que par tous les sites internet contrôlés et maintenus par Croissance nordique Inc..
Elle vise tous les types de renseignements personnels gérés par Croissance nordique Inc., que ce soit les renseignements de ses clients, potentiels ou actuels, ses consultants, ses employés ou toutes autres personnes (comme les visiteurs de ses sites internet ou autre).
- DÉFINITIONS
Pour l’application des présentes, un renseignement personnel est un renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier. Par exemple, il pourrait s’agir du Croissance nordique Inc., de l’adresse, de l’adresse courriel, du numéro de téléphone, du genre ou de renseignements bancaires d’une personne, de renseignements sur sa santé, son origine ethnique, sa langue, etc.
Un renseignement personnel sensible est un renseignement envers lequel il y a un haut degré d’attente raisonnable en matière de vie privée. Il peut s’agir par exemple de renseignements de santé, renseignements bancaires, etc.
De manière générale, les coordonnées professionnelles ou d’affaires d’une personne ne constituent pas des renseignements personnels, par exemple le Croissance nordique Inc., le titre, l’adresse, l’adresse courriel ou le numéro de téléphone au travail d’une personne. Plus particulièrement et par souci de précision, au sens de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, et à compter du 22 septembre 2023, les sections 4 (collecte, utilisation, communication), 5 (conservation et destruction) et 7 (sécurité des données) ne s’appliquent pas aux renseignements d’une personne relatifs à l’exercice d’une fonction dans une entreprise, tels que son Croissance nordique Inc., son titre, sa fonction, ainsi que l’adresse, l’adresse courriel et le numéro de téléphone de son lieu de travail.
Ces mêmes paragraphes ne s’appliquent pas non plus à un renseignement personnel qui a un caractère public en vertu de la loi, et ce, dès l’entrée en vigueur de la présente politique.
- COLLECTE, UTILISATION ET COMMUNICATION
Dans le cadre de ses activités, Croissance nordique Inc. peut collecter différents types de renseignements, et ce, à différentes fins. La liste des types de renseignement que Croissance nordique Inc. pourrait collecter, de leur utilisation ainsi que des moyens par lesquels les renseignements sont recueillis peuvent être transmis sur demande.
Croissance nordique Inc. informera également les personnes concernées, au moment de la collecte de renseignements personnels, de tout autre renseignement recueilli, des fins pour lesquelles ils sont collectés et les moyens de la collecte, en plus des autres informations à fournir tel que requis par la loi.
Croissance nordique Inc. applique les principes généraux suivants relativement à la collecte, l’utilisation et la communication de renseignements personnels :
Consentement :
De façon générale, Croissance nordique Inc. collecte les renseignements personnels directement auprès de la personne concernée et avec son consentement, sauf si une exception est prévue par la loi. Le consentement peut être obtenu de façon implicite dans certaines situations, par exemple, lorsque la personne décide de fournir ses renseignements personnels après avoir été informée de la présente politique. Ainsi, la présente politique et les informations qu’elle contient pourront être consultées par la personne concernée au moment de la collecte de renseignements personnels.
Normalement, Croissance nordique Inc. doit également obtenir le consentement de la personne concernée avant de collecter ses renseignements personnels auprès de tiers, avant de les communiquer à des tiers ou pour toute utilisation secondaire de ceux-ci. Toutefois, Croissance nordique Inc. peut agir sans consentement dans certains cas prévus par la loi et dans les conditions prévues par celle-ci. Les principales situations où Croissance nordique Inc. peut agir sans consentement sont indiquées dans les sections pertinentes de la présente politique.
Collecte :
- Dans tous les cas, Croissance nordique Inc. ne collecte des renseignements que s’il a une raison valable de le faire. De plus, la collecte ne sera limitée qu’au renseignement nécessaire dont il a besoin pour remplir l’objectif visé.
- Croissance nordique Inc. peut collecter des renseignements personnels auprès de tiers. À moins d’une exception prévue par la loi, Croissance nordique Inc. demandera le consentement de la personne concernée avant de collecter des renseignements personnels qui la concernent auprès d’un tiers. Dans le cas où un tel renseignement n’est pas collecté directement auprès de la personne, mais auprès d’une autre organisation, la personne concernée peut demander la source des renseignements collectés à Croissance nordique Inc..
- Dans certaines situations, Croissance nordique Inc. peut également collecter des renseignements personnels auprès de tiers, sans le consentement de la personne concernée, si elle a un intérêt sérieux et légitime à le faire et :
- si la cueillette est dans l’intérêt de la personne et qu’il n’est pas possible de le faire auprès d’elle en temps utile;
- si cette cueillette est nécessaire pour s’assurer que les renseignements sont exacts.
Détention et utilisation :
- Croissance nordique Inc. veille à ce que les renseignements qu’elle détient soient à jour et exacts au moment de leur utilisation pour prendre une décision relative à la personne visée.
- Croissance nordique Inc. ne peut utiliser les renseignements personnels d’une personne que pour les raisons indiquées aux présentes ou pour toutes autres raisons fournies lors de la collecte. Dès que Croissance nordique Inc. veut utiliser ces renseignements pour une autre raison ou une autre fin, un nouveau consentement devra être obtenu de la personne concernée, lequel devra être obtenu de façon expresse s’il s’agit d’un renseignement personnel sensible. Cependant, dans certains cas prévus par la loi, Croissance nordique Inc. peut utiliser les renseignements à des fins secondaires sans le consentement de la personne, p. ex. :
- lorsque cette utilisation est manifestement au bénéfice de cette personne;
- lorsque cela est nécessaire pour prévenir ou détecter une fraude;
- lorsque cela est nécessaire pour évaluer ou améliorer des mesures de protection et de sécurité.
- Croissance nordique Inc. doit mettre en place des mesures pour limiter l’accès à un renseignement personnel seulement aux employés et aux personnes au sein de son organisation qui ont la qualité pour en prendre connaissance et pour qui ce renseignement est nécessaire dans l’exercice de leurs fonctions. Croissance nordique Inc. demandera le consentement de la personne avant d’accorder l’accès à toute autre personne.
Communication :
- Généralement, et à moins d’une exception indiquée dans la présente politique ou autrement prévue par la loi, Croissance nordique Inc. obtiendra le consentement de la personne concernée avant de communiquer ses renseignements personnels à un tiers. De plus, lorsque le consentement est nécessaire et lorsqu’il s’agit d’un renseignement personnel sensible, Croissance nordique Inc. devra obtenir le consentement explicite de la personne avant de communiquer le renseignement.
- Cependant, la communication des renseignements personnels à des tiers est parfois nécessaire. Ainsi, des renseignements personnels peuvent être communiqués à des tiers sans le consentement de la personne concernée dans certains cas, notamment, mais non exclusivement, dans les cas suivants:
- Croissance nordique Inc. peut communiquer un renseignement personnel, sans le consentement de la personne concernée, à un organisme public (comme le gouvernement) qui, par un de ses représentants, le recueille dans l’exercice de ses attributions ou la mise en œuvre d’un programme dont il a la gestion.
- Si cela est nécessaire aux fins de la conclusion d’une transaction commerciale, Croissance nordique Inc. pourrait également communiquer un renseignement personnel, sans le consentement de la personne concernée, à l’autre partie de la transaction et sous réserve des conditions prévues par la loi.
- CONSERVATION ET DESTRUCTION DES RENSEIGNEMENTS PERSONNELS
Sauf si une durée minimale de conservation est requise par la loi ou la réglementation applicable, Croissance nordique Inc. ne conservera les renseignements personnels que pour la durée nécessaire à la réalisation des fins pour lesquelles ils ont été collectés.
Les renseignements personnels utilisés par Croissance nordique Inc. pour prendre une décision relative à l’emploi d’une personne doivent être conservés durant une période d’au moins un an suivant la décision en question ou même sept années après la fin de l’année fiscale où la décision a été prise si celle-ci a des incidences fiscales, par exemple, les circonstances d’une fin d’emploi.
À la fin de la durée de conservation ou lorsque les renseignements personnels ne sont plus nécessaires, Croissance nordique Inc. s’assurera :
- de les détruire; ou
- de les anonymiser (c’est-à-dire qu’ils ne permettent plus, de façon irréversible, d’identifier la personne et qu’il n’est plus possible d’établir un lien entre la personne et les renseignements personnels) pour les utiliser à des fins sérieuses et légitimes.
La destruction de renseignements par Croissance nordique Inc. doit être faite de façon sécuritaire, afin d’assurer la protection de ces renseignements.
- RESPONSABILITÉS
De manière générale, Croissance nordique Inc. est responsable de la protection des renseignements personnels qu’elle détient.
Le responsable de la protection des renseignements personnels de Croissance nordique Inc. est la personne propriétaire de l’entreprise. Elle doit, de façon générale, veiller à assurer le respect de la législation applicable concernant la protection des renseignements personnels. La responsable doit approuver les politiques et pratiques encadrant la gouvernance des renseignements personnels. Plus particulièrement, cette personne est chargée de mettre en œuvre la présente politique et de veiller à ce qu’elle soit connue, comprise et appliquée.
Les membres du personnel de Croissance nordique Inc. ayant accès à des renseignements personnels ou étant autrement impliqués dans la gestion de ceux-ci doivent en assurer leur protection et respecter la présente politique.
- SÉCURITÉ DES DONNÉES
Croissance nordique Inc. s’engage à mettre en place des mesures de sécurité raisonnables pour assurer la protection des renseignements personnels qu’elle gère. Les mesures de sécurité en place correspondent, entre autres, à la finalité, à la quantité, à la répartition, au support et à la sensibilité des renseignements. Ainsi, cela signifie qu’un renseignement pouvant être qualifié de sensible (voir la définition prévue à la section 3) devra faire l’objet de mesures de sécurité plus importantes et devra être mieux protégé. Notamment, et conformément à ce qui a été mentionné précédemment concernant l’accès limité aux renseignements personnels, Croissance nordique Inc. doit mettre en place des mesures nécessaires pour imposer des contraintes aux droits d’utilisation de ses systèmes d’information de manière à ce que seuls les employés qui doivent y avoir accès soient autorisés à y accéder.
- DROITS D’ACCÈS, DE RECTIFICATION ET DE RETRAIT DU CONSENTEMENT
Pour faire valoir ses droits d’accès, de rectification ou de retrait du consentement, la personne concernée doit soumettre une demande écrite à cet effet au responsable de la protection des renseignements personnels de Croissance nordique Inc., à l’adresse courriel indiquée à la section suivante.
Sous réserve de certaines restrictions légales, les personnes concernées peuvent demander l’accès à leurs renseignements personnels détenus par Croissance nordique Inc. et en demander leur correction dans le cas où ils sont inexacts, incomplets ou équivoques.
La responsable de la protection des renseignements personnels de Croissance nordique Inc. doit répondre par écrit à ces demandes dans les 30 jours de la date de réception de la demande. Tout refus doit être motivé et accompagné de la disposition légale justifiant le refus. Dans ces cas, la réponse doit indiquer les recours en vertu de la loi et le délai pour les exercer. La responsable doit aider le requérant à comprendre le refus au besoin.
Sous réserve des restrictions légales et contractuelles applicables, les personnes concernées peuvent retirer leur consentement à la communication ou à l’utilisation des renseignements recueillis.
Elles peuvent également demander à Croissance nordique Inc. quels sont les renseignements personnels recueillis auprès d’elle, les catégories de personnes chez Croissance nordique Inc. qui y ont accès et leur durée de conservation.
- PROCESSUS DE TRAITEMENT DE PLAINTE
Réception
Toute personne qui souhaite formuler une plainte relative à l’application de la présente politique ou, plus généralement, à la protection de ses renseignements personnels par Croissance nordique Inc., doit le faire par écrit en s’adressant au responsable de la protection des renseignements personnels de Croissance nordique Inc., à l’adresse courriel indiquée à la section suivante.
L’individu devra indiquer son nom, ses coordonnées pour le joindre, incluant un numéro de téléphone, ainsi que l’objet et les motifs de sa plainte, en donnant suffisamment de détails pour que celle-ci puisse être évaluée par Croissance nordique Inc.. Si la plainte formulée n’est pas suffisamment précise, la responsable de la protection des renseignements personnels peut requérir toute information additionnelle qu’il juge nécessaire pour pouvoir évaluer la plainte.
Traitement
Croissance nordique Inc. s’engage à traiter toute plainte reçue de façon confidentielle. Dans les 30 jours suivant la réception de la plainte ou suivant la réception de tous les renseignements additionnels jugés nécessaires et requis par la responsable de la protection des renseignements personnels de Croissance nordique Inc. pour pouvoir la traiter, cette dernière doit l’évaluer et formuler une réponse motivée écrite par courriel, au plaignant. Cette évaluation visera à déterminer si le traitement des renseignements personnels par Croissance nordique Inc. est conforme à la présente politique, à toute autre politique et pratique en place au sein de l’organisation et à la législation ou réglementation applicable.
Dans le cas où la plainte ne peut être traitée dans ce délai, le plaignant doit être informé des motifs justifiant l’extension de délai, de l’état d’avancement du traitement de sa plainte et du délai raisonnable nécessaire pour pouvoir lui fournir une réponse définitive.
Croissance nordique Inc. doit constituer un dossier distinct pour chacune des plaintes qui lui sont adressées. Chaque dossier contient la plainte, l’analyse et la documentation à l’appui de son évaluation, ainsi que la réponse envoyée à la personne à l’origine de la plainte.
Il est également possible de déposer une plainte auprès de la Commission d’accès à l’information du Québec ou à tout autre organisme de surveillance en matière de protection des renseignements personnels responsable de l’application de la loi concernée par l’objet de la plainte.
Toutefois, Croissance nordique Inc. invite toute personne intéressée à s’adresser d’abord à sa responsable de la protection des renseignements personnels et à attendre la fin du processus de traitement par Croissance nordique Inc..
- PROCESSUS DE TRAITEMENT DES INCIDENTS DE CONFIDENTIALITÉ ET DE SÉCURITÉ
Obligations légales
Conformément à la section I.1 de Loi sur la protection des renseignements personnels dans le secteur privé (articles 3.1 à 3.8), une personne qui exploite une entreprise et qui a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent. De plus, si l’incident présente un risque qu’un préjudice sérieux soit causé, elle doit, avec diligence, aviser la Commission d’accès à l’information instituée par l’article 103 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1). Elle doit également aviser toute personne dont un renseignement personnel est concerné par l’incident. Elle peut également aviser toute personne ou tout organisme susceptible de diminuer ce risque, en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. Dans ce dernier cas, la responsable de la protection des renseignements personnels doit enregistrer la communication.
On entend par «incident de confidentialité-sécurité» la survenance de l’une ou l’autre des situations suivantes :
- l’accès non autorisé par la loi à un renseignement personnel ;
- l’utilisation non autorisée par la loi d’un renseignement personnel ;
- la communication non autorisée par la loi d’un renseignement personnel ;
- la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
Procédure de gestion d’un incident de confidentialité
Lorsqu’un incident de confidentialité survient chez Croissance nordique Inc., la procédure déployée s’appuie sur les exigences présentées aux articles 3.1 à 3.8 de la Loi sur la protection des renseignements personnels dans le secteur privé.
Les étapes qui suivent peuvent être réalisées simultanément.
1. Évaluer la situation.
Si Croissance nordique Inc. a des raisons de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’il détient, il devra notamment :
- Établir les circonstances de l’incident;
- Identifier les renseignements personnels impliqués;
- Identifier les personnes concernées;
- Trouver la cause du problème.
2. Diminuer les risques.
Croissance nordique Inc. devra ensuite prendre rapidement les mesures raisonnables qui s’imposent afin de diminuer les risques qu’un préjudice, qu’il soit sérieux ou non, ne soit causé et pour éviter que de nouveaux incidents de même nature ne surviennent, par exemple :
- Cesser la pratique non autorisée;
- Récupérer ou exiger la destruction des renseignements personnels impliqués;
- Corriger les lacunes informatiques.
3. Identifier la nature du préjudice.
L’objectif consiste à déterminer s’il faut aviser la Commission d’accès à l’information du Québec et les personnes concernées, ainsi qu’établir les mesures à mettre en place pour diminuer les risques identifiés.
4. Évaluer la gravité du risque de préjudice.
Pour évaluer la gravité du risque de préjudice pour les personnes concernées, Croissance nordique Inc. doit considérer, notamment :
- la sensibilité des renseignements concernés;
- les conséquences appréhendées de leur utilisation;
- la probabilité qu’ils soient utilisés à des fins préjudiciables.
Si l’évaluation porte à croire que le risque de préjudice est sérieux, Croissance nordique Inc. :
- Devra viser la Commission d’accès à l’information du Québec dès que possible, et remplir la déclaration par la suite.
- Devra aviser toute personne dont un renseignement personnel est concerné par l’incident, à moins que cet avis ne soit susceptible d’entraver une enquête. Un délai peut s’appliquer entre le moment où Croissance nordique Inc. prend connaissance de l’incident et celui où il en avise les personnes concernées. Ce délai peut être nécessaire afin, par exemple, d’identifier les renseignements personnels impliqués, les personnes concernées, la faille de sécurité et pour colmater celle-ci ou pour éviter d’entraver une enquête en cours.
- Pourra aussi aviser toute personne ou tout organisme susceptible de diminuer ce risque. À cette fin, il ne peut lui communiquer que les renseignements personnels qui sont nécessaires à la poursuite de cet objectif. L’obtention du consentement de la personne concernée par les renseignements transmis n’est pas requise. Toutefois, la personne responsable de la protection des renseignements personnels doit enregistrer la communication pour garder des traces documentaires de celle-ci comme :
- À qui ces renseignements sont communiqués;
- Dans quelles circonstances;
- Quels renseignements ont été transmis;
- Quels sont les objectifs de cette démarche.
- APPROBATION
La présente politique est approuvée par la responsable de la protection des renseignements personnels de Croissance nordique Inc., dont les coordonnées d’affaires sont les suivantes :
Marie-Pier Dufour
Croissance nordique Inc.
1200, 3e avenue
Val-d’Or, Québec, J9P 1V1
mp.dufour@croissancenordique.com
Pour toute demande, question ou commentaire dans le cadre de la présente politique, veuillez communiquer avec la responsable par courriel.
- PUBLICATION ET MODIFICATIONS
La présente politique est publiée sur le site internet de Croissance nordique Inc., ainsi que sur tous les sites internet contrôlés et maintenus par Croissance nordique Inc., auxquels s’applique la présente politique, et ce, relativement aux renseignements personnels qui y sont recueillis. Cette politique est également diffusée par tout moyen propre à atteindre les personnes concernées.
Croissance nordique Inc. doit également faire de même pour toutes les modifications à la présente politique, lesquelles devront également faire l’objet d’un avis pour en informer les personnes concernées.