Boisaco inc.
Adoptée le : 06/12/2023
Groupe Boisaco
Adoptée le : 06/12/2023
Unisaco
Adoptée le : 05/12/2023
Cofor
Adoptée le : 15/12/2023
Ripco inc.
Adoptée le : 14/03/2024
Granulco inc.
Adoptée le : 12/12/2023
Responsable de la protection des renseignements personnels :
Vicky Savard
Contrôleure des services financiers
648, chemin du Moulin
Sacré-Coeur (Québec) G0T 1Y0
CONTEXTE
La présente politique vise à assurer la protection des renseignements personnels et à encadrer la manière dont le Groupe Boisaco les collecte, les utilise, les communique, les conserve et les détruit ou dont, autrement, elle les gère. De plus, elle vise à informer toute personne intéressée sur la manière dont le Groupe Boisaco traite leurs renseignements personnels.
APPLICATION ET DÉFINITION
Cette politique s’applique à tous les travailleurs du Groupe Boisaco qu’ils soient à temps plein ou à temps partiel, temporaires ou permanents, ses dirigeants et ses administrateurs, ainsi que les travailleurs potentiels qui sont dans le processus de recrutement.
Pour l’application de la présente politique, un renseignement personnel est un renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier. Par exemple, il pourrait s’agir du nom, de l’adresse, de l’adresse courriel, du numéro de téléphone, du genre ou de renseignements bancaires d’une personne, de renseignements sur sa santé, son origine ethnique, sa langue, etc.
Un renseignement personnel sensible est un renseignement envers lequel il y a un haut degré d’atteinte raisonnable en matière de vie privée, par exemple les renseignements de santé, renseignements bancaires, renseignements biométriques, orientation sexuelle, origine ethnique, opinions politiques, croyances religieuses ou philosophiques, etc.
De manière générale, les coordonnées professionnelles ou d’affaires d’une personne ne constituent pas des renseignements personnels, par exemple le nom, le titre, l’adresse, l’adresse courriel ou le numéro de téléphone au travail d’une personne. Plus particulièrement et par souci de précision, au sens de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, et à compter du 22 septembre 2023, les sections 3 (collecte, utilisation, communication), 4 (conservation et destruction) et 6 (sécurité des données) ne s’appliquent pas aux renseignements d’une personne relatifs à l’exercice d’une fonction dans une entreprise, tels que son nom, son titre, sa fonction, ainsi que l’adresse, l’adresse courriel et le numéro de téléphone de son lieu de travail.
Ces mêmes paragraphes ne s’appliquent pas non plus à un renseignement personnel qui a un caractère public en vertu de la loi, et ce, dès l’entrée en vigueur de la présente politique.
COLLECTE, UTILISATION ET COMMUNICATION
Dans le cadre de ses activités, le Groupe Boisaco peut collecter différents types de renseignements, et ce, à différentes fins.
CONSENTEMENT :
De façon générale, Ie Groupe Boisaco collecte les renseignements personnels directement auprès de la personne concernée et avec son consentement, sauf si une exception est prévue par la loi. Le consentement peut être obtenu de façon implicite dans certaines situations, par exemple, lorsque la personne décide de fournir ses renseignements personnels dans le cadre du processus de recrutement, cela inclut les CV, les lettres de motivation, etc. Ainsi, la présente politique et les informations qu’elle contient pourront être consultées par la personne concernée au moment de la collecte de renseignements personnels.
COLLECTE :
Dans tous les cas, le Groupe Boisaco ne collecte des renseignements que s’il a une raison valable de le faire. De plus, la collecte ne sera limitée qu’au renseignement nécessaire dont il a besoin pour remplir l’objectif visé.
DÉTENTION ET UTILISATION :
Le Groupe Boisaco a mis en place des mesures pour limiter l’accès à un renseignement personnel seulement aux employés et aux personnes au sein de son organisation qui ont la qualité pour en prendre connaissance et pour qui ce renseignement est nécessaire dans l’exercice de leurs fonctions.
COMMUNICATION :
Généralement, et à moins d’une exception indiquée dans la présente politique ou autrement prévue par la loi, le Groupe Boisaco obtiendra le consentement de la personne concernée avant de communiquer ses renseignements personnels à un tiers. De plus, lorsque le consentement est nécessaire et lorsqu’il s’agit d’un renseignement personnel sensible, le Groupe Boisaco devra obtenir le consentement explicite de la personne avant de communiquer le renseignement.
Une personne physique peut consentir de manière expresse ou explicite, c’est-à-dire par un geste concret, verbal ou écrit qui exprime clairement sa volonté, par exemple :
- remplir un formulaire,
- répondre par l’affirmative à une question,
- apposer sa signature,
- effectuer une déclaration devant témoin.
C’est le cas pour l’ouverture du dossier de l’assurance collective et du dossier d’épargne-retraite collective chez Desjardins Assurances et de l’ouverture du dossier du régime (REER) collectif chez Fiducie Desjardins.
Dans ces cas la communication des renseignements personnels à des tiers est nécessaire. Cependant, des renseignements personnels peuvent être communiqués à des tiers sans le consentement de la personne concernée, notamment pour se conformer aux organismes gouvernementaux ou autres organismes chargés de l’application de la loi.
CONSERVATION ET DESTRUCTION DES RENSEIGNEMENTS PERSONNELS
Sauf si une durée minimale de conservation est requise par la loi ou la réglementation applicable, le Groupe Boisaco ne conservera les renseignements personnels que pour la durée nécessaire à la réalisation des fins pour lesquelles ils ont été collectés.
Les renseignements personnels utilisés par le Groupe Boisaco pour prendre une décision relative à une personne doivent être conservés durant une période d’au moins un an suivant la décision en question ou même sept années après la fin de l’année fiscale où la décision a été prise si celle-ci a des incidences fiscales, par exemple, les circonstances d’une fin d’emploi.
À la fin de la durée de conservation ou lorsque les renseignements personnels ne sont plus nécessaires, le Groupe Boisaco s’assurera de les détruire de façon sécuritaire, afin d’assurer la protection de ces renseignements ou de les anonymiser (c’est-à-dire qu’ils ne permettent plus, de façon irréversible, d’identifier la personne et qu’il n’est plus possible d’établir un lien entre la personne et les renseignements personnels) pour les utiliser à des fins sérieuses et légitimes.
RESPONSABILITÉS DU GROUPE BOISACO
De manière générale, le Groupe Boisaco est responsable de la protection des renseignements personnels qu’elle détient.
Le responsable de la protection des renseignements personnels du Groupe Boisaco est le directeur ou la directrice ou le contrôleur ou la contrôleuse, le cas échéant, des services financiers de l’organisation. Il ou elle doit, de façon générale, veiller à assurer le respect de la législation applicable concernant la protection des renseignements personnels. Plus particulièrement, cette personne est chargée de mettre en oeuvre la présente politique et de veiller à ce qu’elle soit connue, comprise et appliquée. En cas d’absence ou d’impossibilité d’agir de ce responsable, le président du Groupe Boisaco assurera les fonctions du responsable de la protection des renseignements personnels. Les conseils d’administration concernés doivent approuver les politiques et pratiques encadrant la gouvernance des renseignements personnels.
Les travailleurs du Groupe Boisaco ayant accès à des renseignements personnels ou étant autrement impliqués dans la gestion de ceux-ci doivent en assurer leur protection et respecter la présente politique.
Les rôles et les responsabilités des travailleurs du Groupe Boisaco tout au long du cycle de vie des renseignements personnels peuvent être précisés par toute autre politique.
SÉCURITÉ DES DONNÉES
Le Groupe Boisaco s’engage à mettre en place des mesures de sécurité raisonnables pour assurer la protection des renseignements personnels qu’elle gère. Les mesures de sécurité en place correspondent, entre autres, à la finalité, à la quantité, à la répartition, au support et à la sensibilité des renseignements. Ainsi, cela signifie qu’un renseignement pouvant être qualifié de sensible (voir la définition prévue à la section APPLICATION ET DÉFINITION) devra faire l’objet de mesures de sécurité plus importantes et devra être mieux protégé. Notamment, et conformément à ce qui a été mentionné précédemment concernant l’accès limité aux renseignements personnels, le Groupe Boisaco doit mettre en place des mesures nécessaires pour imposer des contraintes aux droits d’utilisation de ses systèmes d’information de manière à ce que seuls les travailleurs qui doivent y avoir accès soient autorisés à y accéder.
DROITS D’ACCÈS, DE RECTIFICATION ET DE RETRAIT DE CONSENTEMENT
Pour faire valoir ses droits d’accès, de rectification ou de retrait du consentement, la personne concernée doit soumettre une demande écrite à cet effet au responsable de la protection des renseignements personnels du Groupe Boisaco, à l’adresse courriel indiquée sur la page couverture.
Sous réserve de certaines restrictions légales, les personnes concernées peuvent demander l’accès à leurs renseignements personnels détenus par le Groupe Boisaco et en demander leur correction dans le cas où ils sont inexacts, incomplets ou équivoques. Elles peuvent également exiger la cessation de la diffusion d’un renseignement personnel qui les concerne ou que soit désindexé tout hyperlien rattaché à leur nom permettant d’accéder à ce renseignement par un moyen technologique, lorsque la diffusion de ce renseignement contrevient à la loi ou à une ordonnance judiciaire. Elles peuvent faire de même, ou encore exiger que l’hyperlien permettant d’accéder à ce renseignement soit réindexé, lorsque certaines conditions prévues par la loi sont réunies.
Le responsable de la protection des renseignements personnels du Groupe Boisaco doit répondre par écrit à ces demandes dans les 30 jours de la date de réception de la demande. Tout refus doit être motivé et accompagné de la disposition légale justifiant le refus. Dans ces cas, la réponse doit indiquer les recours en vertu de la loi et le délai pour les exercer. Le responsable doit aider le requérant à comprendre le refus au besoin.
Sous réserve des restrictions légales et contractuelles applicables, les personnes concernées peuvent retirer leur consentement à la communication ou à l’utilisation des renseignements recueillis.
Elles peuvent également demander à la personne responsable quels sont les renseignements personnels recueillis auprès d’elle, les catégories de personnes du Groupe Boisaco qui y ont accès et leur durée de conservation.
PROCESSUS DE TRAITEMENT DES PLAINTES
RÉCEPTION
Toute personne qui souhaite formuler une plainte relative à l’application de la présente politique ou, plus généralement, à la protection de ses renseignements personnels par le Groupe Boisaco, doit le faire par écrit en s’adressant au responsable de la protection des renseignements personnels du Groupe Boisaco, à l’adresse courriel indiquée sur la page couverture du présent document.
L’individu devra indiquer son nom, ses coordonnées pour le joindre, incluant un numéro de téléphone, ainsi que l’objet et les motifs de sa plainte, en donnant suffisamment de détails pour que celle-ci puisse être évaluée par le Groupe Boisaco. Si la plainte formulée n’est pas suffisamment précise, le responsable de la protection des renseignements personnels peut requérir toute information additionnelle qu’il juge nécessaire pour pouvoir évaluer la plainte.
TRAITEMENT
Le Groupe Boisaco s’engage à traiter toute plainte reçue de façon confidentielle.
Dans les 30 jours suivant la réception de la plainte ou suivant la réception de tous les renseignements additionnels jugés nécessaires et requis par le responsable de la protection des renseignements personnels du Groupe Boisaco pour pouvoir la traiter, ce dernier doit l’évaluer et formuler une réponse motivée écrite par courriel, au plaignant. Cette évaluation visera à déterminer si le traitement des renseignements personnels par le Groupe Boisaco est conforme à la présente politique, à toute autre politique et pratique en place au sein de l’organisation et à la législation ou réglementation applicable.
Dans le cas où la plainte ne peut être traitée dans ce délai, le plaignant doit être informé des motifs justifiant l’extension de délai, de l’état d’avancement du traitement de sa plainte et du délai raisonnable nécessaire pour pouvoir lui fournir une réponse définitive.
Le Groupe Boisaco doit constituer un dossier distinct pour chacune des plaintes qui lui sont adressées. Chaque dossier contient la plainte, l’analyse et la documentation à l’appui de son évaluation, ainsi que la réponse envoyée à la personne à l’origine de la plainte.
Il est également possible de déposer une plainte auprès de la Commission d’accès à l’information du Québec ou à tout autre organisme de surveillance en matière de protection des renseignements personnels responsable de l’application de la loi concernée par l’objet de la plainte.
Toutefois, le Groupe Boisaco invite toute personne intéressée à s’adresser d’abord à son responsable de la protection des renseignements personnels.
PUBLICATION ET MODIFICATION
La présente politique est publiée sur tous les sites internet contrôlés et maintenus par le Groupe Boisaco, auxquels s’applique la présente politique, et ce, relativement aux renseignements personnels qui y sont recueillis. Cette politique est également diffusée par tout moyen propre à atteindre les personnes concernées.
Le Groupe Boisaco doit également faire de même pour toutes les modifications à la présente politique, lesquelles devront également faire l’objet d’un avis pour en informer les personnes concernées.
*Notes : Veuillez noter que l’emploi du genre masculin a pour but d’alléger la présente politique et d’en faciliter la lecture.