POLITIQUE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS
PRÉAMBULE
UAP inc., incluant ses entités affiliées (« UAP »), reconnaît l'importance de préserver la vie privée et s'engage à protéger les renseignements personnels qu'elle recueille et traite dans le cadre de ses activités.
OBJECTIF DE LA POLITIQUE
La Politique de protection des Renseignements personnels (la « Politique ») a pour objectif d'énoncer les principes qui encadrent les pratiques de protection des renseignements personnels (« PRP ») des personnes concernées et assurer que leurs droits sont respectés.
La Politique garantit le respect des exigences règlementaires applicables en décrivant les normes et les pratiques en matière de PRP appliquées par UAP :
APPLICATION
La Politique s'applique à tous les employés et employées et autres membres de l'équipe de UAP.
DÉFINITIONS
Anonymisation : Procédé permettant de faire en sorte qu'un Renseignement personnel ne permette plus, de façon irréversible, d'identifier directement ou indirectement une personne physique.
Renseignement personnel1 : Tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l'identifier.
Renseignement personnel sensible : Tout Renseignement personnel qui, par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré d'atteinte raisonnable en matière de vie privée.
Chef ou Cheffe de la protection des Renseignements personnels : Personne ayant la plus haute autorité au sein de l'entreprise pour assurer le respect et la mise en œuvre de la Loi sur la protection des renseignements personnels dans le secteur privé (« LPRPSP »).
RÔLE ET RESPONSABILITÉS
Le Chef ou la Cheffe de la protection des renseignements personnels encadre la gouvernance et veille à la mise en œuvre et au respect des dispositions législatives applicables pour la collecte, l'utilisation, la communication, la conservation et la disposition des Renseignements personnels au sein de UAP, conformément aux principes directeurs énoncés dans cette Politique.
1 Bien qu'ils constituent également des Renseignements personnels, les informations qui concernent l'exercice d'un emploi ou d'une fonction au sein d'une organisation, tels que le nom, titre, fonction de la personne, de même que l'adresse, l'adresse de courrier électronique et le numéro de téléphone au travail ne sont pas assujettis à cette Politique.
LES EXIGENCES EN MATIÈRE DE PRP
La Politique soutient l'engagement continu de UAP à respecter et à protéger la confidentialité des Renseignements personnels qu'elle recueille des personnes suivantes :
Les clients et clientes de UAP qui sont des personnes physiques (excluant les entreprises);
Les employés et employées passés, actuels et futurs de UAP;
Les visiteurs et visiteuses des sites Web de UAP;
Toute autre personne physique dont les Renseignements personnels sont recueillis ou traités dans le cadre des activités de UAP.
(Collectivement, les « Personnes concernées »)
Les principes directeurs
Les pratiques de PRP de UAP sont définies et appliquées en conformité avec les principes directeurs en matière de PRP suivants conformément aux lois applicables :
Responsabilité : UAP est responsable du traitement des Renseignements personnels qu'elle a en sa possession, y compris les renseignements qui sont confiés à des tiers. Un Chef ou une Cheffe de la protection des Renseignements personnels, dont les coordonnées se trouvent ci-dessous, a été nommé et s'assure que la Politique est appliquée et que UAP se conforme aux lois et règlements applicables relatifs à la PRP.
Identifier les finalités : UAP détermine les raisons pour lesquelles elle collecte, utilise, communique et conserve des Renseignements personnels avant de les recueillir. UAP s'assure de collecter uniquement les Renseignements personnels qui sont nécessaires pour répondre aux finalités prédéterminées.
Gérer la relation d'emploi, incluant la rémunération et les avantages sociaux, la formation, le développement professionnel et la gestion de la performance ;
Gérer les rapports de travail;
Gérer l'organisation et l'environnement de travail, des équipements et solutions ;
Communiquer avec les employés et candidats
Se conformer à nos exigences légales et réglementaires.
Évaluer les compétences, qualifications et intérêt afin de candidat pour déterminer l'éligibilité au poste à pouvoir au sein de UAP;
Confirmer l'identité des clients;
Traiter les commandes ou demandes (transactions, inscription à un compte en ligne, soutien à la clientèle et soutien technique, accès à certaines fonctionnalités de nos services, inscription à des évènements);
Gérer le dossier-client;
Consentement : À moins d'exceptions prévues dans la loi, pour pouvoir collecter, utiliser et communiquer les Renseignements personnels d'une personne concernée, UAP s'assure d'obtenir un consentement valide.
Collecte : UAP recueille les Renseignements personnels directement auprès de la personne concernée à moins d'avoir obtenu son consentement à ce que ses Renseignements personnels soient collectés auprès de tiers ou que la loi l'autorise à les collecter autrement.
La collecte des Renseignements personnels est limitée à ceux qui sont nécessaires pour les fins de ses activités.
Limitation de l'utilisation, de la communication et de la conservation : UAP s'assure que les Renseignements personnels qu'elle collecte soient utilisés ou communiqués uniquement aux fins pour lesquelles ils ont été recueillis et pour lesquelles la personne concernée a consenti, à moins que cette dernière donne son consentement aux nouvelles finalités ou à moins d'exceptions prévues dans la loi.
L'accès aux Renseignements personnels est limité aux personnes qui ont un besoin légitime d'y avoir accès dans l'exercice de leurs fonctions.
UAP conserve les données et documents comportant des RP pour la durée nécessaire à l'utilisation pour laquelle ils ont été recueillis et des délais de conservation imposés par la loi.
Lorsque les Renseignements personnels collectés ne sont plus nécessaires aux fins pour lesquelles ils ont été collectés, ou que l'échéance de conservation est atteinte, UAP s'assure de les détruire ou de les anonymiser, selon les procédures et processus définis. Un Renseignement personnel pourra être anonymisé seulement pour des fins sérieuses et légitimes, en conformité avec une procédure d'anonymisation approuvée par le Chef ou la Cheffe de la protection des Renseignements personnels afin de s'assurer que les meilleures pratiques ont été mises en place.
Exactitude : UAP s'assure de l'exactitude des Renseignements personnels recueillis et conservés dans le cadre de ses activités.
Mesures de sécurité : UAP met en place des mesures de sécurité proportionnelles à la sensibilité des Renseignements personnels qu'elle recueille afin de les protéger contre toute perte, accès, communication ou utilisation non autorisés, conformément à ses encadrements en matière de sécurité de l'information.
Transparence : UAP documente ses pratiques de gestion des Renseignements personnels de façon simple et claire et les rend accessibles sur ses sites Web. UAP fournit les informations prescrites à la Personne concernée lorsque la collecte est faite par l'entremise d'une technologie comprenant des fonctionnalités permettant de l'identifier, de la localiser ou d'effectuer un profilage l'utilisation de technologie.
Droits des personnes concernées : UAP déploie des procédures permettant de traiter les demandes suivantes :
Accès et rectification des Renseignements personnels : Une personne concernée peut faire une demande écrite à UAP afin de consulter les Renseignements personnels collectés la concernant, pour en vérifier l'exactitude, pour en demander la rectification au besoin et pour
connaitre les catégories de tiers à qui ils ont été communiqués, à moins d'exceptions prévues dans la loi.
Vous pouvez à tout moment demander l'accès ou la rectification de vos renseignements personnels, nous poser des questions sur le traitement de vos renseignements personnels au lien suivant
Ces demandes seront transmises au Chef ou à la Cheffe de la protection des Renseignements personnels pour traitement conformément à la loi.
Traitement automatisé : Un traitement automatisé est un processus qui permet d'utiliser les Renseignements personnels d'une personne en vue d'analyser et de prédire son comportement, par exemple, pour déterminer ses besoins.
Dans la mesure où UAP met en place un processus de décision exclusivement fondé sur un tel traitement, la personne concernée doit être informée qu'elle fait l'objet d'un tel processus, de la décision qui a été rendue et de son droit de présenter ses observations à l'égard de cette décision. Une personne concernée peut, sur demande à UAP, être informée des éléments suivants :
Des Renseignements personnels utilisés pour rendre cette décision;
Des raisons ayant mené à cette décision;
De son droit de faire rectifier les Renseignements personnels utilisés pour rendre cette décision.
Préoccupations et plaintes : Une personne concernée peut poser des questions et soulever des préoccupations à l'égard de ses Renseignements personnels. Elle peut également déposer une plainte à la suite du non-respect des principes énoncés dans la Politique. Toutes questions, préoccupations ou plaintes sont acheminées au Chef ou à la Cheffe de la protection des Renseignements personnels.
Une plainte peut être déposée une plainte relativement aux traitements des renseignements personnels en écrivant à l'adresse courriel suivante : secure_gpc@genpt.com.
GESTION DES RISQUES
UAP est responsable de tous les Renseignements personnels qu'elle détient, divulgue ou communique à des tiers. Pour s'assurer que ces Renseignements personnels bénéficient d'une protection adéquate, UAP déploie des mesures de protection, telles que :
La rédaction de clauses contractuelles permettant aux tiers de traiter les Renseignements personnels seulement pour des fins spécifiques et selon les meilleurs standards en matière de PRP.
L'élaboration d'une grille d'évaluation des facteurs relatifs à la vie privée (« EFVP »).
L'EFVP est un processus d'analyse qui permet aux personnes responsables de la collecte, de l'utilisation ou de la divulgation des Renseignements personnels d'évaluer les risques relatifs à la
protection de la vie privée associés à ces activités et d'élaborer des mesures visant à atténuer les risques déterminés.
Afin d'identifier les risques d'atteinte à la confidentialité des Renseignements personnels, UAP procède à des EFVP en conformité avec la loi. Une EFVP doit être réalisée dans les cas suivants :
Dans le cadre de l'acquisition, du développement, de la refonte d'un système d'information ou d'un projet de prestation de services électroniques impliquant la collecte, l'utilisation, la divulgation, la conservation ou la destruction de Renseignements personnels.
Lorsque des Renseignements personnels sont communiqués à un tiers à des fins de recherche.
Lorsque des Renseignements personnels concernés sont transférés à l'extérieur du Québec.
LA GESTION DES INCIDENTS DE CONFIDENTIALITÉ
Un incident de confidentialité s'entend de la perte, du vol, de l'accès non autorisé intentionnel ou par inadvertance, l'utilisation ou la divulgation non autorisée d'un Renseignement personnel.
Des mesures adéquates sont en place afin d'assurer la gestion des incidents de confidentialité, le tout conformément au Plan de gestion des incidents de confidentialité.
Lorsqu'un membre du personnel soupçonne ou prend connaissance d'un incident de confidentialité portant atteinte à la vie privée ou portant atteinte à la confidentialité de Renseignements personnels, un avis à cet effet doit être transmis sans délai au Chef ou à la Cheffe de la protection des Renseignements personnels.
Tout incident lié à la confidentialité doit être signalé le plus rapidement possible à l'équipe de sécurité du GPC à secure_gpc@genpt.com
L'équipe de sécurité de GPC se chargera ensuite d'analyser l'incident et de le faire remonter l'incident à la Cheffe de la PRP ou a toutes instances appropriées si requis.
LA FORMATION ET LA SENSIBILISATION
Les employés et employées s'engagent à traiter les Renseignements personnels conformément aux principes énoncés dans la Politique. Cet engagement est confirmé lors de la signature du contrat de travail, de service ou de partenariat et est renouvelé par une confirmation de l'adhésion à la Politique.
UAP met en place des initiatives de formation et utilise également des outils de communication internes pour sensibiliser les employés, employées et autres membres du personnel à la PRP.
LE CHEF OU LA CHEFFE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
La fonction de Chef ou Cheffe de la protection des Renseignements personnels de UAP a été attribuée à la personne suivante:
Caroline Tremblay, Cheffe de la protection des Renseignements personnels Courriel : info.personnel@uapinc.com
Afin de s'acquitter adéquatement de ses responsabilités et fonctions, le Chef ou la Cheffe de la protection des renseignements personnels peut s'adjoindre d'une équipe.
CONFORMITÉ
Le non-respect de la Politique peut entraîner des manquements au Code d'éthique de UAP et donner lieu à des mesures administratives ou disciplinaires. UAP pourra mettre fin à une entente qui la lie à un tiers ou à un sous-traitant qui ne se conforme pas à la Politique.
MISE EN ŒUVRE, SUIVI ET RÉVISION
La Politique entre en vigueur à la date de sa signature par le Chef ou la Cheffe de la protection des Renseignements personnels indiquée ci-dessous.