Politique de protection des informations


Propriétaire de la politiqueSupport TI
Approbateur(s) de la politiqueIsabelle Mailloux
Guillaume Tran Van Hoï
Politiques connexesPolitique de réponse aux incidents
Formations de cybersécurité et de sensibilisation à l’utilisation des renseignements personnels sur CIRA
Procédures connexesProcédure d’aide au consentement
Avis à la commission d’accès à l’information
Outil d’évaluation des impacts sur la protection des données (EFVP)
Date effective22 septembre 2023
Date de la prochaine révision22 septembre 2024


But

Groupe Lebel reconnaît que dans le cadre de nos opérations, nous devons collecter et traiter des données. L'objectif de cette politique est de décrire comment les données personnelles doivent être collectées, traitées et stockées pour répondre aux normes de protection des données du Groupe Lebel, se conformer aux lois en vigueur sur la confidentialité et la protection des données et respecter les droits individuels. Le but de cette politique est le suivant :

  •  Respecter les lois sur la protection des données et suivre les meilleures pratiques.
  • Protéger les droits du personnel, des clients et de toute personne concernée.
  • Assurer la transparence sur la manière dont Groupe Lebel collecte, stocke et traite les données des individus.


Portée

Cette politique de protection des données s'applique à tous les processus commerciaux, systèmes et composants d'information, personnel et zones physiques du Groupe Lebel et de ses filiales. Cette politique s'applique à la collecte, au traitement, au stockage et à la manipulation des données personnelles et à toute autre procédure liée aux données personnelles de tout individu sous forme électronique et manuelle.

Les individus ou les groupes auxquels cette politique s'applique incluent, mais ne sont pas limités à :

  • Cadres, vice-présidents et administrateurs
  • Tous les employés, qu'ils soient employés à temps plein ou à temps partiel, par Groupe Lebel
  • Tous les employés précédents, qu'ils soient employés à temps plein ou à temps partiel, par Groupe Lebel
  • Tous les candidats à des postes chez Groupe Lebel
  • Tous les sous-traitants, fournisseurs et autres personnes travaillant pour le compte de Groupe Lebel
  • Tous les clients de Groupe Lebel
  • Toute autre personne concernée identifiée dans le cours normal des affaires par Groupe Lebel


Définitions

Données : informations dans un format qui peut être traité, y compris les données électroniques et les données physiques.

Données personnelles : Toute information relative à une personne physique concernée qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments propres à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne. Ces données peuvent être un nom, une adresse e-mail, des données de géolocalisation ou même un nom d'utilisateur ou une adresse IP.

Données personnelles sensibles : toutes les données personnelles qui se rapportent à, ou peuvent être spécifiquement attribuées à un individu, qui révèlent des informations de la nature sensible suivante : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, orientation sexuelle, informations personnelles sur la santé.

Personne concernée : Une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques à la physique, l'identité physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne.

Consentement : le consentement est toute indication librement donnée, spécifique, informée et non ambiguë de la volonté d'une personne concernée par laquelle la personne concernée, soit par une déclaration, soit par une action affirmative claire, signifie son accord pour le traitement des données personnelles la concernant.

Responsable du traitement : la personne physique ou morale, l'autorité publique, l'entreprise ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données personnelles.

Sous-traitant : une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui traite des données personnelles pour le compte du responsable du traitement.

Traitement des données : Toute opération ou ensemble d'opérations effectuées sur des données personnelles ou des ensembles de données personnelles, par des moyens automatisés ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, divulgation par transmission, diffusion ou autre mise à disposition, alignement ou combinaison, restriction, effacement ou destruction.

Stockage des données : ces règles décrivent comment et où les données doivent être stockées en toute sécurité. Les questions sur le stockage des données en toute sécurité peuvent être adressées au responsable informatique ou au responsable de la protection des données.


Lois, réglementations et normes applicables

ConseilsClarification/Section
Loi modernisant des dispositions en matière de protection des renseignements personnels, LQ 2021, c 25Loi Québécoise sur la protection des renseignements personnels
Loi sur la protection des renseignements personnels et les documents électroniquesLoi canadienne sur la confidentialité des données
Règlement général sur la protection des données (RGPD) 2016/679Règlement de l'Union européenne (UE) sur la protection des données


Partage de renseignements personnels

Groupe Lebel peut partager des renseignements à votre sujet des clients, des clients potentiels, des partenaires ou des conseillers en rapport avec des transactions, la prestation de services, une collaboration dans le cadre de projets commerciaux, ou encore en lien avec leurs conseils ou leur assistance.

Lorsque nous choisissons nos fournisseurs et partenaires, nous tenons compte de leurs processus de traitement des données.

Dans certaines circonstances, les renseignements personnels peuvent être soumis à la divulgation des renseignements personnels à des organismes gouvernementaux afin de se conformer à une décision judiciaire, à une ordonnance de la cour ou à un acte de procédure. Dans certains cas, Groupe Lebel peut divulguer des renseignements personnels à des organismes de réglementation. Il peut également partager vos renseignements personnels afin de protéger ses droits ou sa propriété, ou encore les droits et la propriété de ses partenaires commerciaux, fournisseurs, clients et autres parties, lorsqu'elle a des motifs raisonnables de croire que de tels droits ou propriété ont été ou pourraient être lésés.


Vos droits

Vous possédez certains droits en ce qui concerne le traitement de vos renseignements personnels. Vous pouvez consulter le contenu de ce document afin de connaître les règles en place au sein de Groupe Lebel, mais également de :

  • Demander un accès, la rectification et la suppression de vos renseignements personnels que nous possédons à votre sujet ou que nous avons mis à jour. Vous pouvez, selon la loi applicable, avoir des droits supplémentaires en ce qui concerne vos renseignements personnels.
  • Poser des questions au sujet du présent document relatif à la protection des renseignements personnels et aux pratiques qui en découlent. Votre message est acheminé aux membres appropriés de l'équipe responsable de la protection des renseignements personnels de Groupe Lebel, notamment les délégués à la protection des données.
  • Déposer une plainte auprès de Groupe Lebel si vous n'êtes pas satisfait de la manière dont Groupe Lebel traite vos renseignements personnels.

Vos droits peuvent être soumis à des limitations et des exceptions découlant des lois applicables. À titre d'exemple, il peut y avoir des situations dans lesquelles nous ne pouvons pas partager certains renseignements que vous demandez si le fait de les divulguer signifie divulguer des renseignements au sujet d'autres personnes.


Énoncés de politique

Exigences de base :

  • Les employés garderont toutes les données en sécurité en prenant des précautions raisonnables et en suivant les directives décrites dans cette politique et toutes les procédures associées.
  • Les données ne seront pas partagées de manière informelle ; les niveaux d'accès aux données définis seront déterminés en fonction du rôle et des contrôles d'accès existants.
  • Groupe Lebel offrira une formation à tous les employés pour les aider à comprendre leurs responsabilités lors du traitement des données.
  • Les données personnelles ne seront divulguées à aucune personne non autorisée, que ce soit au sein de l'organisation ou à l'extérieur.

Collecte de données :

  • Groupe Lebel et les utilisateurs ou partenaires associés collecteront les données personnelles de manière totalement transparente pour les personnes concernées et conformément à la loi.
  • Les utilisateurs s'abstiendront de collecter sciemment des données personnelles de toute personne concernée sans l'autorisation du responsable direct ou du responsable de la protection des données.
  • Si des données personnelles sont collectées auprès d'une personne autre que la personne concernée, la personne concernée sera informée de la collecte, sauf si l'un des critères suivants s'applique :
    • La personne concernée a reçu les informations requises par d'autres moyens.
    • Les informations doivent rester confidentielles en raison d'une obligation de secret professionnel.
    • Une loi nationale prévoit expressément la collecte, le traitement ou le transfert des données personnelles.
  • Lorsqu'il est déterminé que la notification de la personne concernée est requise, la notification doit être effectuée rapidement et respecter les directives de la procédure d’aide au consentement.
  • Si nécessaire, Groupe Lebel obtiendra le consentement des personnes concernées conformément à la procédure d’aide au consentement et moyennant l'autorisation du délégué à la protection des données.
  • Le consentement de la personne concernée sera fourni par écrit lorsque nécessaire.
  • Le ou les sites Web externes de Groupe Lebel comprendront un avis de confidentialité et un avis sur les cookies.

Stockage de données :

  • Lorsque les données sont stockées électroniquement, elles seront protégées contre les accès non autorisés, les suppressions accidentelles et les tentatives de piratage malveillant.
  • Groupe Lebel protègera les données personnelles avec des mots de passe forts.
  • Les utilisateurs s'abstiendront autant que possible d'utiliser des supports amovibles ; si les données sont stockées sur des supports amovibles, elles seront stockées en toute sécurité.
  • Les données de Groupe Lebel seront stockées sur des lecteurs et des serveurs désignés et ne seront téléchargées que vers des services de cloud computing approuvés.
  • Les serveurs contenant des données personnelles sont situés dans un endroit sécurisé.
  • Les utilisateurs s'abstiendront d'enregistrer des données directement sur les appareils.
  • Les utilisateurs s'abstiendront de stocker des données sur papier et n'imprimeront que lorsque cela est nécessaire.
  • Lorsqu'ils ne sont pas nécessaires, les documents ou dossiers doivent être conservés dans un tiroir, un classeur ou un local verrouillé.
  • Les utilisateurs de Groupe Lebel veilleront à ce que les documents papier ne soient pas laissés là où des personnes non autorisées pourraient les voir (par exemple, sur une imprimante).

Utilisation des données :

  • Le cas échéant, Groupe Lebel fournira à chaque personne concernée des informations concernant le traitement de ses informations.
  • Groupe Lebel tiendra compte du point de vue des personnes concernées lors du traitement des données personnelles.
  • Lorsqu'ils travaillent avec des données personnelles, les utilisateurs s'assurent que les écrans sont verrouillés lorsqu'ils sont laissés sans surveillance.
  • Groupe Lebel ne partagera pas de manière informelle des données personnelles à moins que des moyens de protection adéquats soient mis en œuvre.
  • Les utilisateurs se référeront au responsable ou au responsable de la protection des données s'il est prévu que des données personnelles soient transférées en dehors de la région des utilisateurs.
  • Dans la mesure du possible, les utilisateurs accéderont aux données personnelles via une copie maîtresse ou un ensemble de données.

Précision des données :

  • Groupe Lebel prendra des mesures raisonnables pour s'assurer que les données personnelles restent exactes dans toute l'organisation.
  • Tous les utilisateurs de Groupe Lebel prendront des mesures raisonnables pour s'assurer que les données personnelles sont conservées aussi exactes et à jour que possible.
  • Les données stockées chez Groupe Lebel seront conservées dans des emplacements centralisés. Les utilisateurs ne créeront pas d'ensembles de données supplémentaires inutiles.
  • Le cas échéant, Groupe Lebel veillera à ce que les personnes concernées puissent facilement mettre à jour leurs informations.

La conservation des données :

  • Les données seront régulièrement examinées par rapport à l’objectif pour lequel elles ont été recueillies. Si elles ne sont plus nécessaires, les données doivent être supprimées et éliminées.
  • Les documents papier seront déchiquetés et éliminés en toute sécurité lorsqu'ils ne seront plus nécessaires.

Protection des données :

  • Le personnel de sécurité utilisera les contrôles physiques et techniques nécessaires et les mesures organisationnelles pour s'assurer que toutes les infrastructures contenant des données sont protégées et sécurisées.
  • Les utilisateurs suivront les procédures associées et informeront le personnel concerné lors du signalement d'incidents ou de violations de données. Reportez-vous à la politique de réponse aux incidents pour plus de détails.

Fournir des informations - Demandes des personnes concernées :

  • Groupe Lebel veillera à ce que les demandes fondées sur chacun des droits des personnes concernées suivants puissent être satisfaites :
    • Opposition au traitement
    • Objection à la prise de décision automatisée et au profilage
    • Limitation du traitement
    • Portabilité des données
    • Rectification des données
    • Effacement des données
  • Groupe Lebel vise à s'assurer que les personnes sont conscientes que leurs données sont traitées et qu'elles comprennent :
    • Comment les données sont utilisées
    • Comment exercer ses droits
  • Sur demande, Groupe Lebel vérifiera l'identité de la personne concernée.
  • Les demandes de droits des personnes concernées seront gérées par le délégué à la protection des données.
  • Groupe Lebel répondra à chaque demande de personne concernée dans les 30 jours.
  • Lorsqu'une demande de la personne concernée ne peut pas être traitée de manière adéquate, les informations suivantes seront fournies à la personne concernée :
    • Un accusé de réception de la demande
    • Toute information localisée à ce jour
    • Détails de toute information ou modification demandée qui ne sera pas fournie à la personne concernée, la ou les raisons du refus et toute procédure disponible pour faire appel de la décision
    • Une date estimée à laquelle toutes les réponses restantes seront fournies
    • Une estimation des coûts à payer par la personne concernée (par exemple, lorsque la demande est de nature excessive)
    • Point de contact de Groupe Lebel


    Politiques et procédures pertinentes

    • Formations de cybersécurité et de sensibilisation à l’utilisation des renseignements personnels sur CIRA
    • Politique de réponse aux incidents
    • Procédure d’aide au consentement
    • Registre des incidents
    • Avis à la commission d’accès à l’information
    • Outil d’évaluation des impacts sur la protection des données (EFVP)


    Non-conformité

    Les violations de cette politique seront traitées comme d'autres allégations d'actes répréhensibles chez Groupe Lebel Les allégations d'inconduite seront tranchées conformément aux procédures établies. Les sanctions pour non-conformité peuvent inclure, mais sans s'y limiter, un ou plusieurs des éléments suivants :

    1. Mesures disciplinaires conformément aux politiques applicables du Groupe Lebel.
    2. Cessation d'emploi.
    3. Action en justice conformément aux lois applicables et aux accords contractuels.


    Historique des révisions

    ID de versionDate du changementAuteurRaisonnement
    1.022 septembre 2023Philippe LandryPremière version





    Avis

    En navigant sur ce site web, vous vous soumettez à la présence de cookies à des fins d’analyse seulement. Ces cookies ne récupèrent aucune donnée personnelle et sont nécessaires au bon fonctionnement du site web.