Politique relative à la protection des renseignements personnels
BUT ET ÉTENDUE
La présente politique relative à la protection des Renseignements personnels de Emballages SDI Inc. (« SDI ») énonce les lignes directrices et les règles spécifiques qui doivent être respectées par SDI relativement à la collecte, à l’utilisation, à la communication, à la conservation et à la destruction de tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier.
Aux fins de la présente politique, la notion de Renseignements personnels est définie par la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c. P-39.1 (la « LPRSP »). Cela inclut entre autres les nom, adresse, adresse de courriel, numéro de téléphone, renseignements bancaires, renseignements quant à l’emploi, à la santé ou autres.
La présente politique a pour objectif de fournir un cadre général en matière de protection des Renseignements personnels concernant les Employés, ses consultants et prestataires de services ainsi que les clients de SDI, ses fournisseurs et partenaires d’affaires, en conformité avec les lois et règlements applicables à SDI, et en particulier avec la LPRPSP, la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000 ch. 5 (« LPRPDE ») et, lorsqu’applicable, le Règlement général sur la protection des données1 (« RGPD »).
RESPONSABILITÉS
La Responsable de la protection des renseignements personnels doit s’assurer de l’application de cette politique. Elle doit notamment veiller à la mise en place des mesures visant à assurer le respect des règles établies dans la présente politique, à la gestion adéquate des Incidents de confidentialité, participer à la réalisation des Évaluations, établir un processus de traitement des demandes d’accès aux Renseignements personnels détenus par SDI et de traitement des plaintes concernant la protection des Renseignements personnels et publie sur le site internet de SDI des informations détaillées au sujet de la présente politique et de la collecte de Renseignements personnels par l’entremise de moyens technologiques.
POLITIQUE
1. QUI SONT LES PERSONNES CONCERNÉES PAR NOTRE POLITIQUE?
La présente politique s’applique à chacun des Employés, ainsi qu’aux consultants et prestataires de services de SDI lorsque ces derniers y sont assujettis spécifiquement en vertu de la loi applicable ou dans leur contrat de service.
2. DÉFINITIONS
« Employés » signifie tous les employés de SDI, peu importe son titre, son statut, ses fonctions ou, s’il y a lieu, son affiliation professionnelle.
« Évaluation des facteurs relatifs à la vie privée » ou « Évaluation » signifie la démarche qui consiste à considérer tous les facteurs qui pourraient impacter le respect de la vie privée des Personnes concernées. Ces facteurs sont :
- la conformité à la législation applicable à la protection des Renseignements personnels et le respect des principes qui l’appuient;
- l’identification des risques d’atteinte à la vie privée et l’évaluation de leurs impacts;
- la mise en place de stratégies pour éviter ces risques ou les réduire efficacement.
« Incident de confidentialité » signifie l’accès, l’utilisation ou la communication non autorisé à un Renseignement personnel ou la perte d’un tel renseignement ou toute autre atteinte à la protection d’un tel renseignement.
« Personnes concernées » signifie les personnes physiques concernées dont leurs Renseignements personnels sont recueillis, utilisés, communiqués, conservés ou détruits par SDI.
« Projet en technologie de l’information » signifie tout projet d’acquisition, de développement ou de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de Renseignements personnels.
« Renseignement personnel » signifie tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier, quelle que soit la nature de son support et quelle que soit la forme sous laquelle il est accessible : écrite, graphique, sonore, visuelle, informatisée ou autre.
« Renseignement sensible » signifie tout Renseignement personnel qui, de par sa nature notamment médicale, biométrique, financière ou autrement intime, ou en raison du contexte de sa collecte, de son utilisation ou de sa communication, suscite un haut degré d’attente raisonnable en matière de vie privée.
« Responsable de la protection des renseignements personnels » signifie la personne identifiée dans la Section 9 ci-dessous.
« Sous-traitant » signifie tout agent, consultant, gestionnaire de données ou autre fournisseur de services ayant accès à des Renseignements personnels qui lui ont été préalablement communiqués par SDI, directement ou par l’entremise d’un autre Sous-traitant de SDI.
3. VOTRE CONSENTEMENT
Le consentement à la collecte, à l’utilisation et à la communication de Renseignements personnels doit être manifeste, libre et éclairé. Il doit être donné à des fins spécifiques, en termes simples et clairs.
Lorsque la Personne concernée le requiert, SDI lui prête assistance afin de l’aider à comprendre la portée du consentement demandé.
Suivant la nature et la sensibilité des Renseignements personnels, le consentement peut être explicite (un tel consentement peut être donné oralement, par écrit ou par voie électronique) ou implicite (par exemple lorsque la Personne concernée fournit volontairement des Renseignements personnels). Lorsqu’il est requis, le consentement lié à des Renseignements sensibles doit dans tous les cas être manifesté de manière expresse.
Le consentement à la collecte, à l’utilisation et à la communication de Renseignements personnels est obtenu avant ou au moment de la collecte des renseignements, sauf dans les autres cas et aux conditions prévus dans la loi. Il ne vaut que pour la période nécessaire à la réalisation des fins auxquelles il a été demandé. À titre d’exemple, le consentement donné par une personne demeure habituellement valide pour toute la durée dela relation entre cette personne et SDI. Toutefois, dans certains cas, un consentement plus spécifique pourrait être uniquement valide pour la période de temps requise pour atteindre l’objectif recherché.
Un consentement peut être retiré en tout temps, sous réserves de restrictions légales et contractuelles et d’un préavis raisonnable. Dans certains cas, si le consentement est retiré, SDI pourrait ne plus être en mesure de maintenir sa relation avec la Personne concernée ou de lui fournir certains produits ou services.
4. QUELLES SONT LES RÈGLES QUE NOUS AVONS ADOPTÉES EN LIEN AVEC LA COLLECTE ET L’UTILISATION DE RENSEIGNEMENTS PERSONNELS?
SDI ne recueille que les Renseignements personnels qui sont nécessaires à l’établissement, à la gestion et au maintien de sa relation avec les Employés, ses consultants et prestataires de services ainsi que ceux nécessaires à l’exécution de ses obligations envers ses clients, fournisseurs et partenaires d’affaires. Ces renseignements peuvent inclure :
- des renseignements d’identification ;
- des renseignements de santé ;
- des renseignements financiers ;
- des renseignements relatifs au travail ;
- des renseignements scolaires ou relatifs à la formation ;
- des renseignements relatifs à la situation sociales ou familiales.
Sans limiter la portée générale de ce qui précède, SDI recueille et utilise des Renseignements personnels :
a) concernant les Employés, ses consultants et ses prestataires de services
- pour la détermination initiale d’éligibilité à un emploi, y compris la vérification des références et des qualifications ainsi qu’aux fins de sélection de promotion et de gestion : des renseignements concernant l’éducation, la formation, l’expérience de travail, l’historique professionnel, les références professionnelles et personnelles, le curriculum vitae initial ou le formulaire de demande d’emploi soumis ainsi que le curriculum vitae ou le dossier mis à jour de la Personne concernée ;
- aux fins de la gestion des ressources humaines et de l’administration : les lettres d’offre et d’acceptation d’emploi, les contrats d’emploi, le formulaire d’acceptation et d’attestation de lecture des politiques et directives de SDI, l’historique professionnel et l’historique salarial de la Personne concernée ;
- les renseignements requis pour la préparation de la paie incluant le numéro d’assurance social, l’institution financière et le numéro de compte de la Personne concernée ;
- les formulaires concernant une demande ou une modification des avantages de santé et sécurité incluant l’invalidité à courte ou longue durée, les soins médicaux ou dentaires, l’information portant sur le statut médical ou dentaire et le traitement des réclamations liées à l’emploi (ex : indemnisation pour préjudice survenu sur les lieux du travail, réclamations d’assurance, etc.) ;
- les renseignements provenant de collègues, gestionnaires et clients relatifs à la performance et au comportement de la Personne concernée, et contenue par exemple dans des évaluations professionnelles, aux fins de l’établissement des exigences liées à la formation et au développement, pour l’évaluation des qualifications d’un poste ou d’une tâche en particulier et, dans le cadre d’une enquête, pour la collecte de preuves en matière de mesures disciplinaires ou de congédiement ;
- les renseignements requis aux fins d’identification et de sécurité ;
- les renseignements au sujet de la personne à contacter en cas d’urgence ;
- tout autre renseignement requis ou dont l’accès est autorisé par la loi (notamment, en conformité avec les lois du travail ou aux fins de compilation des répertoires internes).
b) concernant ses clients, fournisseurs et partenaires d’affaires
- pour identifier la Personne concernée afin d’établir et de maintenir la relation d’affaires avec SDI ;
- à des fins de fournir un service continu, y compris lorsque la Personne concernée indique ses préférences au niveau des informations qu’elle souhaite recevoir de la part de SDI par l’entremise de son site internet ;
- lorsque la collecte et l’utilisation des Renseignements personnels est requise par la nature de la relation d’affaires ou par l’objet du contrat ;
- pour améliorer notre gamme de produits et services ;
- pour prévenir les erreurs et la fraude ;
- pour respecter les exigences que la loi impose à SDI.
Un Renseignement personnel ne peut être utilisé par SDI qu’aux fins pour lesquelles il a été recueilli, à moins du consentement de la Personne concernée ou si l’utilisation est autrement autorisée par la loi. SDI peut toutefois utiliser un Renseignement personnel à une autre fin sans le consentement de la Personne concernée notamment dans les cas suivants :
- lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il a été recueilli ;
- lorsque son utilisation est manifestement au bénéfice de la Personne concernée ;
- lorsque son utilisation est nécessaire en vertu d’une loi applicable.
Dans la plupart des cas, SDI recueille les Renseignements personnels auprès de la Personne concernée. Toutefois, SDI peut recueillir des Renseignements personnels auprès d’un tiers avec le consentement de la Personne concernée ou sans son consentement si la loi l’autorise.
La Personne concernée est informée au moment de la collecte et par la suite sur demande des fins pour lesquelles les Renseignements personnels sont recueillis et par quels moyens ainsi que de toute autre information requise par la loi en fonction du contexte
5. QUELLES SONT LES RÈGLES QUE NOUS AVONS ADOPTÉES EN LIEN AVEC LA COMMUNICATION DE RENSEIGNEMENTS PERSONNELS?
Sauf dans les cas décrits ci-après et aux conditions prévues dans la loi, la communication de Renseignements personnels requiert le consentement de la Personne concernée lorsque les renseignements sont communiqués à un tiers. Sans égard au contexte dans lequel s’inscrit la communication, SDI ne transmet que la quantité
minimale et le type de Renseignements personnels nécessaires aux fins de la communication.
Conformément à la loi applicable, des Renseignements personnels peuvent être communiqués par SDI, sans le consentement de la Personne concernée, aux personnes suivantes :
- à une personne ou à un organisme ayant pouvoir de contraindre à leur communication et qui les requiert dans l’exercice de ses fonctions, incluant pour répondre à un subpoena, à un mandat ou à une ordonnance d’un tribunal relatifs à la production de documents;
- à un organisme chargé en vertu de la loi de prévenir, de détecter ou de réprimer le crime ou les infractions aux lois, qui le requiert dans l’exercice de ses fonctions, si le renseignement est nécessaire pour l’institution ou la poursuite de procédures judiciaires visant une infraction à une loi applicable;
- à une personne à qui il est nécessaire de communiquer le renseignement en vertu d’une loi applicable.
De la même manière, l’accès aux Renseignements personnels chez SDI n’exige pas le consentement de la Personne concernée, mais est strictement limité aux personnes pour qui les renseignements sont nécessaires à l’exercice de leurs fonctions. L’accès ou la communication non autorisé d’un Renseignement personnel par un Employé est strictement interdit et peut donner lieu à des mesures disciplinaires.
SDI peut également partager des Renseignements personnels qu’il détient, sans le consentement de la Personne concernée, avec ses Sous-traitants si les renseignements sont nécessaires à l’exécution de leur mandat ou de leur contrat de service. Dans tous les cas, SDI met en place des moyens raisonnables pour s’assurer que le Sous-traitant à qui les Renseignements personnels sont communiqués a mis en place des mesures permettant de maintenir la confidentialité, l’intégrité et la disponibilité des Renseignements personnels, et agit conformément à ses mesures.
Dans un tel cas, SDI indique les mesures que le Sous-traitant doit prendre pour assurer la protection du caractère confidentiel du Renseignement personnel communiqué telles que : (1) les mesures que le Sous-traitant doit prendre pour assurer la protection du caractère confidentiel des renseignements qui lui sont confiés, (2) les Renseignements personnels confiés au Sous-traitant ne sont utilisés que dans l’exécution des services à SDI, (3) le Sous-traitant s’engage à ne pas conserver les Renseignements personnels confiés par SDI après la fin de son contrat, (4) que le Sous-traitant s’engage à aviser le Responsable de la protection des renseignements personnels de toute violation ou tentative de violation des obligations de confidentialité qui lui incombent et (5) que le Sous-traitant s’engage à permettre au Responsable de la protection des renseignements personnels d’effectuer toute vérification relative à cette confidentialité.
Si la communication a lieu à l’extérieur du Québec, ou si la communication s’inscrit dans le cadre d’un Projet en technologie de l’information, SDI procède à une Évaluation qui tient compte de tous les éléments prévus par la loi. SDI peut communiquer des Renseignements personnels à l’extérieur du Québec seulement si l’Évaluation démontre que les Renseignements personnels bénéficieront d’une protection adéquate eu égard aux principes de protection des Renseignements personnels généralement reconnus.
Il est important de noter que si un Sous-traitant à qui SDI transmet des Renseignements personnels opère dans une juridiction étrangère, la législation locale pourrait offrir moins de protection que la LPRPSP et permettre à des tiers d’avoir autrement accès aux Renseignements personnels sans le consentement de la Personne concernée.
6. TÉMOINS DE CONNEXION (COOKIES)
Le site internet de SDI fait usage de témoins de connexion (cookies) pour recueillir certaines informations,
incluant la durée des visites sur le site internet, les pages téléchargées, l’adresse IP de la Personne concernée, ses préférences en termes de langue, les navigateurs internet utilisés, etc. Il est également possible que SDI reçoive des informations sur le serveur auquel la Personne concernée est connectée et sur son fournisseur internet.
Un témoin de connexion est un fichier qui enregistre des renseignements sur le disque dur ou le navigateur. Il permet à un site internet d’identifier un ordinateur et, si la Personne concernée a déjà consulté ce site, de la reconnaître.
Le consentement à l’utilisation des témoins de connexion est requis avant chaque connexion. La majorité des navigateurs donnent également l’occasion de les bloquer ou de les supprimer du disque dur. Il est important de consulter le guide d’utilisation ou le menu d’aide du navigateur utilisé pour obtenir de plus amples renseignements au sujet de ces fonctions. Cependant, si la Personne concernée ne consent pas à l’utilisation de témoins de connexion ou si les paramètres du navigateur sont modifiés afin de supprimer ou de bloquer les témoins de connexion, il se peut que certaines fonctionnalités du site internet de SDI soient inaccessibles.
7. INFORMATIONS CONFIDENTIELLES
Si vous devez divulguer de l’information confidentielle qui ne constitue pas un Renseignement personnel à SDI, concernant les produits de votre entreprise par exemple, nous vous prions de communiquer avec SDI pour conclure une entente de confidentialité avant toute divulgation.
8. EXACTITUDE, SÉCURITÉ ET CONSERVATION
SDI reconnaît qu’il est important que les Renseignements personnels soient exacts, complets et à jour et met en place des mesures raisonnables afin de s’assurer de l’exactitude et de la mise à jour des renseignements utilisés et communiqués. Toutefois, les Personnes concernées demeurent responsables d’informer SDI de tout changement significatif relativement à leurs Renseignements personnels qui pourrait survenir au cours de la relation d’affaires.
SDI a mis en place une série de mesures de sécurité visant à protéger les Renseignements personnels qu’il recueille, utilise, communique et conserve contre la perte et le vol ainsi que contre la consultation, la communication, la copie, l’utilisation et la modification non autorisées de ces renseignements, quelle que soit la nature du support sur lesquels les renseignements sont conservés.
Ces mesures de sécurité incluent des mesures physiques, administratives et technologiques raisonnables compte tenu de la sensibilité des renseignements, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support, dont les suivantes :
- ·mesures physiques : accès contrôlés aux locaux de SDI, classeurs à tiroir barrés et accès restreints à certains bureaux ;
- mesures administratives : mesures particulières et autorisations spécifiques pour la consultation, la copie et la communication des Renseignements sensibles, utilisation de systèmes de classement dédiés pour les renseignements concernant les Employés, consultants et prestataires de services, période de rétention adaptée en fonction de la sensibilité des renseignements ;
- mesures technologiques : utilisation obligatoire d’outils informatiques appartenant à SDI, utilisation de codes d’accès personnalisés, murs pare-feu et cryptage des données, accès limités aux Renseignements sensibles, audits périodiques des systèmes informatiques utilisés à des fins de collecte, d’utilisation, de conservation, de communication ou de destruction de Renseignements personnels.
SDI met également en place les mesures nécessaires pour s’assurer que tous les Employés soient informés du contenu de la présente politique et qu’ils s’y conforment en tout temps.
Sauf dans les cas exceptionnels où la collecte, l’utilisation, la communication ou la conservation sont confiées à un Sous-traitant, les Renseignements personnels sous le contrôle de SDI sont conservés au Canada.
SDI conserve les Renseignements personnels seulement pendant la durée nécessaire à la réalisation de l’objet pour lequel ils ont été recueillis, pour rencontrer les exigences légales de conservation et pendant la durée nécessaire à la protection de ses intérêts commerciaux légitimes. Les Renseignements personnels utilisés pour prendre une décision relative à la Personne concernée sont conservés pendant au moins un an suivant la décision.
9. COMMENT FORMULER UNE DEMANDE D’ACCÈS OU DE RECTIFICATION?
Toute Personne concernée a le droit de demander de consulter ou d’obtenir une copie de ses Renseignements personnels qui sont détenus par SDI. Elle peut également demander que les Renseignements personnels soient rectifiés s’ils sont inexacts, incomplets ou équivoques, ou si leur collecte, leur communication ou leur conservation ne sont pas autorisée par la loi.
Toute question relativement à la présente politique ou à propos de la collecte, de l’utilisation ou de la communication de Renseignements personnels, incluant les demandes d’accès ou de rectification, doivent être formulées par écrit et adressées au Responsable de la protection des renseignements personnels de SDI :
Emmanuelle Vallée-Pouliot
Responsable de la protection des renseignements personnels
evallee-pouliot@sdipackaging.com
SDI répond à toute demande d’accès ou de rectification dans les 30 jours de la date de la réception de la demande écrite. En cas de refus de fournir ou de corriger les renseignements, SDI fournit les motifs au soutien de son refus, sous réserve des restrictions prévues dans la loi, et informe la Personne concernée de ses recours.
Si la Personne concernée n’est pas satisfaite par la réponse de la Responsable de la protection des renseignements personnels, elle peut s’adresser à la Commission d’accès à l’information du Québec. Une plainte peut être déposée par écrit auprès de la Commission en consultant la page suivante : https://www.cai.gouv.qc.ca/commission-acces-information/formulaires-lettres-types.
10. NOTRE ENGAGEMENT EN CE QUI CONCERNE LES INCIDENTS DE CONFIDENTIALITÉ
Tout Employé qui a des motifs de croire que s’est produit un Incident de confidentialité impliquant un Renseignement personnel détenu par SDI doit immédiatement en informer le Responsable de la protection des renseignements personnels en fournissant l’ensemble des informations pertinentes à l’évaluation de la situation.
Le Responsable de la protection des renseignements personnels doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé aux Personnes concernées et éviter que de nouveaux incidents de même nature ne se produisent.
Le Responsable de la protection des renseignements personnels est responsable de déterminer si l’Incident de confidentialité présente un risque qu’un préjudice sérieux soit causé aux Personnes concernées. Le cas échéant, il doit, avec diligence, aviser la Commission d’accès à l’information et toute Personne concernée par l’Incident de confidentialité sauf si cela serait susceptible d’entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, de détecter ou de réprimer le crime ou les infractions aux lois. Il peut également aviser toute personne ou tout organisme susceptible de diminuer ce risque, en ne lui communiquant que les Renseignements personnels nécessaires à cette fin sans le consentement de la Personne concernée. Dans ce dernier cas, le Responsable de la protection des renseignements personnels doit enregistrer la communication.
Le Responsable de la protection des renseignements personnels tient un registre des Incidents de confidentialité
11. TRAITEMENT DES RENSEIGNEMENTS PERSONNELS DES PERSONNES SE TROUVANT DANS L’ESPACE ÉCONOMIQUE EUROPÉEN (« EEE »)
Le RGPD établit des règles spécifiques applicables exclusivement au traitement des Renseignements personnels des personnes se trouvant dans l’EEE, dans la mesure où ce traitement a lieu alors que les Personnes concernées se trouvent dans cet espace et lorsque les activités de traitement sont liées à l’offre de biens ou de services ou au suivi du comportement de ces personnes au sein de l’EEE. Lorsque les conditions d’application précédemment décrites s’appliquent à des Renseignements personnels recueillis, utilisés, communiqués ou conservés par SDI, les dispositions du RGPD ont préséance sur la présente politique en cas de conflit.
1 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
Cette politique a été mise à jour le 8 janvier 2025 et pourra être modifiée de temps à autres.