INTRODUCTION

NOUS STOCKONS DES DONNEES PERSONNELLES SUR NOS EMPLOYES, CLIENTS, FOURNISSEURS ET AUTRES INDIVIDUS A DE MULTIPLES FINS COMMERCIALES.

CETTE POLITIQUE DECRIT LA FAÇON DONT NOUS CHERCHONS A PROTEGER LES DONNEES PERSONNELLES ET A FAIRE EN SORTE QUE LES EMPLOYES COMPRENNENT LES REGLES QUI GOUVERNENT LEUR UTILISATION DES DONNEES PERSONNELLES AUXQUELLES ILS ONT ACCES DANS LE CADRE DE LEUR TRAVAIL. EN PARTICULIER, CETTE POLITIQUE DEMANDE AU PERSONNEL DE VEILLER A CE QUE LE DELEGUE A LA PROTECTION DES DONNEES (DPD) SOIT CONSULTE AVANT LE DEBUT DE TOUTE NOUVELLE ACTIVITE DE TRAITEMENT DES DONNEES, AFIN DE FAIRE EN SORTE QUE LES MESURES DE CONFORMITE PERTINENTES SOIENT PRISES.

DÉFINITIONS

Objectifs commerciaux

Nous pouvons utiliser les données personnelles aux fins suivantes :

Objectifs administratifs, financiers, de gestion du personnel, de réglementation, de paiement des salaires et de développement commercial.

Les objectifs commerciaux comprennent les points suivants :

  • Respecter les exigences légales liées notamment à la réglementation et à la gouvernance d’entreprise, et des bonnes pratiques
  • Recueillir des informations dans le cadre d’enquêtes effectuées par des organismes de réglementation, ou en lien avec des procédures ou demandes judiciaires
  • Veiller au respect des politiques d’entreprise (telles que la politique concernant l’utilisation des courriels et d’internet)
  • Raisons d’ordre opérationnel, telles que l’enregistrement des transactions, la formation et le contrôle de la qualité, assurer la confidentialité d’informations commerciales sensibles, les contrôles de sécurité, l’évaluation et la vérification du crédit
  • Enquêter sur des plaintes
  • Vérifier les références, assurer l'application de pratiques de travail sûres, contrôler et gérer l’accès du personnel aux systèmes et aux installations ainsi que les absences, l’administration et les évaluations du personnel
  • Surveiller la conduite du personnel, mesures disciplinaires
  • Faire la promotion de notre entreprise
  • Améliorer nos services

Données personnelles

Informations concernant des individus identifiables, comme les candidats à un emploi, les employés, anciens et actuels, le personnel intérimaire, contractuel et autre, les clients, fournisseurs et contacts marketing.

Les données personnelles que nous recueillons peuvent comprendre : les coordonnées des individus, le niveau de formation, les données de rémunération et autres éléments financiers, des précisions sur les diplômes et certificats, la formation et les compétences, l’état civil, la nationalité, le titre du poste et le CV.

Données personnelles sensibles

Les données personnelles en relation avec l’origine raciale ou ethnique des individus, leurs opinions politiques, leurs croyances religieuses ou autres, leur adhésion (ou non-adhésion) à un syndicat, leur santé ou condition physique ou mentale, les infractions pénales ou procédures connexes – toute utilisation de données personnelles sensibles doit être strictement contrôlée conformément à cette politique.

CONTEXTE

Cette politique s’applique à tous les employés. Vous devez connaître cette politique et vous conformer à ses conditions.

Cette politique complète nos autres politiques concernant l’utilisation des courriels et d’internet. Nous pouvons compléter ou modifier cette politique en y ajoutant des politiques ou directives de temps en temps. Tout renouvellement ou modification de la politique sera communiqué au personnel avant son adoption.

Qui est responsable de cette politique ?

En temps que délégué à la protection des données, Daniel Guerard a la responsabilité globale de l’application quotidienne de cette politique.

NOS PROCÉDURES

Traitement loyal et licite

Nous devons traiter les données personnelles de façon loyale et licite dans le respect des droits de l’individu. Cela signifie généralement que nous ne devons pas traiter les données personnelles sans que l’individu dont nous traitons les détails ne nous en ait donné l’autorisation.

Les responsabilités du délégué à la protection des données :

  • Tenir le conseil d’administration au courant des responsabilités, risques et problèmes en matière de protection des données.
  • Vérifier toutes les procédures et politiques de protection des données de façon régulière
  • Mettre à la disposition de tous les membres du personnel, et de tous ceux qui sont inclus dans cette politique, des formations et des conseils concernant la protection des données
  • Répondre aux questions du personnel, des membres du conseil et autres parties intéressées sur la protection des données
  • Répondre aux individus tels que les clients et les employés qui souhaitent savoir quelles données les concernant sont détenues par Solutions de reconnaissance Rideau Inc.
  • Vérifier et approuver tout contrat ou toute entente concernant le traitement des données avec les tiers qui traitent les données de l’entreprise

RESPONSABILITÉS DU GESTIONNAIRE TI

  • Faire en sorte que tous les systèmes, services, logiciels et équipements répondent à des normes de sécurité acceptables
  • Vérifier et examiner régulièrement le matériel et les logiciels pour s’assurer que tout fonctionne correctement
  • Faire des recherches sur les services tiers, tels que les services en nuage que l’entreprise envisage d’utiliser pour stocker ou traiter des données

RESPONSABILITÉS DU RESPONSABLE DU MARKETING

  • Approuver les déclarations de protection des données jointes aux courriels et autres documents marketing
  • Répondre aux demandes de protection des données des clients, des publics cibles ou des médias
  • Travailler en collaboration avec le DPD pour faire en sorte que toutes les initiatives de marketing respectent les lois de protection des données et la politique de protection des données de l’entreprise

Le traitement de toutes les données doit être :

  • Nécessaire pour fournir nos services
  • Dans nos intérêts légitimes, sans porter indûment préjudice à la vie privée de l’individu
  • Dans la plupart des cas, cette disposition s’applique aux activités professionnelles de traitement de données habituelles.

Nos conditions commerciales comprennent une déclaration de confidentialité aux clients concernant la protection des données.

La déclaration :

  • Précise les fins auxquelles nous détenons des données personnelles sur les clients et les employés
  • Souligne que notre travail peut nous demander de donner des informations à des tiers comme des témoins experts ou autres conseillers professionnels
  • Stipule que les clients ont un droit d’accès aux données que nous détenons sur eux

DONNEES PERSONNELLES SENSIBLES

Dans la plupart des cas, lorsque nous traitons des données personnelles sensibles, nous demandons le consentement explicite de la personne concernée pour le faire, sauf en cas de circonstances exceptionnelles ou si nous sommes tenus de le faire en vertu de la loi (par ex. pour nous conformer aux obligations légales d’assurer la santé et la sécurité au travail). Un tel consentement devra identifier clairement quelles sont les données pertinentes, pourquoi elles sont traitées et à qui elles seront divulguées.

PRECISION ET PERTINENCE

Nous nous assurerons que toutes les données personnelles que nous traitons sont exactes, adéquates, pertinentes et qu’elles ne vont pas au-delà de l’objectif pour lequel elles ont été obtenues. Nous ne traiterons pas les données personnelles reçues à d’autres fins que celles pour lesquelles elles ont été obtenues, sauf si l’individu concerné l’a accepté, ou qu’il peut raisonnablement s’y attendre.

Les individus peuvent demander que nous corrigions toute donnée personnelle erronée les concernant. Si vous pensez que les informations que nous avons sont erronées, vous devez signaler officiellement le fait que l’exactitude des informations est contestée, et en informer le DPD, Daniel Guerard.

VOS DONNEES PERSONNELLES

Vous devez prendre des mesures raisonnables pour garantir que les données personnelles que nous détenons sur vous sont exactes, et les mettre à jour si besoin. Par exemple, si votre situation personnelle change, veuillez en informer le délégué à la protection des données afin qu’il puisse mettre à jour votre dossier.

SECURITE DES DONNEES

Vous devez sécuriser vos données personnelles contre leur perte ou leur utilisation abusive. Lorsque d’autres organisations traitent des données personnelles comme un service en notre nom, le DPD établira quelles sont, le cas échéant, les mesures de sécurité des données spécifiques qui seront ajoutées aux contrats avec ces organisations tierces.

STOCKER LES DONNEES EN TOUTE SECURITE

  • Dans les cas où des données sont stockées sur du papier imprimé, elles doivent être gardées dans un endroit sûr auquel le personnel non-autorisé n’a pas accès
  • Les données imprimées doivent être déchiquetées lorsqu’elles ne sont plus nécessaires
  • Les données stockées sur un ordinateur doivent être protégées par des mots de passe forts qui sont changés régulièrement. Nous encourageons tous nos employés à utiliser un gestionnaire de mots de passe pour créer et stocker leurs mots de passe.
  • Les données stockées sur des CDs ou des clés USB doivent être rangées sous clé en lieu sûr quand elles ne sont pas en cours d’utilisation. Et de préférence chiffrées. Si ces supports sont transférés en dehors des installations, les données doivent être chiffrées.
  • Le DPD doit approuver tout service en nuage utilisé pour stocker des données.
  • Les serveurs contenant des données personnelles doivent être gardés dans un endroit sûr, à l’écart de l’espace de bureau général.
  • Les données doivent être sauvegardées régulièrement conformément aux procédures de sauvegarde de l’entreprise.
  • Les données ne doivent jamais être sauvegardées directement sur des appareils mobiles tels que des ordinateurs portables, tablettes ou téléphones intelligents.
  • Tous les serveurs contenant des données sensibles doivent être approuvés et protégés par un logiciel de sécurité et un pare-feu robuste.

CONSERVATION DES DONNEES

Nous ne devons pas conserver de données personnelles plus longtemps que nécessaire. La durée nécessaire dépendra des circonstances de chaque cas, en prenant en compte les raisons pour lesquelles nous avons obtenu les données personnelles, et doit être déterminée de façon cohérente par rapport à nos directives de conservation des données.

TRANSFERT INTERNATIONAL DES DONNEES

Il existe des restrictions en matière de transfert international des données personnelles. Vous ne devez pas transférer de données personnelles ailleurs qu’au Canada sans avoir d’abord consulté le délégué à la protection des données.

DEMANDES D’ACCES AUX DONNEES

Veuillez noter qu’en vertu de la loi européenne de 1998 sur la protection des données personnelles, les individus ont le droit, sous réserve de certaines exceptions, de demander un accès aux informations détenues les concernant.

Si vous recevez une demande d’accès aux données, vous devez soumettre cette demande immédiatement au DPD. Nous pouvons vous demander de nous aider à donner suite à ces demandes.

Veuillez contacter le délégué à la protection des données si vous souhaitez corriger ou demander des informations vous concernant que nous détenons. Il y a aussi des restrictions quant aux informations auxquelles vous avez droit en vertu de la loi applicable.

TRAITEMENT DES DONNEES EN ACCORD AVEC LES DROITS DE L’INDIVIDU

Vous devez respecter toute demande d’un individu de ne pas utiliser ses données personnelles à des fins de marketing direct, et vous devez informer le DPD de toute demande de ce genre.

N’envoyez pas de documents de marketing direct à une personne par voie électronique (par ex. par courriel) à moins que vous n'ayez une relation d'affaires existante avec cette personne en rapport avec les services dont vous faites la promotion.

Veuillez vous adresser au DPD pour obtenir des conseils sur le marketing direct avant toute nouvelle activité de marketing direct.

FORMATION

Tous les employés recevront une formation sur cette politique. Les nouveaux employés recevront cette formation dans le cadre du processus d’intégration. Une formation supplémentaire sera fournie tous les deux ans au minimum, ou à chaque fois qu’il y a un changement important en ce qui concerne la loi ou notre politique et procédure.

La formation est fournie régulièrement par le biais d’un séminaire interne.

Elle couvre :

  • Ce qui dit la loi en matière de protection des données
  • Nos politiques et procédures de protection des données et procédures connexes.

Il est obligatoire de suivre cette formation.

DISPOSITIONS POUR LE RGPD

Déclaration de confidentialité – transparence de la protection des données

Pour notre organisation, il est important d’être transparents et de fournir des informations accessibles aux individus sur la façon dont nous utilisons leurs données personnelles. Voici des précisions sur la façon dont nous recueillons les données et ce que nous faisons avec :

Quelles informations sont recueillies ?

La majeure partie des données personnelles est fournie par nos clients au moyen de transferts de données sécurisés. Il s’agit du nom, de l’adresse courriel professionnelle, de l’adresse, du supérieur direct, du nombre d’années de services, des données relatives à l’emploi, de la date de fin de l’emploi.

La personne concernée peut fournir des adresses de livraison, informations de paiement et choix transactionnels (produit sélectionné)

À de rares occasions, nous avons la date de naissance de la personne concernée.

Nous recueillons des informations sur le trafic web à des fins de qualité, d’analyses agrégées et de planification des infrastructures.

Qui les recueille ?

Solutions de reconnaissance Rideau et les programmes affiliés (Vistance)

Comment sont-elles recueillies ?

Transfert de données des clients, et données de la personne concernée par le biais de formulaires web, courriels, appels téléphoniques, lettres

Pourquoi sont-elles recueillies ?

Les données sont recueillies aux seules fins de réaliser le contrat de reconnaissance des employés avec nos clients. (Fidélité), formation, accompagnement et conseils en reconnaissance.

Comment sont-elles utilisées ?

Avec qui sont-elles partagées ?

Les données minimales requises seront partagées avec les fournisseurs pour les services de livraison, d’expédition directe et de carte de paiement.

Identité et coordonnées de tous les responsables de la gestion des données

Détails des transferts à des tiers et garanties de protection

Période de conservation

Tous les états financiers seront conservés pendant sept (7) ans. Les données de reconnaissance des personnes concernées sont conservées pendant la période nécessaire pour une utilisation correcte de l’application en fonction des besoins de chaque client.

CONDITIONS DE TRAITEMENT

Nous nous assurerons que toute utilisation des données personnelles est justifiée en utilisant au moins une des conditions de traitement, et cela sera spécifiquement documenté. Tous les employés qui sont responsables du traitement des données personnelles seront sensibilisés aux conditions de traitement. Les conditions de traitement seront à la disposition de toutes les personnes concernées sous la forme d’une déclaration de confidentialité.

JUSTIFICATION DES DONNEES PERSONNELLES

Nous traiterons les données personnelles en accord avec la totalité des six principes de protection des données.

Nous documenterons la justification supplémentaire pour le traitement des données sensibles et nous nous assurerons que toute donnée biométrique et génétique est considérée comme étant sensible.

CONSENTEMENT

Les données que nous recueillons sont soumises au consentement actif de la personne concernée. Ce consentement peut être retiré à tout moment.

VERIFICATION DU CASIER JUDICIAIRE

Toute vérification du casier judiciaire est justifiée par la loi. La vérification du casier judiciaire ne peut pas être entreprise en se fondant uniquement sur le consentement de la personne concernée.

PORTABILITE DES DONNEES

Sur demande, toute personne doit avoir le droit de recevoir une copie de ses données dans un format structuré. Ces demandes doivent être traitées dans un délai d’un mois, sous réserve que cela ne constitue pas une charge excessive et que cela ne compromette pas la vie privée d’autres individus. Une personne peut aussi demander que ses données soient transférées directement à un autre système. Cela doit être effectué gratuitement.

DROIT A L’OUBLI

Une personne peut demander que toute information détenue à son sujet soit effacée ou retirée, et les tiers qui traitent ou utilisent ces données doivent aussi accéder à cette requête. Une demande d’effacement ne peut être refusée que si une dérogation s’applique.

CONFIDENTIALITE PAR CONCEPTION ET PAR DEFAUT

La confidentialité par conception est une approche des projets qui met en avant le respect de la confidentialité et de la protection des données dès le départ. Le DPD sera responsable de réaliser des évaluations des facteurs relatifs à la vie privée et de faire en sorte que tous les projets technologiques commencent par un plan de protection de la vie privée.

Le cas échéant, et quand cela n’a pas d’incidence négative sur la personne concernée, les paramètres de confidentialité seront réglés par défaut sur l'option qui assure le plus de protection de la vie privée.

TRANSFERT INTERNATIONAL DES DONNEES

Aucune donnée ne peut être transférée en dehors de l’espace économique européen sans en avoir discuté au préalable avec le délégué à la protection des données. Un consentement spécifique de la personne concernée doit être obtenu avant de transférer ses données en dehors de l’espace économique européen.

VERIFICATION ET REGISTRE DES DONNEES

Des vérifications régulières des données, aux fins de gérer et mitiger les risques, seront consignées dans le registre des données. Ce registre contient des informations sur le type de données détenues, où elles sont stockées, comment elles sont utilisées, qui en est responsable et toute autre réglementation ou échéance de conservation qui peut s’appliquer.

SIGNALEMENT DES INFRACTIONS

Tous les employés ont l’obligation de signaler les manquements potentiels ou avérés au respect de la protection des données. Cela nous permet de :

  • Enquêter sur la non-conformité et prendre des mesures correctives le cas échéant
  • Tenir un registre des non-conformités
  • Informer l’autorité de surveillance (AS) de toute non-conformité matérielle à part entière ou dans le cadre d’un ensemble de défaillances

Veuillez vous référer à notre politique en cas de non-conformité pour obtenir notre procédure de signalement.

SURVEILLANCE

Tout le monde doit observer cette politique. Le DPD assume la responsabilité globale de cette politique. Il effectuera une surveillance régulière pour s’assurer qu’elle est respectée.

CONSÉQUENCES DU NON-RESPECT DE CETTE POLITIQUE

Nous prenons le respect de cette politique très au sérieux. Son non-respect vous expose, ainsi que l’organisation, à des risques.

L’importance de cette politique signifie que le non-respect de n’importe laquelle de ses exigences peut entraîner une action disciplinaire dans le cadre de nos procédures qui peut aller jusqu’au licenciement. Un avocat en infraction par rapport à sa responsabilité de protection des données dans le cadre de la loi ou du code de conduite peut être radié.

Si vous avez des questions ou des inquiétudes par rapport à un élément de cette politique, n’hésitez pas à contacter le DPD.

Politique en matière de témoins de connexion (cookies)

Rideau peut utiliser des témoins de connexion pour suivre vos préférences et activités sur le site web de Rideau.

Les témoins de connexion sont de petits fichiers de données qui sont transférés sur le disque dur de votre ordinateur par un site web.

Ils enregistrent vos préférences pour rendre vos visites ultérieures sur le site plus efficaces.

Les témoins de connexion peuvent enregistrer divers renseignements, y compris le nombre de vos passages sur un site web, vos informations de connexion et le nombre de vos visites sur une page particulière ou un autre élément du site.

L’utilisation de témoins de connexion est une pratique courante adoptée par la plupart des sites importants pour mieux servir leurs clients.

La plupart des navigateurs sont conçus pour accepter les témoins, mais ils peuvent être facilement modifiés pour les bloquer.

Consultez les fichiers d’aide de votre navigateur pour plus d’informations sur comment bloquer les témoins, comment savoir quand vous avez reçu des témoins et comment désactiver les témoins complètement.

Vous pouvez aussi les refuser en utilisant le lien suivant : networkadvertising.org/choices/.

Veuillez noter, cependant, que sans les témoins de connexion, certaines des fonctions du site web ne seront pas disponibles, et l’utilisateur perdra une partie des avantages du site.