POLITIQUE DE CONFIDENTIALITÉ

1. INTRODUCTION ET OBJECTIF

Solutions Beyond Technologies inc. et ses affiliés (« Beyond » ou l’« entreprise ») considèrent la confidentialité comme une priorité alors que de nouvelles technologies émergent pour recueillir, accéder, utiliser, gérer, divulguer ou traiter de toutes autres manières les renseignements personnels.

Les objectifs de cette politique sont d’identifier, de surveiller et d’atténuer les risques liés à la confidentialité, d’informer les utilisateurs des pratiques de Beyond et d’assurer le respect des droits individuels et la conformité avec les exigences réglementaires en matière de confidentialité applicables.

2. PORTÉE ET APPLICATION

La politique englobe la collecte, l’accès, l’utilisation, la conservation, la divulgation, la disposition, la protection et la sauvegarde des renseignements personnels qui sont en sa possession conformément à ses obligations découlant des exigences de la réglementation sur la confidentialité applicable, ou des renseignements qui sont traités dans le contexte d’une entente contractuelle et conformément à celle-ci (par exemple, un accord de traitement de données ou DPA).

Beyond est le responsable du traitement des données pour les renseignements personnels recueillis auprès de ses employés, candidats et contacts d’affaires dans le cadre et aux fins de ses activités. Beyond peut aussi agir à titre de sous-traitant des données pour les renseignements personnels en la possession des clients de Beyond, le tout selon les instructions de ces derniers, à des fins et pour un service précis qui implique le traitement de renseignements personnels.

Cette politique s’applique à tous les employés de Beyond et à tous les prestataires de service qui agissent au nom de Beyond.

2.1 Exigences réglementaires applicables en matière de confidentialité

Canada : La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et la Loi canadienne anti-pourriel (LCAP).

Québec : La Loi sur la protection des renseignements personnels dans le secteur privé.

Union européenne : Règlement général sur la protection des données (RGPD).

États-Unis : New Jersey Personal Information and Privacy Protection Act.

Afrique du Sud : Protection of personal information Act (POPIA).

3. DÉFINITIONS

Renseignement personnel : renseignement concernant un individu identifiable. Sont inclus les renseignements qui, seuls ou lorsqu’ils sont combinés à d’autres renseignements, permettent d’identifier un individu.

Incident de confidentialité : Toute perte, tout vol ou encore tout accès, utilisation ou divulgation non autorisé, intentionel ou non, de renseignements personnels.

4. RÔLES ET RESPONSABILITÉS

COO (chef des opérations)

- S’assure que la collecte et le traitement des renseignements personnels sont limités aux objectifs identifiés par Beyond.

- S’assure d’identifier les risques qui peuvent découler de tiers ou d’activités externalisées et fait le suivi des risques globaux dans l’entreprise.

CTO (chef des affaires technologiques)

- S’assure de la confidentialité des données et identifie les risques liés à la confidentialité lors des analyses de risques sur la sécurité des informations et en informe les parties prenantes appropriées.

- Sélectionne ou recommande des mesures pour limiter les risques en matière de confidentialité et s’assure que ces mesures sont correctement mises en œuvre.

Chef des affaires juridiques et de la protection des renseignements personnels

- Est désigné comme chef de la protection des renseignements personnels.

- Définit les termes des contrats avec les tiers pour assurer le respect de la politique de confidentialité et des autres exigences réglementaires ou légales.

- Communique avec les autorités réglementaires compétentes en cas d’incident de confidentialité.

- S’assure de la réalisation d’évaluations de risques en matière de confidentialité lorsque nécessaire.

Titulaires de service et gestionnaires de département

- Est responsable de gérer les risques de confidentialité qui découlent des processus d’affaires dont il est titulaire.

- S’assure que les mesures appropriées sont en place pour protéger la confidentialité des renseignements personnels.

- S’assure que les renseignements personnels soient conservés seulement pour les périodes applicables.

Personnel, incluant les sous-traitants et les consultants

- Connaît la politique de confidentialité et s’y conforme.

- Complète le programme obligatoire de formation et de sensibilisation à la protection de la vie privée.

- S’assure que toutes les actions appropriées sont mises en œuvre pour assurer la confidentialité et la protection des renseignements personnels, en se basant sur les procédures établies.

Signale tous risques ou toutes menaces à la protection et à la confidentialité des renseignements personnels, incluant les incidents de confidentialité et les atteintes à la vie privée.

5. EXIGENCES DE LA POLITIQUE

La politique soutient l’engagement continu de Beyond à respecter et à protéger la confidentialité des renseignements personnels de :

a) Tous les membres du public dont les renseignements personnels sont recueillis;

b) Tout représentant des clients et fournisseurs, passés, actuels ou futurs, de Beyond qui doivent fournir des renseignements personnels pour établir une relation d’affaires avec Beyond;

c) Tout employé, passé, actuel ou futur, de Beyond ;

d) Et de tout autre renseignement personnel recueilli ou traité dans le cadre des activités de Beyond.

5.1 Principes de la politique de confidentialité

Les principes qui guident cette politique sont les principes d’équité dans le traitement de l’information présentés dans les réglementations des autorités applicables.

1. La responsabilité : Beyond établit et maintient des rôles et responsabilités définis pour la gestion de la confidentialité.

2. La détermination des objectifs de la collecte de renseignements : Beyond informe les individus des objectifs pour lesquels il recueille, utilise, conserve et divulgue leurs renseignements personnels. Beyond recueille, utilise, conserve et divulgue les renseignements personnels uniquement à des fins commerciales, légales ou réglementaires légitimes.

3. Le consentement : Beyond obtient le consentement individuel, dans la mesure où la loi l’exige, pour recueillir, utiliser ou divulguer les renseignements personnels et n’utilise les renseignements personnels que pour les objectifs pour lesquels ils ont été recueillis, à moins d’autorisation contraire.

4. La limitation de la collecte : Beyond limite sa collecte de renseignements personnels aux informations nécessaires pour les objectifs définis de Beyond.

5. La restriction de l’utilisation, de la divulgation et de la conservation : Beyond limite l’utilisation et la divulgation des renseignements personnels aux seuls objectifs pour lesquels ses renseignements ont été recueillis ou transférés pour traitement, sauf si l’individu donne son consentement à d’autres utilisations ou si la loi l’exige.

6. L’exactitude : Beyond prend toutes les mesures raisonnables et appropriées pour s’assurer que les renseignements personnels en sa possession sont aussi précis, complets et à jour que nécessaire pour leur utilisation.

7. La sécurité des renseignements personnels : Beyond maintient en place les mesures de sécurité appropriées pour protéger les renseignements personnels de toute perte ou de tout vol, ou de tout accès, divulgation, copie, utilisation ou modification non autorisé.

8. La transparence : Beyond doit documenter les objectifs de la collecte et de l’utilisation des renseignements personnels.

9. L’accès personnel : Sur demande, Beyond doit donner accès à un individu à ses renseignements personnels en la possession de Beyond.

10. La contestation de la conformité: Un individu peut contester les pratiques de confidentialité de Beyond et la conformité à cette politique ou à la législation applicable en déposant une plainte auprès du contact chargé de la confidentialité ou auprès d’un organisme de réglementation.

5.2 Cadre de confidentialité et évaluation des risques liés à la confidentialité

Le cadre de confidentialité de Beyond s’aligne sur le cadre de confidentialité du NIST.

5.3 Incident de confidentialité et atteinte à la vie privée

Quand un membre du personnel suspecte ou constate un incident de confidentialité, il doit immédiatement en informer le chef des affaires juridiques et de la protection des renseignements personnels.

Évaluation d’un incident

Quand le chef des affaires juridiques et de la protection des renseignements personnels est informé d’un incident lié aux renseignements personnels, il doit enquêter et confirmer si l’incident se qualifie comme un incident de confidentialité. S’il est établi qu’il s’agit d’un incident de confidentialité, il doit en déterminer la gravité. Si l’incident n’est pas grave, le chef des affaires juridiques et de la protection des renseignements personnels décidera de ce qui doit être fait en lien avec l’incident.

Un incident de confidentialité qui entraîne un risque réel de préjudice important aux individus concernés est considéré comme une atteinte à la vie privée.

Déclaration - notification

Une atteinte à la vie privée doit être rapportée aux autorités compétentes :

Canada : Commissariat à la protection de la vie privée du Canada

Québec : Commission d’accès à l’information du Québec

Union européenne : Commission nationale de l’informatique et des libertés (CNIL)

Afrique du Sud : The Information Regulator

Les individus affectés doivent être informés du moment où l’incident s’est produit, des renseignements personnels affectés, des étapes subséquentes que Beyond entreprendra et des coordonnées de la personne contact.

Les clients de Beyond agissant comme responsable du traitement des données des renseignements personnels affectés par un incident de confidentialité doivent en être informés en accord avec les ententes applicables.

Un registre des atteintes à la vie privée doit être tenu par Beyond pour faire le suivi des détails des incidents et des mesures correctives.

5.4 La sécurité des renseignements personnels

Pour des détails sur les mesures de sécurité en place pour protéger les renseignements personnels, voir la politique de sécurité de l’information.

5.5 La conservation des renseignements personnels

Beyond ne peut conserver les renseignements personnels en sa possession que pour la période requise pour l’objectif identifié, conformément aux exigences légales applicables. Les renseignements personnels doivent ensuite être détruits ou anonymisés.

5.6 Formation et sensibilisation à la confidentialité

Beyond doit inclure la sensibilisation à la confidentialité à la formation de ses employés.

La lecture de la présente politique et l’engagement à traiter les renseignements personnels conformément à la présente politique sont obligatoires lors de l’intégration des nouveaux employés.

5.7 Demande d’accès à l’information par un corps policier ou par un organisme public

Beyond peut être contrainte par un corps policier ou par un organisme public à divulguer ou à donner accès à des renseignements personnels dans le cadre d’une demande juridiquement valide, comme un mandat de perquisition ou une ordonnance. En cas de demande, Beyond prendra les mesures suivantes :

- Vérifier l’identité du demandeur;

- Vérifier la légalité de la divulgation de renseignements personnels;

- À moins d’en être empêché légalement, avertir les clients de Beyond agissant à titre de responsable du traitement des données des renseignements personnels concernés par la demande;

- S’assurer que les décisions de divulgation sont approuvées par le chef des affaires juridiques et de la protection des renseignements personnels;

- Au besoin, faire une révision interne et engager des conseillers juridiques spécialisés à l’externe avant de divulguer l’information aux autorités;

- Prendre des mesures raisonnables pour s’assurer que les renseignements personnels sont exacts et à jour;

- Documenter les demandes, les ordonnances et les décisions de divulgation;

- À moins d’en être empêché légalement et au besoin, informer les individus dont les informations ont été divulguées.

6. SUIVI, RAPPORTS ET NON-CONFORMITÉ

Le suivi régulier des impacts potentiels des risques existants et potentiels et de l’efficacité des contrôles fait partie du cours normal des activités de gestion.

7. LES DROITS INDIVIDUELS À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

Beyond veut s’assurer que les utilisateurs sont parfaitement conscients de leurs droits individuels concernant les renseignements personnels et veille à ce que la politique de confidentialité et les processus d’affaires qui y sont associés permettent aux utilisateurs d’être conscients de leurs droits et de les exercer.

8. POLITIQUES INTERNES APPLICABLES

Avis de confidentialité

Guide de classification des informations sur la politique de sécurité de l’information

Interventions et plan de gestion en cas d’incident de sécurité de l’information

9. RÉVISION DE LA POLITIQUE DE CONFIDENTIALITÉ

La présente politique sera périodiquement révisée et mise à jour afin de maintenir la conformité avec les exigences légales et les meilleures pratiques de l’industrie. Cette politique a été mise à jour pour la dernière fois en octobre 2021.

10. CONTACT 

Courriel : [email protected]

10.1 Contacter les autorités compétentes

Canada : Commissariat à la protection de la vie privée du Canada

Québec : Commission d’accès à l’information du Québec

Union européenne : Commission nationale de l’informatique et des libertés (CNIL)

États-Unis : New Jersey Office of Information Technology

Afrique du Sud : The Information Regulator