L’utilisation du masculin dans ce document pour désigner des personnes n’a d’autres fins que celle d’alléger le texte.

Date d’entrée en vigueur : 1er janvier 2023

Dernière mise à jour le 5 avril 2023

GCV informatique s’engage à assurer la protection des renseignements personnels de ses clients et de ses employés. La présente politique en matière de protection des Renseignements personnels s’applique à GCV Informatique. Elle vise à mettre en lumière le cycle de vie des renseignements personnels, soit leur collecte, leur conservation, leur utilisation, leur communication ainsi que leur destruction au sein de l’entreprise. Elle stipule les mesures de sécurité mises en place pour s’assurer de la protection des renseignements personnels détenus par GCV Informatique ainsi que les droits des personnes concernées par la collecte, l’utilisation et la communication de leurs renseignements personnels.

Cette politique est conçue pour respecter la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé à laquelle les entreprises privées doivent se conformer.

Les renseignements personnels détenus par GCV Informatique seront traités selon la Politique en matière de protection des renseignements personnels, sauf dans le cas d’une entente écrite entre GCV Informatique et la personne ou l’organisation concernée. La présente politique est applicable à tous les renseignements personnels recueillis, peu importe leur provenance.

GCV Informatique se réserve le droit de modifier cette politique en matière de protection des renseignements personnels. La date de la dernière révision correspond à la révision la plus récente.

« Renseignements personnels » (RP) : désigne tout renseignement qui concerne une personne physique et permet directement ou indirectement de l’identifier. Il peut s’agir notamment, mais sans s’y limiter, du nom prénom, date de naissance, adresse postale, adresse courriel, information sur l’état de santé, information sur le statut civil, etc. Les catégories de renseignements personnels visées sont les suivantes :

• Renseignements de santé
• Renseignements financiers
• Renseignements relatifs au travail
• Renseignements scolaire et relatifs à la formation
• Renseignements relatifs à la situation sociale ou familiale
• Renseignements d’identification

Le détail concernant chacune de ses catégories peut être trouvé sur le site du Gouvernement du Québec.[1] GCV Informatique peut détenir les renseignements personnels de Client dans le cadre de Prestations de service ou d’un Employé, dans le cadre d’un processus d’embauche ou de maintien à l’emploi.

Les informations professionnelles, telles que, mais non limitées à une adresse courriel professionnelle, un numéro de poste téléphonique professionnel ou un titre de fonction professionnelle ne constituent pas un Renseignement personnel.

Un Renseignement personnel est considéré comme sensible lorsqu’il comporte un haut risque d’atteinte à la vie privée d’une personne, tel que le numéro d’assurance sociale.

« Consentement tacite » : désigne un consentement reconnu dans certaines circonstances telle qu’une action supposant une relation d'affaires future ou actuelle tel que stipulé dans la Loi canadienne anti-pourriel[2].

« Collecte » : désigne la première étape du cycle de vie des renseignements personnels qui constitue la date à laquelle le renseignement personnel est recueilli.

« Utilisation » : désigne l’usage d’un renseignement personnel selon des fins définies.

« Communication » : désigne la transmission d’un renseignements personnels à un tiers ou à une personne non autorisée.

« Conservation » : désigne la durée pendant laquelle une organisation garde des renseignements personnels, peu importe leur forme et sans égard au statut de leur utilisation.

« Destruction » : désigne la dernière étape du cycle de vie des renseignements personnels qui consiste à supprimer définitivement le renseignement personnel de façon sécurisée.

GCV Informatique recueille des Renseignements personnels suite à un contact direct entre elle et la personne concernée, par exemple dans le cas de demandes de prestations de service ou de demande d’emploi. Tout Renseignement personnel est recueilli conformément à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé. Les types de renseignements détenus ainsi que leur endroit de conservation sont consignés dans un Inventaire.

Renseignements fournis par un Client actuel ou un client potentiel :

GCV informatique collecte des informations professionnelles concernant ses clients actuel ou à venir. Il peut toutefois arriver qu’une personne transmette des renseignements personnels tels que son adresse courriel personnelle ou son numéro de téléphone. La personne comprend alors que cette information sera utilisée uniquement dans le but et aux fins de répondre à la demande de la personne concernée.

GCV Informatique pourrait utiliser ces informations afin de communiquer des informations concernant des produits et services à la personne ayant transmis ses renseignements, par exemple, dans le cadre d’une infolettre. Toutefois, il est possible de se désinscrire ou de demander à GCV Informatique de cesser toutes communications à tout moment. Il est important de ne communiquer aucun Renseignement personnel sensibles tel qu’un numéro d’assurance sociale, une date de naissance, une information bancaire, etc.

Si la personne fournit de l’information sensible, elle comprend qu’elle le fait à ses propres risques et que GCV Informatique ne pourra en aucun cas être tenu responsable de la divulgation de cette information.

Renseignements fournis par l’Employé :

GCV informatique collecte des informations personnelles concernant ses employés. Toutes les catégories de renseignements personnels tels que décrits à la section Définitions du présent document pourrait faire l’objet de la collecte de renseignements personnels. Certaines de ses informations sont réputées être des Renseignements personnels sensibles. Les Renseignements personnels collectés, qu’ils soient sensibles ou non, sont utilisées afin de maintenir à jour un dossier employé ou dans le cadre d’obligations légales. GCV informatique s’engage à respecter les pratiques relatives à la confidentialité de ces informations.

GCV Informatique utilise le consentement tacite dans le cadre de relation avec ses clients actuels et potentiels ainsi que le consentement écrit avec ses employés pour lesquels des renseignements personnels sensibles sont collectés. Les fins auxquelles sont collectés les renseignements personnels sont stipulés à la section Collecte du présent document.

Pour toute utilisation à d’autres fins que celles précédemment mentionnées, GCV Informatique obtiendra le consentement de la personne concernée au préalable.

GCV Informatique utilisera les Renseignements personnels uniquement aux fins pour lesquels ces derniers ont été recueillis et pour lesquelles la personne a consenti. GCV Informatique peut utiliser les Renseignements personnels aux fins suivantes :

Renseignements fournis par un Client actuel ou un client potentiel :

• Fournir des prestations de services
• Transmettre de l’information sur des nouveaux produits et services susceptibles de faire partie des intérêts des personnes concernées, conformément à la Loi canadienne antipourriel du Canada.
• Prévenir la fraude et l’usurpation d’identité

Renseignements fournis par l’Employé :

• Traiter des demandes d’emploi
• Maintenir à jour un dossier d’Employé
• Analyser et bonifier l’expérience Employé
• Communiquer avec un Employé
• Approfondir la relation Employeur-Employé
• Prévenir la fraude et l’usurpation d’identité

Lorsque les Renseignements personnels sont utilisés à d’autres fins que celles mentionnées ci-dessous ou celles pour lesquelles vous êtes réputées avoir donné votre consentement, GCV Informatique demandera l’obtention de votre consentement.

Les renseignements personnels détenus par GCV Informatique pourront être utilisés pendant toute la durée nécessaire pour réaliser les fins pour lesquels ces derniers ont été recueillis, tel que permis ou exigé par la loi.

GCV informatique pourrait communiquer vos renseignements à des tiers fournisseurs de services qui nous aident à réaliser les fins mentionnées précédemment. Dans de tels cas, GCV Informatique a conclu une entente contractuelle afin de protéger les Renseignements personnels de façon appropriée. Il peut s’agir, à titre d’exemple, de soutien juridique, technique, d’une firme de recouvrement ou d’un tiers validant la solvabilité de la personne concernée.

GCV Informatique pourrait communiquer les renseignements personnels détenus dans le but de répondre à des exigences en matière d’assurance ou lorsqu’elle croit qu’une tierce partie en faisant la demande agit comme mandataire de la personne concernée.

Les Renseignements personnels détenus par GCV Informatique pourraient faire l’objet d’une communication dans le cadre de la vente d’une partie ou de la totalité des actifs ou d’une restructuration de l’entreprise. Dans un tel cas, l’utilisation des Renseignements personnels détenus seront encadrés par les lois applicables.

Dans le cas où des Renseignements personnels sont communiqués à l’extérieur du Canada, ceux-ci seront assujettis aux lois applicables du pays où ils sont communiqués.

Nonobstant ce qui précède, tous les membres du personnel de GCV Informatique sont assujettis à une clause contractuelle de confidentialité valide au moment de leur emploi et après celui-ci afin de protéger la confidentialité des données et des Renseignements personnels.

Les Renseignements personnels détenus par GCV Informatique pourront être communiqués pendant toute la durée nécessaire pour réaliser les fins pour lesquels ces derniers ont été recueillis, tel que permis ou exigé par la loi.

GCV Informatique détient une sauvegarde de toutes les données numériques détenues à des fins préventives. L’entreprise conserve les Renseignements personnels de ses Clients et Employés ainsi que leurs sauvegardes dans des serveurs infonuagiques situés au Canada ou aux États-Unis.

À moins d’une interdiction ou d’obligations légales mentionnées dans une entente légale explicite avec un client, GCV Informatique peut avoir recours à des services d’un fournisseur externe. Le cas échéant, GCV Informatique prend les mesures nécessaires pour protéger les renseignements personnels détenus chez un tiers fournisseur.

Dans la mesure où la conservation des Renseignements personnels implique l’usage de services ou de serveurs de fournisseurs tiers, ces fournisseurs tiers et leurs serveurs peuvent être situés au Canada ou aux États-Unis d’Amérique où pourraient être transmis des Renseignements personnels téléchargés ou autrement communiqués par le Client. Dans un tel cas, les Renseignements personnels hébergés ou transmis dans d’autres pays sont assujettis aux lois et aux exigences légales de l’endroit géographique où ils sont conservés.

Les renseignements personnels détenus par GCV Informatique pourront être conservés pendant toute la durée nécessaire pour réaliser les fins pour lesquels ces derniers ont été recueillis, tel que permis ou exigé par la loi. Les renseignements personnels à détruire seront conservés dans un endroit spécifique dont l’accès est accordé uniquement à certains employés autorisés dont la fonction nécessite qu’ils y aient un accès.

Tous les fournisseurs tiers retenus par GCV Informatique ayant accès aux Renseignements personnels sont tenus d’exercer leurs activités de façon à être conforme à la présente Politique en matière de protection des renseignements personnels.

GCV Informatique ne recueillera, n'accédera, ne transférera, ne stockera et ne traitera des Renseignements personnels que dans la mesure où cela est nécessaire à l’exécution ou la remise des Prestations ou de gestion de dossier d’un Employé et que dans la mesure permise par les Lois de vie privée.

GCV Informatique informera rapidement le Client ou l’Employé par avis écrit dans l’éventualité où elle prendrait connaissance d’un incident de confidentialité (tel que défini par les Lois de vie privée) affectant des Renseignements personnels en sa possession.

GCV Informatique mettra en œuvre des mesures administratives, techniques et physiques appropriées et conformes aux pratiques du secteur pour protéger les Renseignements personnels en sa possession contre l'accès, le stockage et le traitement non autorisé ou illégal.

GCV informatique a mis en place des mesures de sécurité raisonnables, pour protéger les Renseignements personnels, en fonction de leur sensibilité, notamment en limitant l’accès à certains Renseignements personnels uniquement à certains employés autorisés dont la fonction nécessite qu’ils aient un accès à ceux-ci.

GCV Informatique veille à ce que les renseignements détenus soient le plus complets et à jour possibles. Afin que ces renseignements soient exacts, chaque personne est responsable de communiquer par voie écrite toute modifications concernant ses renseignements personnels ou professionnels.

Toute demande écrite d’accès ou de rectification à ses renseignements personnels peut être transmise à GCV Informatique, à l’attention du Responsable de la protection des renseignements personnels. Pour de plus amples informations en lien avec vos droits d’accès, il est possible de communiquer avec le Responsable de la protection des renseignements personnels de l’entreprise. Les coordonnées figurent sur le site Internet de l’entreprise, à la section Nous joindre. Toutes demandes sera prise en charge selon le processus et les délais exposés ci-dessous.

a.     Processus

Suite à la réception d’un avis écrit d’accès ou de rectification aux renseignements personnels, GCV Informatique veillera à valider l’identité de la personne faisant la demande au moyen de pièces d’identité. Après la validation de l’identité, la demande sera traitée et les informations seront acheminées dans un format lisible et compréhensible, accompagnées, au besoin, d’explications ou d’une légende selon le processus.

b.        Délai de réponses

GCV Informatique répondra à toute demande écrite dans les trente (30) jours suivants la réception de celle-ci. Dans l’impossibilité de respecter ce délai, GCV Informatique avisera la personne concernée par écrit. Il est possible, à tout moment, de formuler une plainte à la Commission d'accès à l'information.

c.     Frais inhérents aux demandes

Toute demande d’accès ou de rectification aux renseignements personnels sera traitée sans frais sauf si des frais de retranscription, de reproduction ou de transmission sont applicables. Le cas échéant, GCV Informatique fournira à la personne concernée une estimation de ces frais. La personne concernée disposera de trente (30 jours) pour approuver ou refuser les frais. Si aucune réponse n’est reçue dans le délai prescrit, la demande sera considérée comme nulle.

Tout commentaires, questions, préoccupations ou plaintes concernant notre Politique en matière de protection des renseignements personnels peuvent être acheminées au Responsable de la protection des renseignements personnels dont les coordonnées figurent sur le site Internet de l’entreprise, à la section Nous joindre.

En tout temps, il est possible de déposer une plainte à la Commission d’accès à l’information du Québec.

GCV Informatique s’engage à détruire tout Renseignements personnels détenus en format papier ou virtuel de façon sécuritaire, et ce, dès que la finalité pour laquelle ces derniers ont été recueillis a été accomplie, sous réserve du délai prévu par la loi ou par une instance gouvernementale.

Les renseignements personnels détenus en format papier feront l’objet d’un déchiquetage au moment de leur destruction. Les renseignements personnels détenus en format numériques feront l’objet d’un archivage dès que la finalité pour laquelle ils ont été collectés est accomplie et seront supprimés définitivement au plus tard 1 an après leur archivage, ou à la demande de la personne concernée, dans un délai diligent, sous réserve de certaines circonstances juridiques et des lois encadrant cette suppression définitive. GCV Informatique s’engage à traiter le matériel informatique désuet contenant des renseignements personnels de façon sécuritaire en effectuant un processus de destruction des données avant de s’en départir.

Gouvernement du Québec (23 février 2023) [En ligne],Incident de confidentialité | Gouvernement du Québec (quebec.ca)

Gouvernement du Québec (23 février 2023) [En ligne],Modèle de lettre d'avis d'incident (quebec.ca)

Commission d’accès à l’information du Québec (8 février 2023) [En ligne],Incidents de confidentialité | Commission d'accès à l'information du Québec (gouv.qc.ca)

Commission d’accès à l’information du Québec (8 février 2023) [En ligne], avisez la Commission et les personnes | Commission d'accès à l'information du Québec (gouv.qc.ca)

Commissariat à la protection de la vie privée (31 mars 2023), [En ligne],Conservation et retrait des renseignements personnels : Principes et pratiques exemplaires - Commissariat à la protection de la vie privée du Canada

Gouvernement du Canada [En ligne], consulté le 31 mars 2023, Mise à jour le 20 septembre 2022,Protection des renseignements personnels | Commission d'accès à l'information du Québec (gouv.qc.ca)