Politique de confidentialité

1. MISE EN CONTEXTE

Dans le cadre de ses activités et de sa mission, Rexforêt (la « Société »), une filiale en propriété exclusive d'Investissement Québec (« IQ »), traite des renseignements personnels, notamment ceux de ses employés, de ses clients, des visiteurs de ses sites Web et de ses fournisseurs. À ce titre, elle reconnait l'importance de respecter la vie privée et de protéger les renseignements personnels qu'elle détient.

Afin de s'acquitter de ses obligations selon la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (la « Loi »), la Société s'est dotée de la présente Politique en matière de protection des renseignements personnels (la « Politique »). Celle-ci énonce les principes encadrant la protection des renseignements personnels détenus tout au long de leur cycle de vie, les droits des personnes concernées et le rôle des parties prenantes dans la mise en œuvre de la Loi.

La protection des renseignements personnels détenus par la Société incombe à toute personne qui traite ces renseignements, y compris les fournisseurs de services, les partenaires, et les consultants qui recueillent ou utilisent des renseignements personnels au bénéfice de la Société.

La présente Politique définit l'encadrement organisationnel en matière de protection des renseignements personnels.

2. OBJECTIFS

• - Énoncer le cadre de référence applicable aux renseignements personnels détenus par la Société;
• - Énoncer les principes et les règles de gouvernance de la Société à l'égard des renseignements personnels tout au long de leur cycle de vie;
• - Encadrer l'exercice des droits des personnes concernées;
• - Définir les rôles et responsabilités en matière de protection des renseignements personnels de la Société et du responsable de la protection des renseignements personnels (RPRP);
• - Encadrer les employés de la Société, ainsi que les ressources externes, incluant notamment les consultants et les fournisseurs de services, qui peuvent avoir accès à des renseignements personnels;
• - Décrire les activités de formation et de sensibilisation offertes par la Société.

3. PORTÉE

La Politique s'applique à la protection des renseignements personnels détenus par la Société. Les employés de la Société et les ressources externes, incluant notamment les consultants et fournisseurs de services ayant accès à des renseignements personnels dans le cadre de leur mandat, doivent se conformer à la Politique.

4. CADRE DE RÉFÉRENCE

Cette Politique est la référence en matière de protection des renseignements personnels pour la Société. Elle découle de la Politique en matière de protection des renseignements personnels d'IQ (la « Politique d'IQ »). D'autres documents pourront en découler, tels que des directives, procédures, avis ou tout autre document. Ceux-ci peuvent notamment couvrir des sujets comme :

• - les communications de renseignements personnels à l'extérieur du Québec;
• - l'obtention de consentements valides;
• - la conservation, l'archivage et la destruction des renseignements personnels;
• - l'exercice des droits des individus;
• - la conduite d'évaluation des facteurs relatifs à la vie privée;
• - la gestion des tiers, notamment par les exigences envers les fournisseurs et les contrats;
• - la communication de renseignements personnels au sein de la Société;
• - le traitement des plaintes provenant des personnes concernées.

Ces documents, la Politique et la Politique d'IQ (collectivement, le « Cadre de référence ») encadrent la mise en œuvre des mesures relatives à la protection des renseignements personnels de la Société.

5. DÉFINITIONS

Aux fins de la Politique, les termes suivants signifient :

CAI : désigne la Commission d'accès à l'information du Québec.

Cycle de vie : désigne l'ensemble des étapes visant le traitement d'un renseignement personnel soit la collecte, l'utilisation, la communication, la conservation et la destruction.

Incident de confidentialité : désigne la consultation, l'utilisation ou la communication non autorisée de renseignements personnels ou toute perte ou altération, accidentelle ou non, ou toute autre atteinte à la protection de ces renseignements.

Personne concernée : désigne la personne physique à qui se rapportent les renseignements personnels.

PDPRP : personne désignée à la protection des renseignements personnels.

Renseignement personnel : désigne toute information qui concerne une personne physique et qui permet de l'identifier directement, soit par le recours à cette seule information ou indirectement par combinaison avec d'autres informations.

Renseignement personnel sensible : désigne tout renseignement personnel qui, de par sa nature, notamment médicale, biométrique ou autrement intime, ou en raison de la manière dont il est utilisé ou communiqué, suscite un haut degré d'attente raisonnable en matière de vie privée.

Responsable de la protection des renseignements personnels ou « RPRP » : désigne la personne qui veille à assurer le respect et la mise en œuvre de la Loi au sein de la Société. Cette fonction est déléguée par le PDG d'IQ à un membre de l'organisme public ou de son conseil d'administration, selon le cas, ou à un membre du personnel de direction.

6. PRINCIPES DIRECTEURS

La protection des renseignements personnels est assurée tout au long de leur cycle de vie dans le respect des principes suivants, sauf exception prévue par la Loi.

Les coordonnées professionnelles, telles que le nom, le titre et la fonction, l'adresse postale, électronique et le numéro de téléphone du lieu de travail qui concernent l'exercice d'une fonction par une personne au sein d'une entreprise et les renseignements à caractère public, désignés comme tels par la Loi, ne sont généralement pas soumis aux principes directeurs.

6.1. Collecte

6.1.1. La Société ne recueille que les renseignements personnels nécessaires à la réalisation de ses activités. Avant de recueillir des renseignements personnels, la Société détermine les fins de leur traitement.

6.1.2. Au moment de la collecte, et par la suite sur demande des personnes concernées, la Société informe celles-ci conformément à la Loi, notamment des finalités de la collecte et du droit de retirer son consentement à l'utilisation ou la communication de renseignements personnels par la Société.

6.1.3. L'information prévue au paragraphe 6.1.2 est donnée en termes simples et clairs, au moyen d'un avis de confidentialité fournissant l'information requise.

6.1.4. La personne concernée qui fournit ses renseignements personnels après avoir reçu l'information au paragraphe 6.1.2 est présumée consentir à l'utilisation et à la communication des renseignements personnels visés pour les fins déclarées.

6.2. Utilisation

6.2.1. La Société n'utilise les renseignements personnels qu'aux fins pour lesquelles ces renseignements ont été recueillis. Cependant, la Société peut modifier ces fins si la personne concernée y consent préalablement.

6.2.2. Elle peut également les utiliser à des fins secondaires sans le consentement de la personne concernée, dans les seuls cas où l'utilisation projetée est permise par la Loi.

6.3. Communication

6.3.1. Sous réserve des exceptions prévues par la Loi, la Société ne peut communiquer des renseignements personnels sans le consentement de la personne concernée.

6.3.2. Lorsque les renseignements personnels sont communiqués à l'extérieur du Québec, la Société procède à une évaluation des facteurs relatifs à la vie privée conformément à l'article 7 des présentes.

6.4. Conservation

6.4.1. La Société prend toutes les mesures raisonnables afin que les renseignements personnels qu'elle détient soient à jour, exacts et complets pour servir aux fins pour lesquels ils sont recueillis ou utilisés.

6.4.2. La Société conserve les renseignements personnels aussi longtemps que nécessaire pour mener ses activités, conformément à son calendrier de conservation prévu par la Loi sur les archives.

6.5. Destruction et anonymisation

6.5.1. Lorsque les finalités pour lesquelles les renseignements personnels recueillis sont atteintes, ces renseignements sont détruits suivant les délais prévus au calendrier de conservation ou anonymisés.

7. ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE

L'évaluation des facteurs relatifs à la vie privée (« ÉFVP ») désigne la démarche préventive et évolutive qui vise à mieux protéger les renseignements personnels et à respecter davantage la vie privée des personnes physiques. Elle consiste à considérer tous les facteurs qui entraîneraient des conséquences positives et négatives sur le respect de la vie privée des personnes concernées.

Elle sert à démontrer que la Société a respecté toutes les obligations en matière de protection des renseignements personnels et que toutes les mesures ont été prises afin de protéger efficacement ces renseignements.

7.1. La Société réalise une ÉFVP notamment dans les situations suivantes :

• - avant d'entreprendre un projet d'acquisition, de développement ou de refonte d'un système d'information ou de prestation électronique de services qui implique des renseignements personnels;
• - avant de communiquer des renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d'étude, de recherche ou de production de statistiques;
• - avant de recueillir des renseignements personnels nécessaires à l'exercice des attributions ou à la mise en œuvre d'un programme d'un organisme public avec lequel il collabore pour la prestation de services ou pour la réalisation d'une mission commune;
• - dans certaines situations où la Société communique des renseignements personnels sans le consentement des personnes concernées;
• - avant de communiquer des renseignements personnels à l'extérieur du Québec;
• - pour toute autre situation jugée pertinente.

7.2. En effectuant une ÉFVP, la Société tient compte de :

En effectuant une ÉFVP, la Société tient compte de la sensibilité des renseignements à être traités, des fins de leur utilisation, de leur quantité, de leur distribution et de leur support, ainsi que de la proportionnalité des mesures proposées pour protéger les renseignements personnels. La Société tient également compte des critères déterminés par la Loi pour chaque ÉFVP.

8. DROITS DES PERSONNES CONCERNÉES

8.1. À la demande d'une personne concernée, la Société doit l'informer de ce qui suit :

• - les renseignements personnels recueillis auprès d'elle;
• - les catégories de personnes qui ont accès à ces renseignements au sein de la Société;
• - la durée de conservation de ces renseignements;
• - les coordonnées du RPRP de la Société.

8.2. Sous réserve de ce que prévoient les lois applicables, toute personne concernée dispose notamment des droits suivants à l'égard des renseignements personnels la concernant détenus par la Société :

• - le droit d'accéder aux renseignements personnels détenus par la Société et d'en obtenir une copie, que ce soit en format électronique ou non électronique :
  • - à moins que cela ne soulève des difficultés pratiques sérieuses, à la demande d'une personne concernée, la Société communique les renseignements personnels informatisés recueillis auprès d'elle dans un format technologique structuré et couramment utilisé;
• - le droit de faire rectifier tout renseignement personnel incomplet ou inexact;
• - le droit de demander la suppression d'un renseignement dans certaines circonstances, ou de formuler par écrit des commentaires à la Société;
• - le droit de demander à la Société de cesser de diffuser un renseignement ou de désindexer tout hyperlien rattaché à son nom à certaines conditions;
• - le droit d'être informée, le cas échéant, que des renseignements personnels sont utilisés pour prendre une décision fondée sur un traitement automatisé;
• - le droit de retirer son consentement à l'utilisation et à la communication de renseignements personnels recueillis par la Société;
• - le conjoint ou le proche parent d'une personne concernée décédée peut demander à la Société qu'un renseignement personnel qu'elle détient concernant cette personne lui soit communiqué, si la connaissance de ce renseignement est susceptible de l'aider dans son processus de deuil et que la personne concernée décédée n'a pas consigné par écrit son refus d'accorder ce droit d'accès.

8.3. Traitement des demandes de droits

Toute demande d'exercice des droits est prise en charge conformément au Cadre de référence de la Société.

9. SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS

La Société met en place des mesures de sécurité raisonnables afin d'assurer la confidentialité, l'intégrité et la disponibilité des renseignements personnels recueillis, utilisés, communiqués, conservés ou détruits. Ces mesures tiennent notamment en compte du degré de sensibilité des renseignements personnels, de la finalité de leur collecte, de leur quantité, de leur localisation et de leur support.

10. INCIDENTS DE RENSEIGNEMENTS PERSONNELS

10.1. Tout incident impliquant des renseignements personnels est pris en charge conformément au Plan de réponse aux incidents de confidentialité de la Société.

10.2. Conformément à la Loi, la Société tient à jour un registre des incidents de confidentialité impliquant des renseignements personnels.

10.3. Si l'incident de renseignements personnels présente un risque de préjudice sérieux pour les personnes concernées, la Société avise celles-ci avec diligence ainsi que la CAI.

10.4. Le registre des incidents de renseignements personnels est tenu à jour par la Personne désignée PRP pendant cinq ans après le dernier incident ou la période du dernier incident.

11. REGISTRES OBLIGATOIRES

11.1. Conformément à la Loi, la Société tient à jour les registres de renseignements personnels et s'assure de leur mise à jour.

12. ACTIVITÉS DE FORMATION ET DE SENSIBILISATION

La Société offre des activités de formation et de sensibilisation en matière de protection des renseignements personnels à ses employés et à toute personne ayant accès aux renseignements personnels qu'elle détient.

13. RÔLES ET RESPONSABILITÉS

La protection des renseignements personnels que la Société détient repose sur l'engagement de tous ceux qui traitent ces renseignements et plus particulièrement des parties prenantes qui suivent :

13.1. Toute personne, incluant les employés de la Société, ses consultants et fournisseurs de services, qui traite des renseignements personnels que la Société détient :

• - agit avec précaution et intègre les principes énoncés au Cadre de référence à ses activités;
• - lorsqu'elle recueille des renseignements personnels auprès d'une personne concernée, s'assure d'obtenir un consentement valide conformément au paragraphe 6.1 et de le documenter selon le Cadre de référence;
• - n'accède qu'aux renseignements personnels nécessaires à l'exercice de ses fonctions;
• - conserve ses dossiers contenant des renseignements personnels de manière que seules les personnes autorisées y aient accès;
• - s'abstient de communiquer les renseignements personnels dont elle prend connaissance dans l'exercice de ses fonctions, à moins d'être dûment autorisée à le faire;
• - ne conserve pas, sur aucun support, à la fin de son emploi ou de son contrat de service avec la Société, les renseignements personnels traités dans le cadre de ses fonctions et maintient la confidentialité des renseignements personnels ainsi traités;
• - détruit tout renseignement personnel conformément à la procédure contenue au Cadre de référence;
• - participe aux activités de sensibilisation et de formation en matière de protection des renseignements personnels qui lui sont destinées;
• - détecte les situations qui nécessitent de réaliser une ÉFVP et complète les documents appropriés;
• - signale tout manquement, incident de confidentialité ou toute autre situation ou irrégularité qui pourrait compromettre de quelconque façon la sécurité, l'intégrité ou la confidentialité de renseignements personnels à son supérieur immédiat ou au RPRP.

13.2. Le RPRP :

• - veille à assurer le respect et la mise en œuvre de la Loi conformément à la délégation écrite du PDG d'IQ;
• - soutient le PDPRP dans l'application et la mise en œuvre de la Politique et d'autres documents formant le Cadre de référence;
• - soutient la Société dans l'exercice de ses responsabilités et l'exécution de ses obligations en vertu de la Loi;
• - soutient les équipes de la Société dans la protection des renseignements personnels;
• - supervise la coordination de la réponse à un incident de renseignements personnels;
• - reçoit et traite les demandes écrites d'exercice de droits des personnes concernées;
• - informe le Comité en accès à l'information et protection des renseignements personnels d'IQ (le « Comité AIPRP d'IQ ») de tout incident de confidentialité ou de toute autre situation qui présente des risques d'atteinte au respect de la vie privée;
• - produit une reddition de comptes annuelle des activités liées à la protection des renseignements personnels, et la soumet au Comité AIPRP d'IQ;
• - est consulté, lorsque requis par la Loi, dès le début d'une ÉFVP, et peut suggérer des mesures de protection des renseignements personnels pour atténuer les risques;
• - recommande la Politique au conseil d'administration pour approbation.

13.3. La personne désignée à la protection des renseignements personnels (« PDPRP ») :

La personne désignée à la protection des renseignements personnels (« PDPRP ») désigne la personne qui, au sein de la Société, coordonne le respect et la mise en œuvre de la Loi avec le RPRP. Cette fonction est occupée par la Directrice, Ressources Humaines de la Société. Le PDPRP :

• - soutient les équipes de la Société dans la protection des renseignements personnels;
• - tient le registre des incidents de renseignements personnels de la Société et assure sa mise à jour;
• - soutient le RPRP pour produire une reddition de comptes annuelle des activités liées à la protection des renseignements personnels.

13.4. Le Comité AIPRP de la Société, à titre de sous-comité du Comité AIPRP d'IQ :

• - approuve les règles de gouvernance en matière de protection des renseignements personnels;
• - est consulté, lorsque requis par la Loi, dès le début d'une ÉFVP, et peut suggérer des mesures de protection des renseignements personnels pour atténuer les risques.

13.5. Le conseil d'administration

Le conseil d'administration adopte la Politique sur recommandation du RPRP.

13.6. Le président-directeur général d'IQ (le « PDG d'IQ ») :

• - veille à assurer la mise en œuvre de la Loi;
• - facilite l'exercice des fonctions du RPRP, notamment en s'assurant qu'il dispose des ressources appropriées pour la réalisation de son mandat.

14. TRAITEMENT DES PLAINTES

Toute plainte concernant la Société relative aux pratiques de protection des renseignements personnels ou de la conformité aux exigences de la Loi est transmise au RPRP, lequel la traite dans un délai ne dépassant pas 90 jours.

Investissement Québec pour Rexforêt
Responsable de la protection des renseignements personnels
10001, boulevard Robert Bourassa, bureau 1000
Montréal (Québec) H3B 4L4 Canada
Responsable.PRP@invest-quebec.com

15. SANCTIONS

Les employés de la Société et les ressources externes qui ne se conforment pas au Cadre de référence sont sujets, selon le cas, à des mesures disciplinaires pouvant aller de l'avis disciplinaire au congédiement.

Les mesures et pénalités contractuelles prévues aux ententes avec les fournisseurs, lesquelles peuvent notamment prévoir la résiliation du contrat et la réclamation de dommages-intérêts, s'appliqueront pour tout manquement de leur part au respect de la Loi.

De la formation et de la sensibilisation supplémentaire peuvent également être offertes en cas de défaut de respecter la Politique.

16. RÉVISION

La Politique pourra être mise à jour au besoin et sera révisée au moins tous les trois ans.

17. RESPONSABILITÉ

La Politique est sous la responsabilité de la Personne désignée PRP de la Société.

18. ENTRÉE EN VIGUEUR

Cette Politique entre en vigueur lors de son adoption par le conseil d’administration de la Société.