Skip to content
(Dernière mise à jour : 22 septembre 2024)
Politique approuvée par le responsable de la protection des renseignements personnels.
1. OBJECTIF
Cette politique présente les mesures mises en place en matière de protection des renseignements personnels.
Elle vise à conscientiser les employés de l’entreprise à l’application d’un processus de gestion et de protection des renseignements personnels pour éviter la perte de données en limitant la diffusion de l’information aux personnes en ayant besoin dans le cadre de leurs fonctions.
2. TERMINOLOGIE
a) Candidat : Toute personne qui soumet sa candidature dans le cadre d’un processus de recrutement d’un nouvel employé;
b) Client : toute personne physique qui contacte (ou est contactée) par l’Épicier, par téléphone, par courriel, ou via le formulaire de contact disponible sur le site Internet, et ce afin d’obtenir de l’information sur le service d’épicerie à domicile et/ou de signer un contrat;
c) Employé : inclut de manière générale toute personne qui a un lien d’emploi avec l’Épicier y compris, pour les fins des présentes, les vendeurs prestataires de services, les actionnaires et les administrateurs;
d) L’Épicier : Alimentation L’Épicier inc.;
e) Responsable de la protection des renseignements personnels : Didier Henssen, vice-président exécutif;
3. DÉFINITION DES RENSEIGNEMENTS PERSONNELS
C’est un renseignement qui permet d’identifier une personne physique, directement ou indirectement.
Les renseignements personnels sont confidentiels. Leur confidentialité découle du droit à la vie privée, permettant à toute personne d’exercer un contrôle sur l’utilisation et la circulation de ses renseignements.
Par contre, la fonction et les coordonnées professionnelles d’une personne au sein d’une entreprise ne constituent pas des renseignements personnels.
4. COLLECTE DES RENSEIGNEMENTS PERSONNELS
4.1 Renseignements NÉCESSAIRES :
Il est primordial de s’assurer que seuls les renseignements personnels qui sont NÉCESSAIRES à l’exécution de nos services sont collectés.
a) Concernant les Clients :
Pour les Clients, il s’agit des renseignements nécessaires à l’ouverture de leur compte, l’analyse de leur dossier de crédit (pour l’obtention du financement), la facturation, le paiement et la livraison des produits commandés et également pour l’envoi d’offres publicitaires et promotionnelles, c’est-à-dire :
Renseignements d’identification : nom et prénom, numéro de téléphone, adresse postale, adresse courriel.
Renseignements financiers : date de naissance, numéro d’assurance sociale, état civil, emploi actuel et emploi précédent, revenus, dettes (prêts, marges de crédit, cartes de crédit) et spécimen de chèque.
Cela inclut également les renseignements contenus sur des supports autres que papier, soit notamment les enregistrements audio.
b) Concernant les Employés ou Candidats :
Pour les Employés, il s’agit des renseignements nécessaires à la gestion des ressources humaines et à l’octroi des avantages sociaux, c’est-à-dire :
En plus des renseignements d’identification précédemment décrits, cela comprend également les informations bancaires, les CV, lettre de présentation, et lettre de référence, les coordonnées des personnes contacts en cas d’urgence.
4.2 Devoir d’information avant la collecte des renseignements :
La personne qui recueille des renseignements personnels auprès d’un Client, d’un Employé ou d’un Candidat doit l’informer des fins auxquelles l’information est collectée, de l’utilisation qui en sera faite, des catégories de personnes qui y auront accès au sein de L’Épicier, de l’endroit où ils seront détenus, de ses droits d’accès et de rectification.
De manière générale, L’Épicier doit collecter les renseignements personnels directement auprès de la personne concernée, après l’avoir informée conformément au paragraphe précédent.
4.2.1 Lecture du « script » lors des premières communications téléphoniques :
Lorsque L’Épicier contacte un Client pour la première fois, que ce soit à la demande de ce dernier ou suivant l’initiative de l’Épicier, il faut l’informer des mesures de protection de ses renseignements personnels mises en place et de ses droits à cet égard.
Pour cela, il faut lire au Client le « Script- protection des renseignements personnels » de manière claire et audible et lui demander si, oui ou non, il consent. L’Épicier conserve l’enregistrement audio du consentement formulé par le Client ainsi que sa date.
L’Épicier conserve également à son dossier la version du « Script- protection des renseignements personnels » en vigueur au moment du consentement pour démontrer que le Client a donné un consentement éclairé.
4.2.2 Signature du formulaire de consentement lors de la signature du contrat :
Au moment de la signature du contrat, L’Épicier remet au Client la « Notice d’information et de consentement » pour l’informer des mesures de protection de ses renseignements personnels mises en place et de ses droits à cet égard.
L’Épicier se rend disponible, au besoin, pour aider le Client à comprendre cette notice avant de la signer.
L’Épicier conserve une copie de ce formulaire de consentement signé.
4.3 Renseignements personnels sensibles :
Parmi les renseignements collectés par l’Épicier, certains sont qualifiés de sensibles et requièrent une attention particulière, soit le numéro d’assurance sociale et les renseignements financiers.
4.4 Méthodes de collecte des renseignements personnels :
L’Épicier collecte les renseignements personnels de plusieurs façons, soit plus précisément :
– Auprès des Clients : lors des communications avec L’Épicier par téléphone ou courriel, via le formulaire de contact disponible sur le site Internet ou encore par le biais de son application mobile. Par la suite, lors de la visite d’un représentant chez le Client au moment de l’ouverture du compte.
– Auprès des Employés : par les ressources humaines lors des entrevues et par la suite dans le cadre de leur travail;
5. UTILISATION DES RENSEIGNEMENTS PERSONNELS
Les renseignements personnels recueillis ne peuvent être utilisés qu’aux fins pour lesquelles ils ont été recueillis, soit :
– Pour les Clients : pour répondre à leur demande d’information, pour l’ouverture de leur compte, pour l’analyse de leur dossier de crédit pour l’obtention de financement, pour la facturation et le paiement, ainsi que pour la livraison des produits et également pour l’envoi d’offres promotionnelles.
– Pour les Employés : pour la gestion des ressources humaines et l’octroi des avantages sociaux.
6. LISTE DES PERSONNES POUVANT AVOIR ACCÈS AUX RENSEIGNEMENTS PERSONNELS
Les renseignements personnels collectés par L’Épicier ne sont accessibles qu’aux personnes qui ont la qualité pour les recevoir et en prendre connaissance et qui les consultent uniquement lorsque cela est NÉCESSAIRE dans l’exercice de leurs fonctions.
6.1 Concernant les Clients :
Peuvent avoir accès à ces renseignements personnels:
– Concernant les renseignements d’identification : tous les Employés de l’Épicier;
– Concernant les renseignements financiers : tous les Employés du département de comptabilité et de crédit et tous les membres et Employés de la direction de l’Épicier.
6.2 Renseignements concernant les Employés et Candidats :
Peuvent avoir accès à ces renseignements personnels :
– Les Employés du département des ressources humaines et de la direction;
– Les professionnels externes;
7. COMMUNICATION DES RENSEIGNEMENTS PERSONNELS
L’Épicier ne doit pas communiquer à des tiers les renseignements personnels collectés sans le consentement de la personne concernée.
Les seuls cas où L’Épicier pourra les communiquer à un tiers sans obtenir le consentement de la personne concernée sont les suivants :
7.1 Lorsque c’est NÉCESSAIRE pour l’exécution d’un contrat de service ou d’entreprise
L’Épicier pourra communiquer les renseignements personnels, sans le consentement de la personne concernée, aux fournisseurs de services suivants :
– Les sociétés offrant des services d’enquête de crédit;
– Les sociétés offrant du financement;
– Les fournisseurs de service informatique et d’analyse de données;
– Les plateformes de traitement de la rémunération;
– Les conseillers externes (avocats, comptables, etc);
7.2 Lorsque c’est nécessaire pour la conclusion d’une transaction commerciale
C’est le cas de la vente ou fusion de L’Épicier, ou encore de l’obtention d’un nouveau financement.
Dans tous les cas, L’Épicier devra conclure une entente écrite avec l’autre partie pour s’assurer qu’elle prenne les mesures propres à assurer la protection des renseignements personnels.
7.3 Autres situations :
– Communication à une personne à qui cette communication doit être faite en raison d’une situation d’urgence mettant en danger la vie, la sécurité ou la santé de la personne concernée;
– Communication à un organisme chargé en vertu de la loi de prévenir, détecter ou réprimer le crime ou les infractions aux lois, qui le requiert dans l’exercice de ses fonctions, si le renseignement est nécessaire pour la poursuite d’une infraction à une loi applicable au Québec;
– Communication aux autorités publiques gouvernementales lorsqu’exigé par la loi ou nécessaire à l’exercice des fonctions de L’Épicier;
8. CONSERVATION DES RENSEIGNEMENTS PERSONNELS
8.1 Concernant les Clients :
Tous les renseignements, sur support papier, sont conservés dans un local à accès restreint, et ce de façon à en préserver la confidentialité.
Les renseignements sur support numérique sont enregistrés sur les serveurs utilisés par L’Épicier de manière sécurisée et protégée par un mot de passe de façon à en préserver la confidentialité.
L’Épicier conserve les renseignements, sur support papier et sur support numérique, pour une durée de sept (7) ans à compter du dernier paiement effectué par le Client.
Une fois la période de conservation échue, les documents devront être détruits par un procédé mécanique qui en assure la confidentialité.
8.2 Concernant les Employés et Candidats :
Tous les renseignements, sur support papier, sont conservés dans un local à accès restreint, et ce de façon à en préserver la confidentialité.
Les renseignements sur support numérique sont enregistrés sur les serveurs utilisés par L’Épicier de manière sécurisée et protégée par un mot de passe de façon à en préserver la confidentialité.
L’Épicier conserve les renseignements, sur support papier et sur support numérique, pour toute la durée pendant laquelle l’Employé est à l’emploi de L’Épicier et pour une durée de sept (7) ans à compter de la fin de celui-ci.
Concernant les Candidats qui ne seraient pas embauchés, L’Épicier conserve les renseignements, sur support papier et sur support numérique, pour une période d’1 an à compter de la fin du processus d’entrevue.
Une fois la période de conservation échue, les documents devront être détruits par un procédé mécanique qui en assure la confidentialité.
9. DEMANDE D’ACCÈS ET RECTIFICATION DES RENSEIGNEMENTS PERSONNELS
Tout Client, Employé ou Candidat de L’Épicier peut demander, dans les limites de la loi et des règlements applicables, de consulter le dossier contenant ses renseignements personnels et demander leur rectification, s’il y a lieu.
9.1 Modalité de la demande :
Toute demande de renseignement doit être adressée au Responsable de la protection des renseignements personnels, par écrit détaillant suffisamment et de façon précise les renseignements auxquels elle demande accès.
9.2 Réponse à la demande :
Le Responsable de la protection des renseignements personnels doit, dans les 30 jours de la réception de la demande, répondre au demandeur de renseignement en lui indiquant l’acceptation ou le refus de la demande et dans le cas d’un refus, il doit justifier sa décision.
9.3 Mise à jour des renseignements :
Tout Client, Employé ou Candidat de L’Épicier peut demander à ce que ses propres renseignements personnels consignés aux dossiers de L’Épicier soient mis à jour en fournissant l’information pertinente.
10. LISTE INTERNE DE NUMÉROS EXCLUS (« DO NOT CALL LIST »)
Si un Client demande à L’Épicier de ne plus être contacté, L’Épicier ajoute son nom, prénom et son numéro de téléphone sur la Liste interne de numéros exclus, et ce dans les 14 jours de la réception de la demande du Client.
L’Épicier conserve le nom, prénom et numéro de téléphone de ce Client sur la Liste interne de numéros exclus pendant trois (3) ans.
L’Épicier n’utilise ni ne communique le nom, prénom et numéro de téléphone de ce Client que dans le but de s’assurer de ne plus contacter ce Client.
11. GESTION DES INCIDENTS DE CONFIDENTIALITÉ
11.1 Définition de l’incident de confidentialité :
Il y a incident de confidentialité en cas de :
– D’accès non autorisé par la loi à un renseignement personnel;
– D’utilisation non autorisée par la loi d’un renseignement personnel;
– De communication non autorisée par la loi d’un renseignement personnel;
– De perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement;
L’incident de confidentialité peut résulter d’un geste volontaire ou involontaire commis par une personne à l’interne (ex. un employé de L’Épicier) ou à l’externe (sous-traitant, prestataire de services, fournisseur, pirate informatique, etc).
Exemples d’incidents : intrusion dans le système informatique, logiciel malveillant, virus ou faille informatique, extraction de données non autorisée par un employé ou autre de L’Épicier, envoi électronique contenant des renseignements personnels à un à la mauvaise adresse courriel, perte d’un courrier, perte ou vol d’un ordinateur portable ou de dossier physique.
11.2 Procédure à suivre en cas d’incident de confidentialité :
a) Obligation de L’Épicier: Tout Employé, quel que soit son statut doit sans tarder dénoncer tout incident de confidentialité au Responsable de la protection des renseignements personnels;
b) Identification de la cause de l’incident : Le Responsable de la protection des renseignements personnels procède à une enquête afin de déterminer les renseignements qui ont fait l’objet d’une fuite pour déterminer les personnes visées. Il pourra prendre tous les moyens nécessaires afin de mener son enquête;
c) Divulgation au Conseil de direction : Le Responsable de la protection des renseignements personnels doit informer sans délai le Conseil de direction de tout incident potentiel ou réel;
d) Diminuer les conséquences : Si le Responsable de la protection des renseignements personnels a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel détenu par L’Épicier, il doit prendre des mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent après avoir informé le conseil de direction de L’Épicier des risques et obtenus son aval pour mettre en place les mesures proposées;
e) Informer les personnes visées : Le Responsable de la protection des renseignements personnels doit informer les personnes visées de l’incident réel et des mesures prises afin de diminuer les conséquences. Toutefois, une personne dont un renseignement personnel est concerné par l’incident n’a pas à être avisée tant que cela serait susceptible d’entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargée de prévenir, détecter ou réprimer le crime ou les infractions aux lois;
f) Inscrire l’incident au registre : Le Responsable de la protection des renseignements personnels doit tenir un registre des incidents de confidentialité impliquant un renseignement personnel et y inscrire tout incident de confidentialité;
Déclarer l’incident à la CAI : Le Responsable de la protection des renseignements personnels doit déclarer l’incident à la Commission d’accès à l’information, le tout sur le formulaire prescrit;