La présente politique de confidentialité et de protection des renseignements personnels vise à établir les principes régissant la collecte, la protection, l’utilisation et la communication des renseignements personnels par les échangeurs d'air Exp-Air inc. ci-après nommée Expair.ca afin d’assurer la protection de ceux-ci (« Politique»).
Expair.ca peut être appelée à recueillir, à détenir, à utiliser ou à communiquer à des tiers des renseignements personnels obtenus dans le cadre de l’exécution de ses travaux et activités.
À cette fin, la Politique a pour but de :
Un renseignement personnel est tout renseignement qui concerne une personne physique et qui permet directement ou indirectement de l’identifier. Il peut être notamment de nature :
Un renseignement personnel est considéré comme sensible lorsqu’il, de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré d’attente raisonnable en matière de vie privée. Pour les fins des présentes, la référence au terme « renseignement personnel » inclut également un renseignement personnel sensible.
Cette Politique est établie conformément aux obligations qui incombent à Expair.ca en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé1. (« Loi secteur privé ») et tout règlement qui s’y rattache.
Le Personnel est tenu de respecter la présente Politique pendant la durée de son emploi.
Chaque membre du Personnel est également tenu à une obligation de confidentialité et de loyauté relativement notamment aux renseignements, aux informations ou aux documents dont il a accès dans le cadre de son emploi, incluant les renseignements personnels et ce, quelle que soit la nature de leur support et la forme sous laquelle ceux-ci sont accessibles (écrite, graphique, sonore, visuelle, informatisée ou autre). Cette obligation de confidentialité inclut uneobligation de ne pas les utiliser (pour son propre bénéfice ou le bénéfice d’une tierce personne), les divulguer, les reproduire ou les transmettre à quiconque, sauf exception prévue à la loi.
La protection des renseignements personnels doit être assurée durant tout le cycle de vie de ces derniers, c’est-à-dire lors de la collecte, l’utilisation, la communication, la conservation et la destruction.
1. COLLECTE ET CONSENTEMENT
Collecte
Expair.ca indiquera les fins auxquelles les renseignements personnels ont été recueillis au moment où elle obtiendra, de la personne concernée, son consentement, et ce, avant leur utilisation. Expair.ca utilisera généralement les renseignements personnels concernant une personne physique aux fins suivantes :
Chaque membre du Personnel, avant de recueillir pour Expair.ca, un renseignement personnel concernant une personne physique, dans le cadre de ses fonctions, doit préalablement :
Informer
Au moment de recueillir pour Expair.ca un renseignement personnel, et par la suite sur demande, chaque membre du Personnel doit informer la personne visée par la demande, en termes simples et clairs, notamment des éléments suivants :
L’obligation d’information et de l’obtention du consentement ne s’applique pas aux cas où le membre du Personnel a accès à ces renseignements par l’entremise d’une entreprise qui détient ces renseignements, laquelle entreprise a octroyé à Expair.ca un mandat de représentation ou lui a donné une procuration ou conclu un contrat de service avec Expair.ca, le tout dans le cadre des travaux et activités effectués par Expair.ca.
Toutefois, les obligations relatives à l’utilisation, la communication, la conservation ou la destruction énoncées aux présentes demeurent applicables conformément aux modalités stipulées.
Consentement
Chaque membre du Personnel doit obtenir le consentement de la personne concernée pour recueillir ses renseignements personnels. La preuve de consentement doit être conservée au dossier. En cas de refus de la personne concernée d’octroyer son consentement, le membre du Personnel qui a fait la demande doit informer immédiatement par écrit le RPRP.
Le RPRP procédera à l’analyse de la situation et déterminera si l’absence de consentement permet à Expair.ca de refuser d’acquiescer à une demande en raison du refus de la personne visée par la demande selon les cas permis par la Loi secteur privé.
2. UTILISATION
Tout membre du Personnel qui doit utiliser des renseignements personnels dans le cadre de ses fonctions ne peut les
utiliser qu’aux fins pour lesquelles ils ont été recueillis, sauf si la personne concernée consent à d’autres fins.
3. COMMUNICATION
Accès interne aux renseignements personnels
L’accès aux renseignements personnels doit être limité aux seules personnes ayant la qualité pour les recevoir au sein de Expair.ca lorsque ces renseignements sont nécessaires à l’accomplissement de leurs fonctions.
Communication aux personnes autorisées par la personne concernée
Les renseignements personnels d’une personne concernée peuvent être communiqués à des tiers (personne morale ou physique) pour les fins pour lesquelles ils ont été colligés, à condition d’avoir obtenu préalablement son consentement écrit à une telle communication.
Communication autorisée par la Loi secteur privé – sans le consentement de la personne concernée
En vertu de la Loi secteur privé, il est possible pour Expair.ca de devoir communiquer, à des fins légitimes, des renseignements personnels sans le consentement de la personne concernée, dont notamment dans les cas suivants :
Une communication à des tiers est consignée au registre prévu à cet effet.
Niveau de protection
Tout membre du Personnel qui communique, à l’interne ou à une tierce partie, des renseignements personnels dans le cadre de ses fonctions, que ce soit dans le cadre d’une communication autorisée par la personne concernée ou une disposition de la Loi secteur privé, doit :
Sauf dans le cas d’une communication à l’interne ou à une entité gouvernementale, à un organisme public ou à une ordonnance judiciaire, la tierce partie à qui ces renseignements seront divulgués doit, préalablement à ladite communication, signer un engagement de confidentialité.
2. Une transaction commerciale s’entend de l’aliénation ou de la location de tout ou partie d’une entreprise ou des actifs dont elle dispose, d’une modification de sa structure juridique par fusion ou autrement, de l’obtention d’un prêt ou de toute autre forme de financement par celle-ci ou d’une sûreté prise pour garantir une de ses obligations.
Registre des communications à des tiers
Expair.ca doit tenir un registre à jour des renseignements personnels communiqués, notamment aux personnes suivantes :
Évaluation des facteurs relatifs à la vie privée (« EFVP »)
L’EFVP est une démarche préventive visant à mieux protéger les renseignements personnels et à mieux respecter la vie privée des personnes physiques. Elle consiste à considérer tous les facteurs qui auront un impact positif ou négatif pour le respect de la vie privée des personnes concernées.
Lorsqu’applicable, Expair.ca procédera à la réalisation d’une EFVP afin d’identifier les risques d’atteinte à la vie privée engendrés par la communication des renseignements et l’évaluation de leurs impacts. Expair.ca verra également à mettre en place des stratégies pour éviter ces risques ou les réduire efficacement et prendre toutes les mesures afin de protéger efficacement ces renseignements personnels.
4. CONSERVATION
Sous réserve d’un délai de conservation prévu par une loi, les renseignements personnels collectés ne doivent être conservés que pour la période nécessaire à l’accomplissement des fins pour lesquelles ils ont été recueillis. Si vous souhaitez en apprendre davantage sur la durée de conservation des renseignements personnels, nous vous invitons à communiquer avec le RPRP dont les coordonnées figurent à la section G « Responsable de la protection des renseignements personnels et l’application ».
5. DESTRUCTION
Lorsque les fins auxquelles les renseignements personnels ont été recueillis sont accomplies, ces derniers doivent être détruits, sous réserve d’un délai de conservation prévu par une loi. Avant de procéder à la destruction de ces renseignements personnels, une demande d’autorisation à cet effet doit être soumise au RPRP.
Le RPRP déterminera si les renseignements personnels doivent être conservés pour une période additionnelle et, le cas échéant, devra préciser ce délai ainsi que les mesures de sécurité à mettre en place pour en assurer la protection.
Dans le cas où les renseignements personnels doivent être détruits, le RPRP avisera la personne concernée en lui précisant la méthode de destruction adaptée au support des renseignements personnels et au niveau de confidentialité de ces derniers. Le rapport devra être conservé et la destruction devra être inscrite dans un registre à cette fin, lequel registre devra être tenu à jour par le RPRP.
Afin de protéger les renseignements personnels que Expair.ca recueille, détient, utilise, communique, conserve et détruit, Expair.ca a adopté diverses mesures de sécurité. Ces mesures de sécurités sont adaptées au degré de sensibilité des renseignements personnels, leur localisation et leur support.
En outre, lorsque Expair.ca recueille des renseignements personnels par courriel, Expair.ca utilise uniquement l’information requise en lien avec ses activités pour effectuer ses travaux, en assurant de préserver la confidentialité.
On entend par « incident de confidentialité » l’accès, l’utilisation ou la communication non autorisées par la loi à un renseignement personnel, de même que la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
Tout membre du Personnel qui a des motifs de croire qu’un incident de confidentialité s’est produit doit communiquer avec le RPRP afin de traiter de l’incident de confidentialité. Un registre des incidents de confidentialité doit être tenu par Expair.ca.
La fonction de RPRP a été déléguée à :
Nom : Josée Belleau Titre Responsable de la protection des renseignements personnels : Adresse : 630, rue Chef Max Gros-Louis, Wendake, QC G0A 4V0 Téléphone : 418-847-8000 Courriel : jbelleau@expair.ca Le RPRP veille à assurer le respect et la mise en œuvre de la Loi secteur privé. Le RPRP veille également au respect de la présente Politique.
H. DEMANDE D’ACCÈS À L’INFORMATION ET DE RECTIFICATION
Toute demande d’accès ou une demande de rectification formulée par une personne concernant ses renseignements personnels doit être transmise au RPRP pour étude et réponse. Le RPRP répondra à la demande dans les 30 jours de sa réception.
Toute plainte concernant le traitement des renseignements personnels devra être acheminée au RPRP pour étude et réponse.
La Politique est en vigueur à compter du 15 septembre 2023
La présente Politique pourrait être mise à jour par Expair.ca en tout temps afin de l’adapter à la réalité organisationnelle de Expair.ca ou advenant toute modification au cadre législatif applicable en la matière. Quoique des avis de mise à jour puissent être utilisés, l’affichage de la Politique révisée sera réputé constituer un avis suffisant. Pour vous assurer d’avoir l’information la plus à jour, visitez régulièrement le site Web de Expair.ca ou communiquez avec notre RPRP.