Politique de confidentialité et de protection des renseignements personnels


A. OBJECTIFS

La présente politique de confidentialité et de protection des renseignements personnels vise à établir les principes régissant la collecte, la protection, l’utilisation et la communication des renseignements personnels par les échangeurs d'air Exp-Air inc. ci-après nommée Expair.ca afin d’assurer la protection de ceux-ci (« Politique»).

Expair.ca peut être appelée à recueillir, à détenir, à utiliser ou à communiquer à des tiers des renseignements personnels obtenus dans le cadre de l’exécution de ses travaux et activités.

À cette fin, la Politique a pour but de :

  1. Désigner et prévoir le rôle et les responsabilités du Responsable à la protection des renseignements personnels (« RPRP ») et de l’ensemble des employés de Expair.ca (« Personnel »);
  2. Établir des règles particulières en matière de collecte, d’utilisation, de communication, de conservation, de destruction, de droit d’accès et de rectification des renseignements personnels.

Un renseignement personnel est tout renseignement qui concerne une personne physique et qui permet directement ou indirectement de l’identifier. Il peut être notamment de nature :

  • Identitaire – à titre d’exemple : nom, adresse, numéro de téléphone, date de naissance, etc.
  • Financière – à titre d’exemple : salaire, carte de crédit, compte de banque, etc.
  • Fiscale – à titre d’exemple : numéro d’assurance sociale, etc.

Un renseignement personnel est considéré comme sensible lorsqu’il, de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré d’attente raisonnable en matière de vie privée. Pour les fins des présentes, la référence au terme « renseignement personnel » inclut également un renseignement personnel sensible.

B. CADRE RÉGLEMENTAIRE

Cette Politique est établie conformément aux obligations qui incombent à Expair.ca en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé1. (« Loi secteur privé ») et tout règlement qui s’y rattache.

C. PERSONNES VISÉES ET RESPONSABILITÉS

Le Personnel est tenu de respecter la présente Politique pendant la durée de son emploi.

Chaque membre du Personnel est également tenu à une obligation de confidentialité et de loyauté relativement notamment aux renseignements, aux informations ou aux documents dont il a accès dans le cadre de son emploi, incluant les renseignements personnels et ce, quelle que soit la nature de leur support et la forme sous laquelle ceux-ci sont accessibles (écrite, graphique, sonore, visuelle, informatisée ou autre). Cette obligation de confidentialité inclut uneobligation de ne pas les utiliser (pour son propre bénéfice ou le bénéfice d’une tierce personne), les divulguer, les reproduire ou les transmettre à quiconque, sauf exception prévue à la loi.

D. OBLIGATIONS

La protection des renseignements personnels doit être assurée durant tout le cycle de vie de ces derniers, c’est-à-dire lors de la collecte, l’utilisation, la communication, la conservation et la destruction.

1. COLLECTE ET CONSENTEMENT

Collecte

Expair.ca indiquera les fins auxquelles les renseignements personnels ont été recueillis au moment où elle obtiendra, de la personne concernée, son consentement, et ce, avant leur utilisation. Expair.ca utilisera généralement les renseignements personnels concernant une personne physique aux fins suivantes :

  • Traiter une demande d’emploi et/ou un curriculum vitae;
  • Procéder à l’embauche d’un nouvel employé;
  • Offrir une soumission pour les services demandés;
  • Veiller à la bonne conduite de nos affaires, incluant la facturation et la gestion de nos dossiers;
  • Prévenir la fraude et/ou effectuer toute vérification des antécédents requise par la loi ou la réglementation
  • applicables;
  • Toute autre utilisation permise ou requise par les lois applicables;
  • Toute autre fin à laquelle vous avez consenti.

Chaque membre du Personnel, avant de recueillir pour Expair.ca, un renseignement personnel concernant une personne physique, dans le cadre de ses fonctions, doit préalablement :

  1. Déterminer les fins pour lesquelles il veut collecter les renseignements personnels et qu’ils s’inscrivent dans la mise en œuvre et la réalisation des objets et des activités de (incluant les services et les produits qui s’y rattachent) – il faut un intérêt sérieux et légitime;
  2. Déterminer le type et le nombre de renseignements personnels à recueillir;
  3. Recueillir les renseignements personnels par des moyens licites (c’est-à-dire légaux et légitimes);
  4. Limiter la collecte aux renseignements personnels nécessaires à la réalisation des travaux et activités de
  5. Vérifier les mesures de sécurité en place pour en assurer la protection.

Informer

Au moment de recueillir pour Expair.ca un renseignement personnel, et par la suite sur demande, chaque membre du Personnel doit informer la personne visée par la demande, en termes simples et clairs, notamment des éléments suivants :

  1. Des fins auxquelles ces renseignements personnels sont recueillis (c.-à-d. l’objet du dossier);
  2. Des utilisations qui seront faites des renseignements personnels ainsi recueillis;
  3. De l’endroit où ils seront détenus;
  4. De ses droits d’accès et de rectification de ses renseignements personnels;
  5. Des catégories de personnes qui auront accès à ses renseignements personnels au sein de Expair.ca;
  6. Des catégories de personnes à qui il est nécessaire de communiquer les renseignements personnels aux fins pour lesquelles ils sont recueillis.

L’obligation d’information et de l’obtention du consentement ne s’applique pas aux cas où le membre du Personnel a accès à ces renseignements par l’entremise d’une entreprise qui détient ces renseignements, laquelle entreprise a octroyé à Expair.ca un mandat de représentation ou lui a donné une procuration ou conclu un contrat de service avec Expair.ca, le tout dans le cadre des travaux et activités effectués par Expair.ca.

Toutefois, les obligations relatives à l’utilisation, la communication, la conservation ou la destruction énoncées aux présentes demeurent applicables conformément aux modalités stipulées.

Consentement

Chaque membre du Personnel doit obtenir le consentement de la personne concernée pour recueillir ses renseignements personnels. La preuve de consentement doit être conservée au dossier. En cas de refus de la personne concernée d’octroyer son consentement, le membre du Personnel qui a fait la demande doit informer immédiatement par écrit le RPRP.

Le RPRP procédera à l’analyse de la situation et déterminera si l’absence de consentement permet à Expair.ca de refuser d’acquiescer à une demande en raison du refus de la personne visée par la demande selon les cas permis par la Loi secteur privé.

2. UTILISATION

Tout membre du Personnel qui doit utiliser des renseignements personnels dans le cadre de ses fonctions ne peut les

utiliser qu’aux fins pour lesquelles ils ont été recueillis, sauf si la personne concernée consent à d’autres fins.

3. COMMUNICATION

Accès interne aux renseignements personnels

L’accès aux renseignements personnels doit être limité aux seules personnes ayant la qualité pour les recevoir au sein de Expair.ca lorsque ces renseignements sont nécessaires à l’accomplissement de leurs fonctions.

Communication aux personnes autorisées par la personne concernée

Les renseignements personnels d’une personne concernée peuvent être communiqués à des tiers (personne morale ou physique) pour les fins pour lesquelles ils ont été colligés, à condition d’avoir obtenu préalablement son consentement écrit à une telle communication.

Communication autorisée par la Loi secteur privé – sans le consentement de la personne concernée

En vertu de la Loi secteur privé, il est possible pour Expair.ca de devoir communiquer, à des fins légitimes, des renseignements personnels sans le consentement de la personne concernée, dont notamment dans les cas suivants :

  1. Lorsque permis par la Loi secteur privé notamment : • Des fins d’étude, de recherche ou de productions de statistiques; • Dans le cadre d’une transaction commerciale2
  2. Lorsque requis par la loi ou qu’une autorité compétente l’exige;
  3. Lorsque cela est nécessaire à des fins de fourniture ou de livraison d’un produit ou de prestation d’un service demandé par la personne concernée.

Une communication à des tiers est consignée au registre prévu à cet effet.

Niveau de protection

Tout membre du Personnel qui communique, à l’interne ou à une tierce partie, des renseignements personnels dans le cadre de ses fonctions, que ce soit dans le cadre d’une communication autorisée par la personne concernée ou une disposition de la Loi secteur privé, doit :

  • Veiller à appliquer les mesures de sécurité énoncées à la présente Politique pour en préserver le caractère confidentiel;
  • Limiter la communication qu’aux renseignements nécessaires aux fins poursuivies par la communication.

Sauf dans le cas d’une communication à l’interne ou à une entité gouvernementale, à un organisme public ou à une ordonnance judiciaire, la tierce partie à qui ces renseignements seront divulgués doit, préalablement à ladite communication, signer un engagement de confidentialité.


2. Une transaction commerciale s’entend de l’aliénation ou de la location de tout ou partie d’une entreprise ou des actifs dont elle dispose, d’une modification de sa structure juridique par fusion ou autrement, de l’obtention d’un prêt ou de toute autre forme de financement par celle-ci ou d’une sûreté prise pour garantir une de ses obligations.

Registre des communications à des tiers

Expair.ca doit tenir un registre à jour des renseignements personnels communiqués, notamment aux personnes suivantes :

  • À une personne ou à un organisme ayant pouvoir de contraindre leur communication et qui les requiert dans l’exercice de ses fonctions, exemple : RBQ, Revenu Québec, etc.;
  • À une personne à qui cette communication doit être faite en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée;
  • À un service d’archives, si ce service d’archives est une personne qui exploite une entreprise qui a pour objet d’acquérir, de conserver et de diffuser des documents pour leur valeur d’information générale et si ce renseignement est communiqué dans le cadre d’une cession ou d’un dépôt des archives de l’entreprise;
  • À l’autre partie à une transaction commerciale telle que défini aux présentes;
  • À une personne qui peut utiliser ce renseignement à des fins d’étude, de recherche ou de statistique;
  • À une personne qui, en vertu de la loi, peut recouvrer des créances pour autrui et qui le requiert à cette fin dans l’exercice de ses fonctions;
  • À une personne si le renseignement est nécessaire aux fins de recouvrer une créance de l’entreprise;
  • À un tiers d’une liste nominative. Une copie du registre à jour doit être transmise au RPRP.

Évaluation des facteurs relatifs à la vie privée (« EFVP »)

L’EFVP est une démarche préventive visant à mieux protéger les renseignements personnels et à mieux respecter la vie privée des personnes physiques. Elle consiste à considérer tous les facteurs qui auront un impact positif ou négatif pour le respect de la vie privée des personnes concernées.

Lorsqu’applicable, Expair.ca procédera à la réalisation d’une EFVP afin d’identifier les risques d’atteinte à la vie privée engendrés par la communication des renseignements et l’évaluation de leurs impacts. Expair.ca verra également à mettre en place des stratégies pour éviter ces risques ou les réduire efficacement et prendre toutes les mesures afin de protéger efficacement ces renseignements personnels.

4. CONSERVATION

Sous réserve d’un délai de conservation prévu par une loi, les renseignements personnels collectés ne doivent être conservés que pour la période nécessaire à l’accomplissement des fins pour lesquelles ils ont été recueillis. Si vous souhaitez en apprendre davantage sur la durée de conservation des renseignements personnels, nous vous invitons à communiquer avec le RPRP dont les coordonnées figurent à la section G « Responsable de la protection des renseignements personnels et l’application ».

5. DESTRUCTION

Lorsque les fins auxquelles les renseignements personnels ont été recueillis sont accomplies, ces derniers doivent être détruits, sous réserve d’un délai de conservation prévu par une loi. Avant de procéder à la destruction de ces renseignements personnels, une demande d’autorisation à cet effet doit être soumise au RPRP.

Le RPRP déterminera si les renseignements personnels doivent être conservés pour une période additionnelle et, le cas échéant, devra préciser ce délai ainsi que les mesures de sécurité à mettre en place pour en assurer la protection.

Dans le cas où les renseignements personnels doivent être détruits, le RPRP avisera la personne concernée en lui précisant la méthode de destruction adaptée au support des renseignements personnels et au niveau de confidentialité de ces derniers. Le rapport devra être conservé et la destruction devra être inscrite dans un registre à cette fin, lequel registre devra être tenu à jour par le RPRP.

E. MESURES DE SÉCURITÉ

Afin de protéger les renseignements personnels que Expair.ca recueille, détient, utilise, communique, conserve et détruit, Expair.ca a adopté diverses mesures de sécurité. Ces mesures de sécurités sont adaptées au degré de sensibilité des renseignements personnels, leur localisation et leur support.

En outre, lorsque Expair.ca recueille des renseignements personnels par courriel, Expair.ca utilise uniquement l’information requise en lien avec ses activités pour effectuer ses travaux, en assurant de préserver la confidentialité.

F. INCIDENT DE CONFIDENTIALITÉ ET TENUE D’UN REGISTRE DES INCIDENTS DE CONFIDENTIALITÉ

On entend par « incident de confidentialité » l’accès, l’utilisation ou la communication non autorisées par la loi à un renseignement personnel, de même que la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.

Tout membre du Personnel qui a des motifs de croire qu’un incident de confidentialité s’est produit doit communiquer avec le RPRP afin de traiter de l’incident de confidentialité. Un registre des incidents de confidentialité doit être tenu par Expair.ca.

G. RESPONSABLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS ET L’APPLICATION

La fonction de RPRP a été déléguée à :

Nom : Josée Belleau Titre Responsable de la protection des renseignements personnels : Adresse : 630, rue Chef Max Gros-Louis, Wendake, QC G0A 4V0 Téléphone : 418-847-8000 Courriel : jbelleau@expair.ca Le RPRP veille à assurer le respect et la mise en œuvre de la Loi secteur privé. Le RPRP veille également au respect de la présente Politique.

H. DEMANDE D’ACCÈS À L’INFORMATION ET DE RECTIFICATION

Toute demande d’accès ou une demande de rectification formulée par une personne concernant ses renseignements personnels doit être transmise au RPRP pour étude et réponse. Le RPRP répondra à la demande dans les 30 jours de sa réception.

I. PLAINTE

Toute plainte concernant le traitement des renseignements personnels devra être acheminée au RPRP pour étude et réponse.

J. ENTRÉE EN VIGUEUR ET MISE À JOUR

La Politique est en vigueur à compter du 15 septembre 2023

La présente Politique pourrait être mise à jour par Expair.ca en tout temps afin de l’adapter à la réalité organisationnelle de Expair.ca ou advenant toute modification au cadre législatif applicable en la matière. Quoique des avis de mise à jour puissent être utilisés, l’affichage de la Politique révisée sera réputé constituer un avis suffisant. Pour vous assurer d’avoir l’information la plus à jour, visitez régulièrement le site Web de Expair.ca ou communiquez avec notre RPRP.