Gouvernance en matière de protection de la vie privée

Nous savons que la protection de votre vie privée est importante pour Vous. Pour cette raison, nous avons pris des mesures afin d’assurer que tous les renseignements personnels (« RP ») que Vous Nous fournissez sont protégés par une série de procédures commerciales et de mesures de sécurité afin que vos RP restent confidentiels et utilisés uniquement aux fins détaillées dans notre Politique de confidentialité.

Les définitions de notre Politique de confidentialité s’appliquent à ce document.

Au titre du Loi 25 et du RGPD, le Responsable de la protection des renseignement personnels (« RPRP ») est :

M. Jean Mignault
Président
Gestion Mignault Inc. dba MusicTeam®
1000, rue de la Commune Est, Suite 922
Montréal, QC H2L 5C1
Courriel : [email protected]

Nous avons créé un Comité d’accès à l’information et protection des renseignements personnels composé de Jean Mignault, Chloé Dagenais-Mignault et Fiona Ham, qui a établi et approuvé les politiques et pratiques de gouvernance concernant les RP.

Traitement des renseignements personnels

Politique de gestion des renseignements personnels

Dans le cadre de ses activités, Notre Compagnie recueille, détient, utilise et communique des RP. Ces RP peuvent revêtir différents caractères (légal, administratif, financier, gestion de la clientèle, etc.) et sont essentiels à nos activités.

  • Collecte : cette politique autorise uniquement la collecte des RP nécessaires à l’exercice de Nos activités, lesdits RP ne pouvant être obtenus qu’auprès des personnes autorisées, le tout à la connaissance et avec l’approbation de la personne à laquelle se rapportent les RP en cause, à moins d’exigences contraires (p. ex., légales) ou d’exemptions permises dans la Loi. 
  • Utilisation : cette politique requiert de déterminer les fins de la collection avant de recueillir des RP. Elle permet la collecte, l’utilisation et la conservation des RP exclusivement aux fins pour lesquelles ils ont été demandés.
  • Protection des RP – cette politique prévoit que l’organisation prenne les mesures requises pour que ses dirigeants et employés respectent la confidentialité des RP et les préserve de toute divulgation, tout accès ou toute utilisation non autorisée. 
  • Conservation des RP : cette politique vise aussi la conservation sécuritaire des RP. Ainsi, notre organisation dispose de méthodes uniformisées de classement et de dénomination des documents.
  • Destruction des RP : cette politique prévoit que les RP devenus inutiles en fonction de l’usage qui leur était assigné et/ou des fins pour lesquelles elles ont été collectées, seront détruits de façon sécuritaire dans le respect des politiques de l’organisation et des lois applicables.
  • Désindexation des RP : cete présente politique prévoit, dans les cas où la chose pourrait s’appliquer, de désindexer dans toute la mesure du possible les RP, en les extrayant par exemple des moteurs de recherches informatiques et des sites web de l’organisation s’il y a lieu. 
  • Droits de la personne concernée par les RP – La présente politique entend respecter rigoureusement le droit de la personne concernée d’exiger qu’on obtienne son consentement avant d’utiliser ses RP, de refuser de donner certains RP sous réserve des lois applicables, de corriger ou de compléter ses RP, d’accéder en tout temps à ses RP et d’obtenir des réponses aux questions qu’elle se pose à propos de ses RP.

Politique d’échange ou de transmission de renseignements personnels

Cette politique a pour but de définir les règles de collecte, d’utilisation, de stockage, de divulgation et de destruction des renseignements personnels collectés par notre entreprise, ainsi que les règles pour les échanges et la transmission de ces renseignements personnels à des tiers.

  • Échange interne – Les échanges ou transmissions de RP à l’intérieur de l’organisation ne sont autorisés que dans le cadre des fonctions d’emploi et uniquement lorsque le besoin le justifie. 
  • Échange externe – Aucun échange ou transmission de RP à des tiers n’est autorisé, sauf si cela est nécessaire pour remplir les fins pour lesquelles les RP ont été collectés et selon le consentement de l’usager, ou sauf pour une obligation légale ou contractuelle ou si nous avons obtenu le consentement de la personne concernée. Les échanges et transmissions de RP doivent se faire à l’aide de technologies sécuritaires appropriées à leur sensibilité.

Politique de contrôle d’accès

Les objectifs de cette politique visent à assurer la protection des RP recueillis, détenus et communiqués par notre organisation conjointement à notre politique de gestion des RP. Le déployement des mesures de protection permet de réduire les risques d’atteinte à la vie privée, tels que l’accès non autorisé aux RP, incluant notamment le vol d’informations. Cela inclus aussi la préservation de l’intégrité de l’information, tout au long de son cycle de vie.

  • Principe du moindre privilège : les contrôles d’accès sont attribués sur la base des besoins de l’entreprise et du « moindre privilège ». Les utilisateurs ne disposent que du minimum absolu de droits d’accès, d’autorisations aux systèmes, services, informations et ressources dont ils ont besoin pour remplir leur rôle professionnel. 
  • Gestion des comptes d’accès des utilisateurs : des procédures de gestion des comptes utilisateurs doivent être mises en œuvre pour l’inscription, la modification et la désinscription des utilisateurs sur tous les systèmes d’information. Ces procédures doivent également inclure des processus de surveillance des comptes actifs, redondants et inactifs.
  • Surveillance de l’accès des utilisateurs : les systèmes sont capables d’enregistrer les événements liés à d’éventuelles violations de sécurité.

Registres

Nous nous engageons à tenir plusieurs registres afin de respecter la loi :

  • Registre des incidents de confidentialité : Nous conservons les incidents de confidentialité conformément à notre procédure de gestion des incidents de confidentialité.
  • Registre des plaintes : Nous conservons les plaintes conformément à notre procédure de gestion des plaintes.
  • Registre d’évaluation des facteurs relatifs à la vie privée (EFVP) : nous toutes les EFVP réalisées par la Compagnie.

Évaluations des facteurs relatifs à la vie privée

La Compagnie réalise un EFVP, notamment dans le cadre des traitements des RP suivants :

  • avant d’entreprendre un projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services impliquant des RP;
  • lorsqu’elle entend divulguer des RP hors du Québec ou confier à une personne ou un organisme hors Québec le soin de recueillir, d’utiliser, de communiquer ou de conserver ces renseignements.

En réalisant une EFVP, la Compagnie prend en compte la sensibilité des RP à traiter, les finalités pour lesquelles elles doivent être utilisées, leur quantité, leur diffusion et leur support, ainsi que la proportionnalité des mesures proposées pour les protéger.

De plus, lorsque les RP sont communiqués à l’extérieur du Québec, la Compagnie s’assure qu’ils sont adéquatement protégés, notamment au regard des principes généralement reconnus et raisonnables en matière de protection des RP.

La réalisation d’un EFVP sert à démontrer que la Compagnie s’est conformée à toutes les obligations en matière de protection des RP et que toutes les mesures ont été prises pour protéger efficacement ces renseignements.

Procédure de traitement des plaintes

Les plaintes sont traitées dans un délai maximum de 30 jours ouvrables après l’accusé de réception.

Dans le cas où une plainte ne pourrait être traitée dans ce délai, le plaignant sera informé des raisons du retard et des démarches entreprises à ce jour pour traiter la plainte. Le plaignant sera également informé du délai dans lequel la décision lui sera communiquée. Une fois la plainte examinée et l’analyse complétée, la Directrice des opérations fournira au plaignant une réponse finale, écrite et motivée.

Procédure de gestion des plaintes

Cette procédure vise à permettre à Notre Compagnie de réagir et de traiter efficacement les plaintes, y compris celles impliquant la Commission d’Accès à l’Information (CAI).

Cette procédure s’applique à toutes les plaintes écrites reçues par courriel ou via Notre système de messagerie et d’assistance (Intercom).

Réception d’une plainte – les personnes souhaitant déposer une plainte doivent le faire :

  • par écrit via Notre système de messagerie et d’assistance (Intercom)
  • par écrit à l’email suivant : [email protected]

Une fois l’avis de plainte reçu, un couriel contenant les modalités de traitement sera envoyé fournissant au plaignant tous les éléments nécessaires pour déposer une plainte formelle.

Création d’un dossier de plainte – afin d’assurer un bon traitement, un dossier distinct est créé pour chaque plainte. Le dossier comprend les éléments suivants :

  • la plainte écrite,
  • le résultat du processus de traitement de la plainte (l’analyse et les documents associés),
  • la réponse finale au plaignant, par écrit et motivée.

Sécurité des RP

La Compagnie met en œuvre des mesures de sécurité appropriées pour garantir la confidentialité, l’intégrité et la disponibilité des RP collectées, utilisées, communiquées, stockées ou détruites. Ces mesures tiennent compte de la sensibilité des RP, de la finalité pour laquelle elles sont collectées, de leur quantité, de leur localisation et de leur support.

La Compagnie gère les droits d’accès de ses employés pour garantir que seuls ceux qui en ont besoin dans le cadre de leurs fonctions ont accès aux RP, ce qui respecte notre politique de contrôle d’accès.

Incidents de confidentialité 

Procédure de gestion des incidents de confidentialité (PGIC)

Cette procédure est conçue pour permettre à Notre Compagnie de répondre efficacement aux incidents de confidentialité (« IC »). Dès qu’un IC survient, des mesures doivent être prises immédiatement pour limiter son impact.

Signalement : les incidents peuvent être découverts et signalés par un administrateur, un membre de comité, une personne en prêts de service, un membre, un employé, un partenaire, un fournisseur, un prestataire de services, un client ou tout autre intervenant. 

​​Les procédures que Nous avons mises en place nous obligent à procéder à une analyse approfondie de la situation et, en fonction de Nos conclusions, Nous pourrons être amenés à Vous en informer ainsi qu’à la CAI. Nous analyserons toutes les mesures possibles pour remédier à la situation.

Enregistrement et suivi : Une fois cette procédure réalisée, l’IC est définitivement et intégralement enregistré dans le registre prévu à cet effet.

Rôles et responsabilités

Le RPRP est responsable des tâches suivantes :

  • S’assurer que les employés sont formés aux politiques, directives, processus, procédures, etc. portant sur la protection des RP, incluant, mais sans s’y limiter, la sécurité de l’information.
  • Fournir des conseils et orienter la Compagnie sur toutes les questions de protection des RP, y compris les obligations réglementaires.
  • Collaborer avec les employées et les ressources externes (sous-traitant, fournisseur, etc.) pour améliorer la protection des RP.
  • Travailler en étroite collaboration avec les autres membres de la Compagnie pour promouvoir la sécurité des RP et veiller à ce que les risques liés à la protection des RP soient pris en compte dans les décisions stratégiques de la Compagnie.
  • Assurer la sensibilisation du personnel, des partenaires et des tiers à l’importance de la protection des RP.
  • Agir comme point de contact face au public et au régulateur concernant la protection des renseignements personnels.

Fiona Ham, Directrice des opérations, est responsable de :

  • Répondre aux demandes de renseignements des individus concernant la collecte, l’utilisation, la divulgation ou tout autre traitement de leurs RP par la Compagnie.
  • Soutenir la gestion des incidents de confidentialité portant sur les RP, y compris la notification à la Commission d’accès à l’information (CAI) et aux individus concernés, le cas échéant. 
  • Gérer les demandes de RP des personnes concernées.
  • Gérer les plaintes portant sur les renseignements personnels.
  • Tenir un registre des facteurs relatifs à la vie privée (EFVP).
  • Contribuer à la gestion des incidents de confidentialité.
  • Tenir le registre des incidents de confidentialité.

Chloé Dagenais-Mignault, chef de produit, est responsable de :

  • Identifier les risques portant sur la protection des RP au sein de l’organisation, et s’assurer que des mesures sont mises en place afin de mitiger les risques.
  • Établir des protocoles de surveillance et de vérification pour garantir le respect de la Loi 25 et d’autres lois et réglementations en matière de protection des RP.
  • Effectuer les évaluations des facteurs relatifs à la vie privée (EFVP).
  • Réalisation d’une cartographie et l’évaluation des risques.
  • L’approbation du calendrier de conservation des RP.
  • L’application du calendrier de conservation des RP et le porte à l’attention de tous les dirigeants/employés/intervenants par une diffusion adéquate.
  • La mise en place de mesures et contrôles nécessaires à l’application du calendrier de conservation des RP.
  • La mise en place de la politique de contrôle d’accès.
  • Superviser, gérer et réviser les droits d’accès et les rôles des utilisateurs.

Le Comité d’accès à l’information et protection des renseignements personnels est notamment chargé de :

  • Créer et appliquer des politiques et des procédures pour régir les aspects de la gouvernance des RP.
  • Évaluer la conformité de la Compagnie aux lois et réglementations applicables en matière de protection des RP.
  • S’assurer que les EFVP, le cas échéant, soient dûment complétées.
  • Élaborer, mettre à jour et mettre en œuvre des politiques, des lignes directrices, des processus, des procédures, etc. relatifs à la protection des RP.

Toute personne qui traite des RP détenues par la Compagnie :

  • agit avec prudence et intègre les principes énoncés dans le présent document dans ses activités;
  • accède uniquement aux renseignements nécessaires à l’exercice de leurs fonctions;
  • protège l’accès aux RP en sa possession ou auxquelles il a accès au moyen d’un mot de passe;
  • s’abstient de divulguer les RP dont il a connaissance dans le cadre de ses fonctions, à moins d’y être dûment autorisé;
  • s’abstient de conserver, à la fin de son emploi ou de son contrat, les RP obtenus ou collectés dans le cadre de ses fonctions et maintient ses obligations de confidentialité;
  • détruit tous les RP conformément au calendrier de conservation de la Compagnie;
  • participe à des activités de sensibilisation et de formation à la protection de la vie privée;
  • signale toute violation, IC ou toute autre situation ou irrégularité qui pourrait compromettre de quelque manière que ce soit la sécurité, l’intégrité ou la confidentialité des RP conformément à la procédure établie par la Compagnie.