fbpx

POLITIQUE DE GOUVERNANCE À L’ÉGARD DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

  1. Objectifs

Le Groupe Gilbert recueille et utilise des renseignements personnels dans le cadre des activités de ses entreprises.

Regroupant des entreprises assujetties à la Loi sur la protection des renseignements personnels dans le secteur privé, le Groupe Gilbert s’est doté de la présente Politique de gouvernance à l’égard de la protection des renseignements personnels (ci-après : la « Politique »).

Celle-ci vise notamment à prévoir :

  • Des règles applicables à la conservation et à la destruction des renseignements personnels;
  • Les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels;
  • Un processus de traitement des plaintes relatives à la protection des renseignements personnels.
  1. Cadre juridique

La présente Politique a notamment été adoptée en conformité avec la législation suivante :

  • Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c. P-39.1;
  • Code civil du Québec, RLRQ c CCQ-1991.

III. Application

La présente Politique s’applique à toutes les entreprises du Groupe Gilbert :

  • L’expression Groupe Gilbertenglobe, notamment Fernand Gilbert ltée, Transport F. Gilbert Ltée, Gilbert Énergie ltée, Environnement Saint-Laurent inc., Logistique Saint-Laurent inc., Dynamitage TCG inc., Concassage TCG inc., Services Environnementaux Saint-Laurent, 5297 Nunavut Ltd – Groupe Sana, Nutrinor-Gilbert Énergie renouvelable inc. et Investissement Gilbert ltée ainsi que leurs filiales, sociétés affiliées, partenariats liés ou entités liées dans lesquelles celles-ci ont un contrôle en fait et en droit significatifs, que ce soit au Québec, au Nunavut ou ailleurs au Canada.
  • Tous les cadres et employés du Groupe Gilbert;
  • Tout renseignement personnel, quel que soit leur support.

Un renseignement personnel est défini par la Loi sur la protection des renseignements personnels dans le secteur privé comme celui qui porte sur une personne physique et qui permet de l’identifier.

Un renseignement personnel est « sensible » lorsque, de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée.

Les articles VII et VIII de la présente Politique ne s’appliquent pas à un renseignement personnel qui a un caractère public ni aux renseignements personnels qui concernent l’exercice par la personne concernée d’une fonction au sein d’une entreprise, tels que son nom et sa fonction, de même que l’adresse, l’adresse de courrier électronique et le numéro de téléphone de son lieu de travail.

  1. Responsable de la protection des renseignements personnels

Le Groupe Gilbert a désigné un responsable de la protection des renseignements personnels, lequel est chargé de s’assurer de la mise en œuvre de la présente Politique, soit :

Jonathan Gilbert
Chef de la direction intérimaire
[email protected]

Clermont Gilbert
Directeur TFGL/Logistique Saint-Laurent
[email protected]

Toute question relative à la présente politique doit être transmise au responsable de la protection des renseignements personnels.

  1. Collecte et utilisation de renseignements personnels

Les renseignements personnels qui sont collectés par le Groupe Gilbert sont strictement utilisés de façon limitée.

De plus, leur accès est limité aux personnes qui doivent les utiliser dans le cadre de leur fonction. Des restrictions d’accès sont prévues à l’annexe 2 de la présente politique.

  1. a) Activités du Groupe Gilbert

Le Groupe Gilbert collecte et utilise des renseignements personnels dans le cadre des activités de ses entreprises.

Sans limiter la généralité de ce qui précède, le Groupe Gilbert doit notamment utiliser et communiquer des renseignements personnels pour:

  • Remplir des conditions afférentes à certains contrats;
  • Veiller à la dispense de formations spécifiques pour des cadres et employés;
  • Veiller au transport et à l’hébergement pour des cadres et des employés dont le lieu de travail est éloigné;
  1. b) Recrutement

Le Groupe Gilbert collecte et utilise des renseignements personnels (notamment des curriculums vitae, lettres de présentation et références) dans le cadre de processus de recrutement de cadres et d’employés.

  1. c) Gestion des dossiers d’employés

Le Groupe Gilbert collecte et utilise des renseignements personnels auprès de ses cadres et employés pour les fins de gestion des dossiers d’employés (notamment l’adresse postale, l’adresse courriel personnelle, les numéros de téléphone, la date de naissance, une copie du permis de conduite (si requis par l’emploi) et le numéro d’assurance sociale).

De plus, le Groupe Gilbert doit notamment partager des renseignements personnels avec des fournisseurs de services dans le cadre de la gestion des dossiers d’employés.

  1. Exactitude

Le Groupe Gilbert s’assure que les renseignements personnels qu’il utilise sont à jour, exacts et complets.

VII. Communication de renseignements personnels à des tiers

  1. a) Principe général

Le Groupe Gilbert ne communique pas, de quelque manière que ce soit (diffusion, échange, vente, etc.), des renseignements personnels à des tiers, à moins que la personne concernée n’y consente.

Le consentement doit être manifesté de façon expresse dès qu’il s’agit d’un renseignement personnel sensible.

  1. b) Exceptions

Le Groupe Gilbert peut communiquer des renseignements personnels à des tiers, sans le consentement de la personne concernée, lorsque la loi le prévoit, notamment aux personnes suivantes :

  1. À son procureur;
  2. Au directeur des poursuites criminelles et pénales si le renseignement est requis aux fins d’une poursuite pour infraction à une loi applicable au Québec;
  3. À une personne ou à un organisme chargé en vertu de la loi de prévenir, détecter ou réprimer le crime ou les infractions aux lois, qui le requiert dans l’exercice de ses fonctions, si le renseignement est nécessaire pour la poursuite d’une infraction à une loi applicable au Québec;
  4. À une personne à qui il est nécessaire de communiquer le renseignement dans le cadre d’une loi applicable au Québec ou pour l’application d’une convention collective;
  5. À un organisme public au sens de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1) qui, par l’entremise d’un représentant, le recueille dans l’exercice de ses attributions ou la mise en œuvre d’un programme dont il a la gestion;
  6. À une personne ou à un organisme ayant le pouvoir de contraindre à leur communication et qui les requiert dans l’exercice de ses fonctions;
  7. À une personne à qui cette communication doit être faite en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée;
  8. À une personne qui peut utiliser ce renseignement à des fins d’étude, de recherche ou de statistique conformément aux articles 21 et 21.1 de la Loi sur la protection des renseignements personnels dans le secteur privé;
  9. À une personne qui, en vertu de la loi, peut recouvrer des créances pour autrui et qui le requiert à cette fin dans l’exercice de ses fonctions;
  10. À une personne si le renseignement est nécessaire aux fins de recouvrer une créance de l’entreprise;
  11. À toute personne ou à tout organisme si cette communication est nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise qu’elle confie à cette personne ou à cet organisme.Dans ce cas, la personne qui exploite une entreprise doit:1° confier le mandat ou le contrat par écrit;2° Indiquer, dans le mandat ou le contrat, les mesures que le mandataire ou l’exécutant du contrat doit prendre pour assurer la protection du caractère confidentiel du renseignement personnel communiqué, pour que ce renseignement ne soit utilisé que dans l’exercice de son mandat ou l’exécution de son contrat et pour qu’il ne le conserve pas après son expiration. Une personne ou un organisme qui exerce un mandat ou qui exécute un contrat de service ou d’entreprise visé au premier alinéa doit aviser sans délai le responsable de la protection des renseignements personnels de toute violation ou tentative de violation par toute personne de l’une ou l’autre des obligations relatives à la confidentialité du renseignement communiqué et il doit également permettre au responsable de la protection des renseignements personnels d’effectuer toute vérification relative à cette confidentialité.Cette deuxième condition ne s’applique pas lorsque le mandataire ou l’exécutant du contrat est un organisme public au sens de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1) ou un membre d’un ordre professionnel.

VIII. Conservation et destruction des renseignements personnels

Le Groupe Gilbert a mis en place toutes les mesures de sécurité requises par la loi afin de protéger et d’assurer la confidentialité des renseignements personnels qu’il recueille et conserve. De plus, il suit un processus rigoureux de conservation et de destruction des renseignements personnels, tel que plus amplement exposé ci-après.

À cet égard, les documents contenant des renseignements personnels doivent être détruits dès que la finalité pour laquelle ils ont été collectés est accomplie, sous réserve du délai prévu par la loi ou par un calendrier de conservation.

  1. a) Calendrier de conservation des renseignements personnels (support papier et électronique)

Notamment, le Groupe Gilbert doit conserver :

  • Les dossiers de candidats pendant au moins trois (3) ans suivant le refus de leur candidature;
  • Les dossiers d’anciens cadres et employés pendant au moins sept (7) ans suivant la fin de leur emploi, sauf :
    • Les dossiers de réclamation en vertu de la Loi sur les accidents du travail et les maladies professionnelles, lesquels doivent être conservés de façon permanente compte tenu du risque de récidive et de rechute;
  • Les registres aux fins fiscales et pièces à l’appui pendant au moins sept (7) ans.
  1. b) Conservation des renseignements personnels sur support papier

Les renseignements personnels sur support papier sont conservés dans des classeurs verrouillés.

Seuls les cadres et les employés qui doivent utiliser des renseignements personnels dans le cadre de leur fonction ont accès au classeur afférent à ces renseignements.

Lorsque les cadres et employés sont appelés à travailler à l’extérieur des établissements du Groupe Gilbert, ils doivent privilégier l’utilisation des renseignements personnels sur support électronique plutôt que sur support papier.

  1. Droit d’accès et de rectification

Le Groupe Gilbert informe toute personne qui en fait la demande de l’existence de renseignements personnels qui la concerne, de l’utilisation qui en est faite et du fait qu’ils ont été communiqués à des tiers. Elle permet à toute personne de consulter ou d’obtenir copie de ses renseignements personnels et de les faire rectifier, le cas échéant.

Une demande d’accès ou de rectification ne peut être considérée que si elle est faite par écrit par une personne justifiant de son identité à titre de personne concernée, à titre de représentant, d’héritier, de successible de cette dernière, à titre de liquidateur de la succession, à titre de bénéficiaire d’assurance-vie ou d’indemnité de décès ou à titre de titulaire de l’autorité parentale, même si l’enfant mineur est décédé.

Toute demande d’accès ou de rectification doit être adressée au responsable de la protection des renseignements personnels.

  1. Incident de confidentialité

Un « incident de confidentialité » vise les situations suivantes :

  1. L’accès non autorisé par la loi à un renseignement personnel;
  2. L’utilisation non autorisée par la loi d’un renseignement personnel;
  3. La communication non autorisée par la loi d’un renseignement personnel;
  4. La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.

Lorsqu’un cadre ou un employé a des motifs de croire qu’un incident de confidentialité s’est produit, il doit aviser le responsable de la protection des renseignements personnels.

Le cadre ou l’employé concerné et le responsable de la protection des renseignements personnels doivent conjointement :

  • Évaluer le risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de confidentialité en considérant notamment la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables;
  • Prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.

Si l’incident présente un risque qu’un préjudice sérieux soit causé, le responsable de la protection des renseignements personnels doit, avec diligence, aviser :

  • La Commission d’accès à l’information. Le modèle d’avis est disponible sur le site internet de la Commission :
    https://www.cai.gouv.qc.ca/documents/CAI_FO_avis_incident_confidentialite.pdf;
  • Toute personne dont un renseignement personnel est concerné par l’incident;
  • Toute personne ou tout organisme susceptible de diminuer ce risque, en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. Dans ce dernier cas, le responsable de la protection des renseignements personnels doit enregistrer la communication.

Malgré le paragraphe qui précède, une personne dont un renseignement personnel est concerné par l’incident n’a pas à être avisée tant que cela serait susceptible d’entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargée de prévenir, détecter ou réprimer le crime ou les infractions aux lois.

Le responsable de la protection des renseignements personnels doit consigner tout incident de confidentialité dans un registre, comme prévu à la première annexe de la présente.

  1. Évaluation des facteurs relatifs à la vie privée (éfvp)

L’EFVP est une démarche visant à protéger les renseignements personnels et à respecter la vie privée des personnes physiques. Il s’agit d’une forme d’analyse d’impact.

Le Groupe Gilbert doit procéder à une ÉFVP advenant l’une ou l’autre des situations suivantes :

  • Pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels. Le Groupe Gilbert doit débuter l’ÉFVP avant de commencer un projet et tout au long de sa durée;
  • Avant de communiquer un renseignement personnel à l’extérieur du Québec. Notons que dans cette situation, le Groupe Gilbert doit notamment tenir compte des éléments suivants :
    1° La sensibilité du renseignement;
    2° La finalité de son utilisation;
    3° Les mesures de protection, y compris celles qui sont contractuelles, dont le renseignement bénéficierait;
    4° Le régime juridique applicable dans l’État où ce renseignement serait communiqué, notamment les principes de protection des renseignements personnels qui y sont applicables.
    La communication peut s’effectuer si l’évaluation démontre que le renseignement bénéficierait d’une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus. Elle doit faire l’objet d’une entente écrite qui tient compte notamment des résultats de l’évaluation et, le cas échéant, des modalités convenues dans le but d’atténuer les risques identifiés dans le cadre de cette évaluation.
  • Avant de communiquer un renseignement personnel à un tiers, sans le consentement des personnes concernées, pour une utilisation à des fins d’étude, de recherche ou de production de statistiques.

Pour réaliser une ÉFVP, le Groupe Gilbert doit considérer tous les facteurs ayant un effet positif ou négatif pour le respect de la vie privée des personnes concernées. Ces facteurs sont les suivants :

  • La conformité du projet à la législation applicable en matière de protection des renseignements personnels et le respect des principes l’appuyant;
  • L’identification des risques d’atteinte à la vie privée engendrés par le projet et l’évaluation de leurs conséquences;
  • La mise en place de stratégies pour éviter ces risques ou les réduire efficacement et leur maintien dans le temps.

L’ÉFVP doit être documentée par écrit.

Le responsable de la protection des renseignements personnels peut se référer au guide d’accompagnement de la Commission d’accès à l’information pour réaliser l’ÉFVP : https://www.cai.gouv.qc.ca/documents/CAI_Guide_EFVP_FR.pdf

XII. Processus de plainte

Toute plainte afférente à la gestion des renseignements personnels doit être adressée par écrit au responsable de la protection des renseignements personnels.

Elle doit faire état des faits et motifs à son soutien. De plus, tout document pertinent à son analyse doit y être annexé.

Le responsable de la protection des renseignements personnels doit traiter la plainte avec diligence et fournir une réponse écrite au plaignant.

XIII. Mise à jour

La présente Politique a été mise à jour le 1 février 2024.

ANNEXE 1

Registre des incidents de confidentialité
Date de l’incident
Date de la prise de connaissance de l’incident par l’organisation
Description sommaire de l’incident (annexer tout document pertinent au Registre des incidents de confidentialité)
Description des renseignements personnels visés par l’incident
Identification de la ou les personnes concernées par l’incident
Description des éléments qui amènent l’organisation à conclure qu’il y a ou non risque qu’un préjudice sérieux soit causé aux personnes concernées (la sensibilité des renseignements personnels concernés, les utilisations malveillantes possibles des renseignements, les conséquences appréhendées de l’utilisation des renseignements et la probabilité qu’ils soient utilisés à des fins préjudiciables)
En cas de risque de préjudice sérieux, un avis a-t-il été transmis à la Commission? Si oui :

·        À quelle date?

·        Annexer l’avis au Registre des incidents de confidentialité.

En cas de risque de préjudice sérieux, un avis a-t-il été transmis à la ou les personnes concernées par l’incident? Si oui :

·        À quelle date?

·        Annexer l’avis au Registre des incidents de confidentialité.

En cas de risque de préjudice sérieux, un avis a-t-il été transmis à toute personne ou tout organisme susceptible de diminuer ce risque? Si oui :

·        À quelle date?

·        Annexer l’avis au Registre des incidents de confidentialité;

·        Annexer l’enregistrement de la communication au Registre des incidents de confidentialité.

Description des mesures prises par l’organisation à la suite de l’incident pour diminuer les risques qu’un préjudice soit causé.
Personne qui a découvert l’incident : ____________________________________

Date : _____________ Signature : _________________________________

Personne qui a découvert l’incident : ____________________________________

Date : _____________ Signature : _________________________________

 

Demande d'informations

Par téléphone

1 800 263-7705

Écrivez-nous

Par courriel

Postulez

En ligne

x