Table des matières
Politique de confidentialité de Rhesus Inc.
1. Définitions
- Renseignement personnel : Un renseignement personnel est une information qui concerne une personne et qui permet, directement ou indirectement, de l’identifier ou d’en déterminer sa nature. Il existe notamment un renseignement personnel commun comme le nom et il existe aussi un renseignement personnel sensible comme le carnet de santé qui nécessitera donc de plus grandes mesures de sécurité. Un PII est ici entendu comme étant un « Personal Identifiable Information », soit un ensemble de données personnelles qui permettent de distinguer plus ou moins clairement un individu. Il est important de mentionner que les renseignements ou coordonnées d’affaires et professionnelles ne constituent pas des renseignements personnels et donc les critères prévus par le LPRPSP ne s’appliquent pas à ces types de renseignements. Cette information s’applique aussi aux renseignements à caractères publics.
- Document : Dans le cadre de cette politique, un document concerne tout support contenant des renseignements personnels, qu’ils soient électroniques, sur papier ou autres.
- Fournisseur : Entité fournissant des services ou produits à Rhesus Inc.
- Je (« vous ») : Client du site ou des services proposés par Rhesus Inc.
2. Introduction
La présente politique met en lumière les pratiques et les exigences en matière de collecte et de conservation des renseignements personnels chez Rhesus Inc. Cette politique vise à garantir la confidentialité des données recueillies et en respectant les lois et les réglementations en vigueur, notamment le LPRPSP, le LPRPDE et autres lois applicables au pays. Rhesus s’engage à respecter les plus hauts standards relatifs à la collecte et l’utilisation de ces données personnelles. La présente politique vise alors autant les employés de l’organisation, les fournisseurs externes et nos clients.
3. Législation applicable
Cette politique est régie et interprétée conformément à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (LQ 2021, c. 25). En cas de divergence ou de litige, la juridiction compétente sera celle du Québec.
4. Renseignements personnels que nous collectons
- 4.1. Renseignements personnels récoltés et finalité de la collecte Par ses activités, Rhesus inc. collecte certaines données personnelles. Elles sont détaillées dans le tableau ci-dessous.
Entité | Type de renseignements | But de la collecte et d’utilisation | Manière de recueillir les renseignements |
---|---|---|---|
Visiteur web |
|
|
|
Visiteur interne (client ou non) |
|
|
|
Candidat à l’embauche |
|
|
|
Client |
|
|
|
Fournisseur de service |
|
|
|
- 4.2. Est-ce que d’autres renseignements sont accessibles par Rhesus ?
Rhesus peut accéder à certaines de vos données personnelles si vous consentez à déléguer un accès sur un de vos postes dans le cadre d’un soutien technique à distance. Le consentement est obtenu dans la mesure où vous entrez le code et acceptez le téléchargement, car il s’agit d’une condition du service qu’offre Rhesus inc. Dans un cas de refus, Rhesus ne peut vous venir en aide à distance et se réserve le droit de refuser le service.
Quant à l’employé accédant à votre poste, personnel ou professionnel, il s’engage à respecter le strict secret professionnel et est soumis à une politique de confidentialité contraignante qui l’empêche de divulguer ou d’utiliser les informations perçues sur votre poste de travail de quelconque manière que ce soit.
- 4.3. Transmission des renseignements sensibles
La transmission de renseignements, en particulier par le service Messenger de Méta, n’est pas totalement sécurisée.Par conséquent, nous conseillons vivement à nos clients de s’abstenir de nous envoyer des informations extrêmement sensibles, telles que des photos ou des données de paiement.
Lorsqu’un client nous transmet des informations sensibles dans le cadre d’un processus de vente, service technique ou réclamation de service après-vente, il est important de noter que nous ne sollicitons jamais ces informations activement par Messenger. Toutes les informations sensibles reçues sont traitées avec le plus grand soin et sont systématiquement supprimées après utilisation pour garantir leur confidentialité.
5. Consentement – Collecte, utilisation et communication
Nous traitons vos renseignements personnels avec le plus grand respect et transparence.
- Consentement : En accédant à nos services et en interagissant avec notre plateforme, vous consentez à notre politique de confidentialité. Nous vous encourageons à lire et à comprendre cette politique afin d’être pleinement informé de la manière dont nous gérons vos données.
- Outrepassement du consentement : Rhesus inc. peut outrepasser votre consentement dans les cadres prévus par la loi, notamment à des fins d’enquêtes par une ou des entités juridiques valables, gouvernementales ou privées, détenant un mandat à cet égard. Rhesus inc. peut aussi être dans l’obligation d’outrepasser votre consentement dans le cadre de la protection de ses intérêts, notamment afin de contrer de la fraude ou toutes autres menaces à ses activités ou bien dans le but d’améliorer son système de sécurité.
- Utilisation générale : Les informations recueillies sont principalement utilisées pour fournir, améliorer et personnaliser nos services, répondre à vos demandes ou questions, et pour d’autres finalités spécifiées dans le tableau ci-haut de cette politique.
- Communication : Nous tenons à vous offrir une transparence totale sur la gestion de vos informations :
- Aucune vente de vos renseignements : Nous ne vendrons jamais vos renseignements personnels à des tiers.
- Aucun abonnement non désiré : Nous contacter par courriel ou toute autre forme de communication ne vous inscrira pas automatiquement à une infolettre ou à des communications marketing, sauf si vous en faites explicitement la demande.
- Partage limité : Nous ne partageons vos renseignements qu’en cas d’obligation légale ou avec votre consentement explicite.
- Communication critique : Je reconnais que Rhesus peut être emmené à m’envoyer des communications relatives à la sécurité de mon infrastructure dans la mesure où vous faites affaire avec nous pour la gestion de votre parc. Je reconnais alors la différence entre ce type de communication et une infolettre que Rhesus n’est pas en droit d’envoyer, d’après la présente politique.
6. Durées de conservation
- 6.1. Objectifs de conservation :
Nous conserverons vos informations personnelles aussi longtemps que nécessaires pour atteindre les objectifs de collecte énoncés, y compris le respect des délais de conservation prévus par la loi. Ces objectifs comprennent :
- Fournir les produits et services demandés
- Communiquer avec vous concernant vos achats ou demande
- Gérer vos choix et droits conformément à notre Politique de protection des renseignements personnels et de confidentialité
- Maintenir votre dossier client chez nous
- Se conformer à nos obligations légales et réglementaires, tout en démontrant notre conformité
- Résoudre les litiges et faire respecter nos droits et accords
- Offrir un service de soutien (sur place ou à distance)
- 6.1. Objectifs de conservation :
À la fin de la durée de conservation raisonnable prescrite dans la politique interne de Rhesus ou bien prescrite par la loi, Rhesus assure qu’il est en mesure de les détruire ou anonymiser ces informations. L’anonymisation est un principe pour lequel les informations personnelles ne permettent plus d’identifier la personne ni d’établir aucun lien formel à l’entité de départ.
- 6.2. Contenu des courriels reçus :
Conservés pour la durée nécessaire à la prestation de nos services, puis supprimés. Les courriels contenant des renseignements hautement confidentiels sont traités dès leur réception et supprimés dans un délai raisonnable.
- 6.3. Chèques :
Conservés 10 jours après leur dépôt, tels que prescrit par les institutions financières, puis détruits.
7. Stockage, sécurité et accès aux documents
Les documents sont stockés à l’interne dans des classeurs sous clef ou chez un fournisseur spécialisé en solutions infonuagiques. Les courriels sont conservés sur des serveurs sécurisés, protégés par des mesures de sécurité, par exemple, une authentification à double facteur.
8. Mesures de sécurité
Pour nous, la sécurité de vos renseignements personnels est une priorité. Pour garantir leur protection, nous avons mis en place une série de mesures de sécurité robustes et diversifiées adaptées à la nature des renseignements collectés :
- Encryption « in-transit » : Les données transmises via le site web « in-transit » sont cryptées en 128 bits SSL.
- Signature numérique : Les données qui transigent au travers de nos serveurs via divers protocoles seront signées numériquement en AES-GCM afin d’éviter toutes attaques de type « man-in-the-middle ».
- Authentification à double facteur : Nos serveurs de courriels, ainsi que d’autres plateformes contenant des renseignements sensibles, nécessitent une authentification à double facteur.
- Formation du personnel : Notre équipe est régulièrement formée et sensibilisée aux meilleures pratiques en matière de sécurité de l’information.
- Protection physique : Les renseignements conservés sur support physique sont stockés dans des zones sécurisées.
- Solutions infonuagiques sécurisées : Nous collaborons avec des fournisseurs spécialisés pour le stockage infonuagique, garantissant que les données y sont stockées selon les standards de sécurité les plus élevés.
- Surveillance constante : Nous surveillons régulièrement nos systèmes pour détecter toute activité suspecte.
- Mises à jour régulières : Nos systèmes et logiciels sont constamment mis à jour.
- Procédure en cas de brèche : Dans l’éventualité peu probable d’une brèche de sécurité, nous avons mis en place un protocole d’intervention.
Nous nous engageons à revoir et à améliorer continuellement nos mesures de sécurité pour garantir la protection de vos renseignements personnels à chaque étape de leur collecte, stockage et destruction.
9. Protocole d’intervention en cas de fuite de renseignements personnels
- Identification de l’incident : Tout incident relatif aux renseignements personnels doit être immédiatement signalé et enregistré.
- Évaluation : L’impact et la gravité de l’incident doivent être rapidement déterminés.
- Notification à la Commission d’accès à l’information (CAI) : En cas d’incident, la CAI doit être informée selon la réglementation en vigueur.
- Mise en œuvre des mesures correctives : Après identification de l’incident, des actions appropriées doivent être entreprises.
- Communication interne : Informer les parties concernées de l’incident.
- Revue post-incident : Analyser l’incident pour ajuster les politiques existantes.
Cette procédure vise à assurer une réponse efficace aux incidents, minimiser leur impact, et garantir la transparence avec la CAI.
10. Destruction des documents
Une fois la durée de conservation atteinte, les renseignements personnels sont détruits ou anonymisés.
11. Accès et rectification de vos renseignements personnels
Pour faire valoir vos droits d’accès, de rectification ou de retrait du consentement ou pour soumettre une plainte, la personne concernée doit soumettre une demande écrite à cet effet au responsable de la protection des renseignements personnels de Rhesus par courriel à gouvernance@rhesus.net.
Sous réserve de certaines restrictions légales et d’aspects juridiques, les personnes concernées peuvent demander l’accès à leurs renseignements personnels détenus par Rhesus et en demander leur correction dans le cas où ils sont inexacts ou incomplets. Elles peuvent également exiger le retrait d’un renseignement personnel qui les concerne où que celui-ci soit désindexé du web, lorsque la diffusion de ce renseignement par moyen technologique contrevient à la loi ou à une ordonnance judiciaire.
Le responsable de la gouvernance TI chez Rhesus inc. doit répondre par écrit dans un délai de 30 jours ouvrables prévus par la loi, à la suite de la réception de la demande si celle-ci est accompagnée d’un justificatif. Un délai juridique de 30 jours supplémentaires peut être octroyé dans le cas d’une enquête par une autorité compétente.
Vous pouvez ainsi soumettre une demande à l’égard de :
- L’accès à vos renseignements personnels
- La rectification de vos renseignements personnels
- Le retrait de votre consentement à l’utilisation ou à la communication de vos renseignements personnels
- La cessation de la diffusion de vos renseignements personnels, de désindexation
Pour garantir la sécurité de vos données, nous pouvons vous demander des informations spécifiques pour confirmer votre identité et vos droits d’accès que Rhesus nomme les « GEA ». Cela nous permettra de vous fournir les Informations personnelles que nous avons enregistrées à votre sujet ou de réaliser les modifications que vous avez demandées.
Je comprends aussi qu’en cas de changement ou suppression des renseignements de mon dossier, Rhesus pourrait ne plus être en mesure de vous fournir un service adéquat. Si tel est le cas, vous serez informez directement afin que vous puissiez prendre une décision éclairée.
12. Processus de traitement des plaintes relatives à la protection des renseignements personnels
Si vous avez des préoccupations ou des questions concernant la manière dont nous gérons vos renseignements personnels, veuillez contacter notre responsable de la protection des renseignements personnels.
Lors de la soumission de votre préoccupation:
- Mentionnez clairement qu’il s’agit d’une question liée à la protection des renseignements personnels.
- Fournissez vos coordonnées complètes.
- Détaillez votre préoccupation ou question.
Suite à votre retour, notre responsable s’engage à:
- Confirmer la réception de votre préoccupation dans un délai de 30 jours. 60 jours dans le cas d’une demande juridique
- Examiner la nature de votre demande ou préoccupation;
- Vous fournir une réponse explicative. Si nécessaire, cette réponse inclura les actions correctives envisagées ou mises en place.
Nous maintenons un registre de toutes les préoccupations et questions reçues, incluant l’examen effectué, les correspondances et, si applicable, les mesures prises.
13. Liens vers d’autres sites
Notre site web peut contenir des liens vers d’autres sites qui ne sont pas exploités par nous. Si vous cliquez sur un lien vers un autre site, vous serez dirigé vers le site de ce tiers. Nous vous recommandons fortement de consulter la politique de confidentialité de chaque site que vous visitez. Nous n’avons aucun contrôle sur, et n’assumons aucune responsabilité pour, le contenu, les politiques de confidentialité ou les pratiques des sites ou services tiers.
14. Responsabilité des acteurs ayant accès à vos informations personnelles
Nous sommes responsables de la protection des renseignements personnels que nous détenons. Nous veillons à ce que notre équipe préserve la confidentialité de ces informations, quels que soient leur support ou la manière dont elles sont stockées.
- Responsable de la protection des renseignements personnels (RPRP) : Le responsable de la protection des renseignements personnels au sein de notre organisation joue un rôle central dans la gestion et la protection des données personnelles. Ses responsabilités englobent le conseil à la direction, l’élaboration et la mise en œuvre de politiques de protection des données, la classification des informations personnelles, la garantie de leur sécurité, l’intervention dans les projets impliquant des données personnelles, la réponse aux incidents, la gestion des contrats avec des tiers, la réponse aux demandes individuelles, la formation du personnel et la collaboration avec les autorités de protection des données. L’objectif principal est de promouvoir le respect de la vie privée et de garantir la conformité aux lois sur la protection des données au sein de l’organisation.
- Secteur des ressources informatiques : Le secteur des ressources informatiques a pour rôle principal de mettre en place des mesures de sécurité robustes pour protéger les renseignements personnels stockés dans les systèmes informatiques de l’organisation, de garantir leur intégrité, leur confidentialité et leur disponibilité, et de contribuer à la conformité aux lois sur la protection des données. Ils sont un élément clé de l’écosystème de protection des renseignements personnels au sein de notre entreprise.
- Tierces parties (fournisseurs, consultants, etc.) : Les tierces parties sont des acteurs clés dans l’écosystème de la protection des renseignements personnels. Ils ont la responsabilité de traiter et de protéger les données personnelles de manière appropriée, de se conformer aux lois en vigueur, et de coopérer avec les organisations clientes pour garantir la sécurité et la confidentialité des données personnelles.
- Employés de Rhesus Inc.: Personnes responsables de récolter l’information, sous le consentement du client, afin de proposer un service. Cela peut être, sans s’y limiter, pour :
- Le département des ventes
- Le département comptable
- Le service support
- Le service technique
- Direction et coordonnateurs
15. Engagements additionnels de Rhesus quant à vos renseignements personnels
- Rhesus collecte des renseignements seulement lorsqu’il a une raison légitime de le faire et sera uniquement limité qu’aux renseignements ciblés dans cette politique afin de remplir un objectif ciblé.
- Rhesus cible une large audience, mais assure qu’il ne vise en aucun cas la collecte de renseignements de mineurs de façon intentionnelle. Dans le cas où Rhesus doit en collecter les renseignements, le consentement du parent ou tuteur légal sera exigé à tous les coups.
- Rhesus assure qu’aucun nom ne peut être perçu dans sa configuration de Google Analytics
- Rhesus ne collecte aucune donnée relative à l’ethnie d’un individu, ses croyances politiques ou religieuses
- Rhesus inc. s’engage à ne pas faire usage de vos renseignements à des fins illégales, ni détourner ou revendre les données personnelles à de tiers partis, qu’ils soient affiliés à l’entreprise ou non. La seule exception réside dans la demande de ces renseignements par une autorité juridique ou le gouvernement ayant des attributions légitimes.
- Rhesus assure que les employés sont régulièrement formés à la sécurité des renseignements personnels dans le cadre de leur travail et qu’ils sont soumis à un contrat de confidentialité.
- L’accès aux renseignements est limité aux membres de l’organisation qui doivent y avoir accès dans le cadre de leur emploi et l’exercice de leurs fonctions.
- Rhesus veille à ce que les renseignements détenus soient véridiques, vérifiables et à jour afin de prendre des décisions éclairées.
16. Révisions et communication de la politique
Cette politique est revue et actualisée selon les nécessités et les évolutions légales, sans fréquence fixe.
Cette politique de sécurité des données a été communiquée à tous les employés, partenaires et clients concernés. Des mesures sont prises pour s’assurer que tous les intéressés comprennent et acceptent les principes et les obligations énoncés dans cette politique.
En adoptant cette politique de sécurité des données, notre organisation démontre son engagement envers la protection des informations sensibles et la préservation de la confidentialité, de l’intégrité et de la disponibilité des données.
17. Contact et approbation de la politique
La présente politique est révisée et approuvée par le « Comité de Gouvernance TI » de Rhesus inc., responsable de la protection des renseignements personnels. Pour toutes questions ou commentaires, veuillez contacter le comité à l’aide des coordonnées ci-dessous :
- Comité de Gouvernance TI
- 757 boulevard Pierre-Roux Est, Bureau 102
- Victoriaville (Québec), Canada. G6T1S7
- (819) 758-2220 — demander le service de Gouvernance TI
- Gouvernance@rhesus.net
Rhesus s’engage à vous offrir le meilleur service possible, c’est pourquoi il priorise et répond plus rapidement aux communications obtenues par courriel. Dans le cas où vous nous joignez par téléphone, vous consentez à un enregistrement de la conversation et une possible transcription de celle-ci.
18. Date de la politique
Entrée en vigueur le 22-09-2023. Dernière mise à jour: 25-04-2024.