Politiques de confidentialité

Mise à jour : 15 août 2023

Loi sur la protection des renseignements personnels

Nom du responsable : Jérémi Blais
Titre : Responsable de la protection des renseignements personnels
Courriel : jblais@cifmetal.com

1. CONTEXTE
CIF Métal Ltée est une société par actions de compétence provinciale qui traite des renseignements personnels dans le cadre de ses activités.
La présente politique vise à assurer la protection des renseignements personnels et à encadrer la manière dont CIF Métal Ltée les collecte, les utilise, les communique, les conserve et les détruit. De plus, elle vise également à informer toute personne intéressée sur la façon dont les renseignements personnels sont traités au sein de l’entreprise.

2. APPLICATION ET TERMINOLOGIE
Cette politique s’applique à CIF Métal Ltée, notamment ses directeurs, employés, fournisseurs, clients, ainsi qu’à toute personne qui, autrement, fournit des services pour l’entreprise. Elle s’applique également à l’égard du site internet de CIF Métal, ainsi que par tous les sites internet contrôlés et maintenus par la société par actions.
Elle vise tous les types de renseignements personnels gérés par l’entreprise, que ce soient les renseignements de ses clients, potentiels ou actuels, ses fournisseurs, ses employés ou toutes autres personnes impliquées.
Aux fins de la présente politique, un renseignement personnel est un renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier. À titre d’exemple, il pourrait s’agir du nom, de l’adresse, de l’adresse courriel, du numéro de téléphone, du genre ou de renseignements bancaires d’une personne, de renseignements sur sa santé, son origine ethnique, sa langue, etc.
Un renseignement personnel sensible est un renseignement envers lequel il y a un haut degré d’attente raisonnable en matière de vie privée, p. ex. les renseignements de santé, renseignements bancaires, renseignements biométriques, orientation sexuelle, origine ethnique, opinions politiques, croyances religieuses ou philosophiques, etc.
De manière générale, les coordonnées professionnelles ou d’affaires d’une personne ne constituent pas des renseignements personnels, par exemple le nom, le titre, l’adresse, l’adresse courriel ou le numéro de téléphone professionnel d’une personne. Plus particulièrement et par souci de précision, au sens de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, et à compter du 22 septembre 2023, les sections 3 (collecte, utilisation, communication), 4 (conservation et destruction) et 6 (sécurité des données) ne s’appliquent pas aux renseignements d’une personne relatifs à l’exercice d’une fonction dans une entreprise, tels que son nom, son titre, sa fonction, ainsi que l’adresse, l’adresse courriel et le numéro de téléphone de son lieu de travail.
Ces mêmes paragraphes ne s’appliquent pas non plus à un renseignement personnel qui a un caractère public en vertu de la loi, et ce, dès l’entrée en vigueur de la présente politique.

3. COLLECTE, UTILISATION ET COMMUNICATION
Dans le cadre de ses activités, CIF Métal peut collecter différents types de renseignements, et ce, à différentes fins. Les types de renseignement que CIF Métal pourrait collecter, leur utilisation (ou l’objectif visé) ainsi que les moyens par lesquels les renseignements sont recueillis sont indiqués à l’Annexe A de la présente politique.
CIF Métal informera également les personnes concernées, au moment de la collecte de renseignements personnels, de tout autre renseignement recueilli, des fins pour lesquelles ils sont collectés et les moyens de la collecte, en plus des autres informations à fournir tel que requis par la loi.
L’entreprise applique les principes généraux suivants relativement à la collecte, l’utilisation et la communication de renseignements personnels :
Consentement :
• De façon générale, CIF Métal collecte les renseignements personnels directement auprès de la personne concernée et avec son consentement, sauf si une exception est prévue par la loi. Le consentement peut être obtenu de façon implicite dans certaines situations, par exemple, lorsque le responsable des ressources humaines doit compléter le dossier de l’employé. Ainsi, la présente politique et les informations qu’elle contient pourront manifestement être consultées par la personne concernée au moment de la collecte de renseignements personnels puisque qu’ils nécessitent la signature des personnes impliquées.
• Normalement, CIF Métal doit également obtenir le consentement de la personne concernée avant de collecter ses renseignements personnels auprès de tiers, avant de les communiquer à des tiers ou pour toute utilisation secondaire de ceux-ci. Toutefois, CIF Métal peut agir sans consentement dans certains cas prévus par la loi et dans les conditions prévues par celle-ci. Les principales situations où l’entreprise peut agir sans consentement sont indiquées dans les sections pertinentes de la présente politique.
Collecte :
• Dans tous les cas, CIF Métal ne collecte des renseignements que s’il a une raison valable de le faire. De plus, la collecte ne sera limitée qu’au renseignement nécessaire dont il a besoin pour remplir l’objectif visé.
• Veuillez noter que les services et programmes ne visent pas les personnes mineures, et de façon plus générale, n’obtient pas intentionnellement de renseignements personnels concernant des mineurs (dans ces cas, les renseignements ne peuvent être recueillis auprès de lui sans le consentement d’un parent ou d’un tuteur).
Dans certaines situations, CIF Métal peut également collecter des renseignements personnels auprès de tiers, sans le consentement de la personne concernée, si elle a un intérêt sérieux et légitime à le faire et a) si la cueillette est dans l’intérêt de la personne et qu’il n’est pas possible de le faire auprès d’elle en temps utile, ou b) si cette cueillette est nécessaire pour s’assurer que les renseignements sont exacts.
Utilisation :
• CIF Métal veille à ce que les renseignements qu’elle détient soient à jour et exacts au moment de leur utilisation pour prendre une décision relative à la personne visée.
• CIF Métal ne peut utiliser les renseignements personnels d’une personne que pour les raisons indiquées aux présentes ou pour toutes autres raisons fournies lors de la collecte. Dès que l’entreprise veut utiliser ces renseignements pour une autre raison ou une autre fin, un nouveau consentement devra être obtenu de la personne concernée, lequel devra être obtenu de façon expresse s’il s’agit d’un renseignement personnel sensible. Cependant, dans certain cas prévu par la loi, CIF Métal peut utiliser les renseignements à des fins secondaires sans le consentement de la personne, p. ex. :
• lorsque cette utilisation est manifestement au bénéfice de cette personne;
• lorsque cela est nécessaire pour prévenir ou détecter une fraude;
• lorsque cela est nécessaire pour évaluer ou améliorer des mesures de protection et de sécurité.
• Accès limité. CIF Métal a grandement limiter l’accès aux données sensibles pour ses employés cadre au sein de l’organisation. Aucun cadre n’a accès à un renseignement personnel qui n’est pas nécessaire dans l’exercice de ses fonctions. CIF Métal a également limité l’accès aux personnes pouvant donner accès aux cadres à ces données sensibles afin de maintenir un contrôle sur la protection des renseignements personnels.
Communication :
• Généralement, et à moins d’une exception indiquée dans la présente politique ou autrement prévue par la loi, CIF Métal obtiendra le consentement de la personne concernée avant de communiquer ses renseignements personnels à un tiers. De plus, lorsque le consentement est nécessaire et lorsqu’il s’agit d’un renseignement personnel sensible, l’entreprise devra obtenir le consentement explicite de la personne avant de communiquer le renseignement.
• Cependant, la communication des renseignements personnels à des tiers est parfois nécessaire. Ainsi, des renseignements personnels peuvent être communiqués à des tiers sans le consentement de la personne concernée dans certains cas, notamment, mais non exclusivement, dans les cas suivants:
• CIF Métal peut communiquer un renseignement personnel, sans le consentement de la personne concernée, à un organisme public (comme le gouvernement) qui, par un de ses représentants, le recueille dans l’exercice de ses attributions ou la mise en œuvre d’un programme dont il a la gestion.

• Des renseignements personnels pourront être transmis à la mutuelle de prévention à qui il est nécessaire de communiquer les renseignements, et ce, sans le consentement de la personne. Par exemple, la mutuelle désire recevoir le rapport médical d’un employé lors de l’évaluation de son dossier d’indemnisation, sous réserve des conditions prévues par la loi.

4. CONSERVATION ET DESTRUCTION DES RENSEIGNEMENTS PERSONNELS
Sauf si une durée minimale de conservation est requise par la loi ou la réglementation applicable, CIF Métal ne conservera les renseignements personnels que pour la durée nécessaire à la réalisation des fins pour lesquelles ils ont été collectés.
Les renseignements personnels utilisés par l’entreprise pour prendre une décision relative à une personne doivent être conservés durant une période d’au moins un an suivant la décision en question ou même sept années après la fin de l’année fiscale où la décision a été prise si celle-ci a des incidences fiscales, par exemple, les circonstances d’une fin d’emploi.
À la fin de la durée de conservation ou lorsque les renseignements personnels ne sont plus nécessaires, CIF Métal s’assurera :
de les détruire; ou
de les anonymiser (c’est-à-dire qu’ils ne permettent plus, de façon irréversible, d’identifier la personne et qu’il n’est plus possible d’établir un lien entre la personne et les renseignements personnels) pour les utiliser à des fins sérieuses et légitimes.
La destruction de renseignements par CIF Métal doit être faite de façon sécuritaire, afin d’assurer la protection de ces renseignements.
La présente section peut être complétée par toute politique ou procédure adoptée par CIF Métal concernant la conservation et destruction de renseignements personnels, le cas échéant. Veuillez contacter le responsable de la protection des renseignements personnels de CIF Métal (indiqué dans la présente politique) pour en savoir davantage.

5. RESPONSABILITÉ DE CIF MÉTAL
De manière générale, CIF Métal est responsable de la protection des renseignements personnels qu’elle détient.
Le responsable de la protection des renseignements personnels de CIF Métal est le conseiller RH/TI de l’organisation. Il ou elle doit, de façon générale, veiller à assurer le respect de la législation applicable concernant la protection des renseignements personnels. Le responsable doit approuver les politiques et pratiques encadrant la gouvernance des renseignements personnels. Plus particulièrement, cette personne est chargée de mettre en œuvre la présente politique et de veiller à ce qu’elle soit connue, comprise et appliquée. En cas d’absence ou d’impossibilité d’agir de ce responsable, le PDG assurera les fonctions du responsable de la protection des renseignements personnels.
Les membres du personnel de CIF Métal ayant accès à des renseignements personnels ou étant autrement impliqués dans la gestion de ceux-ci doivent en assurer leur protection et respecter la présente politique.
Les rôles et les responsabilités des employés de CIF Métal tout au long du cycle de vie des renseignements personnels peuvent être précisés par toute autre politique de l’entreprise à cet égard, le cas échéant.

6. SÉCURITÉ DES DONNÉES
CIF Métal s’engage à mettre en place des mesures de sécurité raisonnables pour assurer la protection des renseignements personnels qu’elle gère. Les mesures de sécurité en place correspondent, entre autres, à la finalité, à la quantité, à la répartition, au support et à la sensibilité des renseignements. Ainsi, cela signifie qu’un renseignement pouvant être qualifié de sensible (voir la définition prévue à la section 2) devra faire l’objet de mesures de sécurité plus importantes et devra être mieux protégé. Notamment, et conformément à ce qui a été mentionné précédemment concernant l’accès limité aux renseignements personnels, CIF Métal a mis en place des mesures nécessaires pour imposer des contraintes aux droits d’utilisation de ses systèmes d’information de manière à ce que seuls les employés qui doivent y avoir accès soient autorisés à y accéder.
De plus, CIF Métal s’engage à détruire tous les dossiers physiques des employés de manière à réduire le risque en ce qui concerne la fuite de données. Les dossiers actifs sont conservés dans le système ERP Prextra. Les dossiers inactifs sont également conservés dans le système pendant la durée prévue par la loi.

7. DROITS D’ACCÈS, DE RECTIFICATION ET DE RETRAIT DU CONSENTEMENT
Pour faire valoir ses droits d’accès, de rectification ou de retrait du consentement, la personne concernée doit soumettre une demande écrite à cet effet au responsable de la protection des renseignements personnels de CIF Métal, à l’adresse courriel indiquée à la section suivante.
Sous réserve de certaines restrictions légales, les personnes concernées peuvent demander l’accès à leurs renseignements personnels détenus par CIF Métal et en demander leur correction dans le cas où ils sont inexacts, incomplets ou équivoques. Elles peuvent également exiger la cessation de la diffusion d’un renseignement personnel qui les concerne ou que soit désindexé tout hyperlien rattaché à leur nom permettant d’accéder à ce renseignement par un moyen technologique, lorsque la diffusion de ce renseignement contrevient à la loi ou à une ordonnance judiciaire. Elles peuvent faire de même, ou encore exiger que l’hyperlien permettant d’accéder à ce renseignement soit réindexé, lorsque certaines conditions prévues par la loi sont réunies.
Le responsable de la protection des renseignements personnels de CIF Métal doit répondre par écrit à ces demandes dans les 30 jours de la date de réception de la demande. Tout refus doit être motivé et accompagné de la disposition légale justifiant le refus. Dans ces cas, la réponse doit indiquer les recours en vertu de la loi et le délai pour les exercer. Le responsable doit aider le requérant à comprendre le refus au besoin.
Sous réserve des restrictions légales et contractuelles applicables, les personnes concernées peuvent retirer leur consentement à la communication ou à l’utilisation des renseignements recueillis.
Elles peuvent également demander à CIF Métal quels sont les renseignements personnels recueillis auprès d’elle, les catégories de personnes chez CIF Métal qui y ont accès et leur durée de conservation.

8. PROCESSUS DE PLAINTE
Réception :
Toute personne qui souhaite formuler une plainte relative à l’application de la présente politique ou, plus généralement, à la protection de ses renseignements personnels par CIF Métal, doit le faire par écrit en s’adressant au responsable de la protection des renseignements, à l’adresse courriel indiquée à la section suivante.
L’individu devra indiquer son nom, ses coordonnées pour le joindre, incluant un numéro de téléphone, ainsi que l’objet et les motifs de sa plainte, en donnant suffisamment de détails pour que celle-ci puisse être évaluée par CIF Métal. Si la plainte formulée n’est pas suffisamment précise, le responsable de la protection des renseignements personnels peut requérir toute information additionnelle qu’il juge nécessaire pour pouvoir évaluer la plainte.
Traitement :
CIF Métal s’engage à traiter toute plainte reçue de façon confidentielle.
Dans les 30 jours suivant la réception de la plainte ou suivant la réception de tous les renseignements additionnels jugés nécessaires et requis par le responsable de la protection des renseignements personnels de CIF Métal pour pouvoir la traiter, ce dernier doit l’évaluer et formuler une réponse motivée écrite par courriel, au plaignant. Cette évaluation visera à déterminer si le traitement des renseignements personnels par CIF Métal est conforme à la présente politique, à toute autre politique et pratique en place au sein de l’organisation et à la législation ou réglementation applicable.

Dans le cas où la plainte ne peut être traitée dans ce délai, le plaignant doit être informé des motifs justifiant l’extension de délai, de l’état d’avancement du traitement de sa plainte et du délai raisonnable nécessaire pour pouvoir lui fournir une réponse définitive.
CIF Métal doit constituer un dossier distinct pour chacune des plaintes qui lui sont adressées. Chaque dossier contient la plainte, l’analyse et la documentation à l’appui de son évaluation, ainsi que la réponse envoyée à la personne à l’origine de la plainte.
Il est également possible de déposer une plainte auprès de la Commission d’accès à l’information du Québec ou à tout autre organisme de surveillance en matière de protection des renseignements personnels responsable de l’application de la loi concernée par l’objet de la plainte.
Toutefois, CIF Métal invite toute personne intéressée à s’adresser d’abord à son responsable de la protection des renseignements personnels et à attendre la fin du processus de traitement par CIF Métal.

9. APPROBATION
La présente politique est approuvée par le responsable de la protection des renseignements personnels de CIF Métal, dont les coordonnées d’affaires sont les suivantes :
Responsable de la protection des renseignements personnels :
Jérémi Blais
1900, rue Setlakwe
Thetford Mines, Québec, G6G 8B2
jblais@cifmetal.com
Pour toute demande, question ou commentaire dans le cadre de la présente politique, veuillez communiquer avec le responsable par courriel.

10. PUBLICATION ET MODIFICATIONS
La présente politique sera publiée sur le site internet de CIF Métal. Cette politique est également diffusée par tout moyen propre à atteindre les personnes concernées.
L’entreprise doit également faire de même pour toutes les modifications à la présente politique, lesquelles devront également faire l’objet d’un avis pour en informer les personnes concernées.

*Notes : Veuillez noter que l’emploi du genre masculin a pour but d’alléger la présente politique et d’en faciliter la lecture.

Contactez-nous
Pour signaler un incident de confidentialité, veuillez compléter le formulaire suivant.

  • YYYY slash MM slash DD
  • Veuillez inclure quelques détails concernant l'atteinte y compris une description de la méthode utilisée lors de l'attaque si celle-ci s'est produite
  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.