Politique de confidentialité - Bruneau Électrique

Politique de protection des renseignements personnels et politique de confidentialité interne

1. Contexte

Nous sommes une entreprise qui, dans le cadre de ses activités et opérations, traite des renseignements personnels. Il est primordial pour nous d’établir une relation de confiance avec nos employés ainsi que tous nos membres, nos collaborateurs, clients et partenaires.

La présente sert à informer, en toute transparence, de nos meilleures pratiques en matière de collecte, d’utilisation, de conservation et de destruction de vos renseignements personnels.

2. Définitions

Pour l’application de la présente :

Un renseignement personnel est une information qui permet d’identifier directement et indirectement une personne physique.
Un renseignement personnel sensible concerne les informations envers lesquelles il y a un important degré d’attentes raisonnables en matière de vie privée, le numéro d’assurance sociale, les renseignements bancaires et les informations regardant la santé en sont des exemples.
La conservation des données est la procédure qui vise le stockage sécurisé des renseignements personnels pendant la durée requise.
La destruction est le processus par lequel les renseignements personnels sont supprimés, éliminés ou effacés de façon définitive des renseignements personnels.
L’anonymisation est l’action de modifier des renseignements personnels de manière à ne plus permettre en tout temps et de façon irréversible l’identification directe ou indirecte, des individus concernés.

3. Application

Cette politique s’applique à l’ensemble de l’entreprise. Elle s’applique ainsi aux dirigeants, employés, consultants, clients, sous-traitants, ou toutes autres personnes qui fournissent des services pour l’entreprise. Elle concerne toute partie impliquée dans la collecte, la conservation, le traitement, la destruction ou l’anonymisation des renseignements personnels, conformément aux exigences légales et aux meilleures pratiques en matière de protection de la vie privée.

La politique s’applique également à tous les sites internet opérés par l’entreprise.

La présente vise tous les renseignements personnels prélevés par l’entreprise, autant les renseignements sur nos employés, clients actuels, passés ou potentiels, membres, collaborateurs direct ou indirect, ou toutes autres personnes telles que les utilisateurs du réseau de l’entreprise. La portée de la politique couvre tout le cycle de vie des renseignements personnels, depuis leur collecte jusqu’à leur destruction ou leur anonymisation.

Les coordonnées d’affaires ou professionnelles d’une personne ne sont pas des renseignements personnels au titre de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec. La présente politique ne s’applique pas non plus à un renseignement personnel qui a un caractère public.

4. Collecte

L’entreprise collecte différents types de renseignements, uniquement pour des raisons sérieuses et légitimes, en conformité avec la Loi.

Les fins de ces collectes de renseignements sont définies de façon non exhaustive et sans s’y limiter, comme suit :

Type de relation avec l’entreprise	Classe de renseignement personnel	Raison pouvant expliquer la collecte des renseignements personnels collectés	Moyen de collecte des renseignements personnels
Clients	Nom Numéro de téléphone Courriel Coordonnées bancaires Adresse	Offre de service et soumissions Accomplissement d’un contrat ou d’un mandat La facturation Banque de données sondage et analyse Inscription à l’infolettre Dans le recouvrement de soldes impayés ou toute autre procédure légale	Formulaire Web Entrevue téléphonique Plateformes et autres soutiens technologiques Par courrier Auprès d’un tiers ou d’un collaborateur dans le cadre d’un contrat ou d’un mandat conformément à la Loi
Candidats et employés	Nom Numéro de téléphone Courriel Coordonnées bancaires Numéro d’assurance sociale Date de naissance Copie d’un permis de conduire Certifications ou cartes de compétence Langue Adresse Références professionnelles	Assurer la communication avec le candidat à l’emploi ou l’employé Ajouter l’employé au système de paie Production des relevés d’emploi et d’autre document relatif aux impôts Vérification des compétences et information pour les assurances de l’entreprise Vérification de l’aptitude à communiquer dans les langues requises par la fonction occupée par l’employé ou le candidat Sondages et tirages	Formulaire Web Téléphone Entrevue en présentiel Formulaire manuscrit Par courriel Par messagerie texte Auprès d’un ancien employeur selon les références fournies, avec le consentement de l’employé ou du candidat
Membres et dirigeants	Nom Numéro de téléphone Courriel Coordonnées bancaires Numéro d’assurance sociale Date de naissance Copie d’un permis de conduire Certifications ou cartes de compétences Langue Adresse Références professionnelles	Assurer les communications entre les membres et dirigeants La facturation et les paiements Transmettre les coordonnées aux contractants, collaborateurs et clients lorsque nécessaire Établir la langue de communication principale Obtenir les permis de chantier Toutes autres applications nécessaires aux activités commerciales de la société	Formulaire Web Formulaire manuscrit Courriel Téléphone Messagerie texte
Partenaires et collaborateurs	Nom Numéro de téléphone Courriel Coordonnées bancaires (lorsque nécessaire)	Établir le partenariat ou la collaboration Signature de contrat et d’entente Communication Facturation ou paiement	Formulaire Web Formulaire manuscrit Courriel Téléphone Messagerie texte
Consultants	Nom Numéro de téléphone Courriel Coordonnées bancaires	Gestion des communications avec le consultant Paiements des factures	Courriel Formulaire manuscrit Téléphone

Il est important de prendre en considération que la transmission de données par internet n’est pas complètement sécurisée. Nous ne pouvons pas garantir que les réseaux que vous utilisez répondent aux exigences en matière de confidentialité. Vous pouvez tout de même prendre certaines précautions en consultant la section « Liste des meilleures pratiques et outils en ligne pour favoriser la protection des renseignements personnels »

4.1 Consentement

En général, le consentement sera initialement demandé par l’établissement de façon verbale ou écrite, précédant la collecte de renseignements personnels. Dans certains cas prévus par la Loi, le consentement peut être obtenu de façon implicite, par exemple, dans le cadre d’un échange courriel, téléphonique ou lors d’une conversation en présentiel, lorsque l’individu concerné a pris connaissance de la présente politique avant la divulgation de ses renseignements.

Dans la situation où la firme procéderait à la collecte de renseignements personnels auprès d’un tiers, la société doit initialement demander le consentement à l’individu visé sauf dans les cas d’exception visés par la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, notamment, dans le cas où la société a un intérêt sérieux et légitime de le faire, si la collecte est dans l’intérêt de la personne visée, si la collecte est faite dans le but de vérifier l’exactitude de certains renseignements et s’il n’est pas possible de le faire directement auprès d’elle dans le temps donné.

En tout temps, l’établissement pourra informer l’individu visé de la source des renseignements qu’il détient sur celui-ci.

4.2 Conservation et utilisation

L’entreprise s’engage à utiliser les renseignements personnels uniquement pour les motifs précités ou pour toutes autres raisons stipulées lors de la collecte.

L’Entreprise s’engage également à procéder à la vérification de l’exactitude des renseignements qu’elle détient préalablement à toutes prises de décisions relatives à la personne visée. L’entreprise devra aussi, à la demande de l’individu concerné, l’informer des renseignements personnels utilisés, l’informer de son droit à faire rectifier les renseignements préalablement à la prise de décision et des raisons et des principaux facteurs ayant mené à cette décision. L’occasion doit être donné à cette personne de faire un compte rendu et de donner ses commentaires, à un membre du personnel de l’entreprise qui a le pouvoir de rectifier la décision.

Lorsque l’établissement veut utiliser les renseignements pour une raison autre que celles visées par cette présente politique ou celles stipulées lors de la collecte initiale, la société devra demander un nouveau consentement à l’individu visé. Ce consentement devra être donné de manière expresse ou sous forme de contrat écrit, que ce soit dans le cadre de la collecte d’informations personnelles sensibles ou de renseignements personnels.

Dans certaines situations prévues par la Loi, la firme peut utiliser les informations de façon secondaire sans le consentement de l’individu :

Dans les situations où l’utilisation est faite au bénéfice de la personne;
Dans le cas où cela est nécessaire dans la détection et la prévention de la fraude;
Lorsque cela est utile pour améliorer ou évaluer les mesures relatives à la protection et à la sécurité.

4.3 Accès limité

L’entreprise a un protocole de demande très stricte qui autorise seulement les personnes qui ont un intérêt sérieux et pour qui l’information est utile dans le cadre de leur fonction à avoir accès à cette dite information. L’établissement demandera le consentement de l’individu concerné par cette demande dans toutes autres situations.

4.4 Communication

Pour l’application de la présente, une transaction commerciale signifie la vente, l’achat ou la location d’une entreprise, dans son entièreté, en partie ou des actifs dont elle dispose.

Dans toutes les situations où l’entreprise devra communiquer les renseignements personnels à un tiers, le consentement devra être émis de façon explicite ou express tel que prévu par la Loi. Lorsqu’il s’agit de renseignements sensibles, l’entreprise recueillera le consentement explicite de la personne visée préalablement à la communication de ses renseignements personnels.

L’entreprise peut communiquer un renseignement personnel à un organisme public, tel que le gouvernement, sans consentement. Cette information doit être recueillie par un agent de l’organisme public dans le cadre de ses fonctions.

Dans la conclusion d’une transaction commerciale, l’établissement peut aussi communiquer un renseignement personnel à l’autre partie concernée sans le consentement de l’individu visé, selon les dispositions prévues par la Loi.

Des renseignements personnels pourront être transmis à des fournisseurs de service sans le consentement de la personne visée dans les circonstances où ses informations sont nécessaires à l’accomplissement de mandats ou de contrats. Dans ces cas précis, un contrat devra être constitué entre les fournisseurs et l’entreprise.

Les clauses de ce contrat devront comprendre;

les mesures prises par les deux parties pour préserver la sécurité et la confidentialité des renseignements partagés;
une condition qui stipule que les données ne soient utilisées qu’à des fins d’exécution de contrat ou de mandat;
une clause stipulant que les renseignements doivent être détruits ou anonymisés suite à leur expiration;
que les fournisseurs de services doivent aviser le responsable de la protection des renseignements personnels de la firme et lui permettre de faire toutes les vérifications nécessaires à ce sujet, en cas de toute faille dans la sécurité ou de tentative de violation des obligations de confidentialité des renseignements personnels.

Il est possible que la société communique des renseignements personnels à l’extérieur du Québec dans le cadre ses activités, lorsque la société fait affaires avec des partenaires, des collaborateurs, des sous-traitants ou autre personne physique ou morale, à l’extérieur de la province. Ces échanges se feront alors en conformité avec la Loi.

5. Supports technologiques

La navigation sur le réseau Wi-Fi de l’entreprise est assujettie à une surveillance normale des réseaux électroniques qui comprend l’analyse des registres et des historiques. Par exemple, pour vérifier que les sites internet consultés par les employés et autres personnes autorisées sont conformes à la politique de l’entreprise et pour vérifier le trafic d’utilisation. Cette vérification s’effectue à partir de tous les appareils et supports technologiques connectés au réseau Wi-Fi de l’entreprise.

Les employés et personnes concernées sont priés de communiquer avec le responsable de la protection des renseignements personnels pour de plus amples détails.

5.1. Collecte de renseignements sur support technologique

L’établissement collecte aussi des renseignements personnels par l’intermédiaire de formulaires en ligne pour l’embauche, l’élaboration de paies et plusieurs autres raisons.

Ces renseignements sont prélevés en utilisant des paramètres pour conserver le plus haut niveau de confidentialité par défaut.

6. Conservation, destruction et anonymisation des renseignements

6.1. Conservation

Des délais de conservation sont fixés par la Loi selon les dispositions suivantes :

Lorsque les renseignements personnels à jour sont utilisés pour prendre une décision sur un individu, ces renseignements sont conservés au moins un an suivant cette décision.
Les renseignements personnels qui s’appliquent aux employés de l’entreprise seront conservés 7 ans après la fin de l’emploi.
Pour les membres du conseil d’administration, les renseignements seront conservés également 7 ans après la fin du mandat
Les renseignements personnels sur les clients seront conservés tant que leur conservation est justifiée par les raisons pour lesquelles ils ont étés recueillis. Par la suite, ils seront détruits ou anonymisés.
Les renseignements personnels concernant toutes autres personnes seront conservés tant que leur conservation est justifiée par les motifs pour lesquels ils ont étés recueillis. À l’échéance, ils seront également détruits ou anonymisés.

Des délais spécifiques peuvent être fixés pour des situations spécifiques ou exceptionnelles. Les personnes concernées seront alors informées lors de la collecte de ses informations.

6.2. Méthode de stockage sécurisé

Les renseignements personnels se trouvent aux endroits suivants :

Sur le logiciel horizon qui permet de contrôler l’accès aux renseignements selon leur degré de sensibilité. Le logiciel comprend les informations générales sur les employés, les dirigeants, les membres et sur toute autre personne faisant partie de l’entreprise de près ou de loin. Les informations personnelles sont uniquement conservées dans un endroit avec accès restreint qui assure une confidentialité totale. Seules les personnes qui ont un intérêt sérieux et légitime en ont l’accès ou peuvent en avoir l’accès.
Sur l’application Gestion chantier, qui permet aux individus concernés d’avoir accès à l’intégralité des informations que la société détient sur eux.
Sur le logiciel caméléon pour tout ce qui est relatif à la paie et aux informations personnelles et bancaires. Encore une fois cette plateforme offre un niveau de confidentialité maximum et seules les personnes qui requièrent ces informations dans le cadre de leur fonction y ont accès.
Dans des lieux de stockage, papier ou numérique, adéquatement sécurisés selon le degré de sensibilité de chaque renseignement, où seules les personnes autorisées y ont accès.

6.3. Destruction et anonymisation des renseignements personnels

L’entreprise s’engage à détruire de façon irréversible, tout renseignement personnel lorsqu’ils ne sont plus utiles, ou à la fin du délai prévu par la Loi. Cela signifie que les renseignements ne pourront pas être récupérés et ce, de manière définitive.

Dans les cas où la société souhaite conserver les informations personnelles à des fins d’analyse et de statistiques, ou pour toutes autres raisons sérieuses ou légitimes, il lui sera possible d’anonymiser les renseignements de manière à ne plus permettre en tout temps et de façon irréversible l’identification directe ou indirecte des individus concernés.

7. Responsabilité

L’établissement est en grande majorité responsable de la protection des renseignements qu’elle collecte et conserve. Le responsable de la protection des renseignements personnels est la personne nommée par le président de la société.

Cette personne est responsable de :

Veiller à assurer le respect des procédures et des politiques relatives à la protection des renseignements personnels.
Mettre en œuvre la présente politique et s’assurer qu’elle soit connue, comprise et appliquée par tous les membres, dirigeants, employés et autres acteurs importants de la société.

En cas d’absence du responsable ou d’impossibilité d’agir du responsable, le président de la société assurera les fonctions du responsable des renseignements personnels.

Les membres de la société ayant accès aux renseignements personnels devront faire preuve de prudence, de discrétion et s’assurer de toujours respecter la présente politique. La procédure de gestion des renseignements personnels devra aussi être respectée en tout temps par le personnel et toutes autres personnes détenant l’accès aux renseignements.

8. Assurer la sécurité des données

La société s’engage à catégoriser les renseignements personnels de façon à pouvoir mettre sous surveillance accrue les données les plus sensibles. Les mesures de sécurité mises en place correspondent, à leur destination, leur quantité, leur distribution et au support sur lequel les renseignements sont contenus. L’accès aux renseignements personnels est limité seulement aux personnes qui ont un intérêt sérieux et justifiable de les obtenir dans le cadre de leurs fonctions. Les demandes d’accès sont filtrées de façon rigoureuse pour offrir un degré de confidentialité maximal.

9. Demandes d’accès

Tout membre du personnel qui souhaite avoir accès, modifier ou mettre à jour un renseignement personnel dans le cadre de ses fonctions doit en faire la demande écrite par courriel au renseignements@gestrago.com.

Tel que prévu par la Loi, les individus visés peuvent faire la demande pour avoir accès, corriger ou mettre à jour les renseignements personnels que la société détient sur eux. Ils peuvent le faire par demande écrite à l’adresse courriel précitée. Dans un tel cas, l’équipe de l’entreprise dispose d’un délai de 30 jours pour répondre à la demande. Certaines restrictions légales peuvent s’appliquer.

Les personnes concernées peuvent aussi visualiser certaines des informations personnelles détenues par la société sur l’application Gestion chantier ou sur Horizon.

Sous toutes réserves légales, toutes personnes concernées peuvent également retirer leur consentement en tout temps pour mettre un terme à la diffusion, l’utilisation ou toutes autres fins pour lesquelles la société détient ses renseignements personnels, étant cependant entendu que certaines informations doivent obligatoirement être détenues afin de préserver le lien entre la société et l’individu. Une telle demande pourrait donc mettre fin à la relation entre la société et l’individu. La demande devra aussi être faite sous forme écrite à l’adresse courriel mentionnée ci-haut.

Dans le cas d’un refus à l’une des demandes précédentes par le responsable de la protection des renseignements personnels le tout sera justifié par une disposition légale et une explication adéquate. La réponse inclura aussi les autres recours légaux et les délais pour les exercer. En cas de toute incompréhension ou confusion, le responsable de la protection des renseignements personnels devra aider l’individu concerné à comprendre la démarche et les raisons.

10. Gestion des plaintes et recours

Tout individu qui désire déposer une plaine regardant la présente politique pourra procéder par courriel, téléphone ou par écrit, en communiquant avec le responsable de la protection des renseignements personnels.

La plainte doit contenir :

Le nom de la personne
Le numéro de téléphone pour le joindre
L’adresse courriel
L’objet de la plainte

En cas de manquement, le responsable peut exiger une clarification ou plus d’informations pour compléter la plainte.

Toute plainte sera traitée de façon confidentielle, dans un délai de 30 jours suivant sa réception ou suivant la réception de toutes informations complémentaires nécessaires. Le responsable dispose de ce délai pour apporter l’analyse et effectuer les vérifications requises. Avant le terme du délai, le responsable formulera une réponse complète et motivée par courriel au plaignant. Cette réponse contiendra les mesures prises et les solutions proposées.

Un dossier sera constitué pour chaque plainte reçue qui contiendra, la plainte initiale, l’analyse effectuée et la réponse donnée.

Bien qu’il soit possible de déposer une plainte à la Commission d’accès à l’information du Québec, ou tout autre organisme appliquant les lois relatives à la protection des renseignements, l’établissement encourage d’abord toute personne intéressée à initialement déposer leur requête auprès du responsable de la sécurité des renseignements de la société.

Nous invitons aussi les individus à communiquer leurs préoccupations le plus rapidement possible au responsable de la protection des renseignements personnels pour pouvoir agir rapidement.

11. Personne-ressource

Les coordonnées de la personne responsable de la protection des renseignements personnels sont les suivantes :

Daphnée Richard, responsable juridique
527, boul. Dollard
Joliette (Québec) J6E 4M5
(450) 759-6606
renseignements@gestrago.com

12. Publication et modifications

Il est possible de retrouver la présente politique directement à nos bureaux en version papier ainsi que sur notre site internet.

En cas de modifications à la présente politique, un avis sera envoyé par courriel à toute personne concernée.

Veuillez prendre note que l’emploi du genre masculin dans la présente n’a pour but que d’alléger le texte et représente une valeur neutre représentant autant le féminin que le masculin.

Versions et changements

Version	Entrée en vigueur	Changements depuis la première version
1.0	12 février 2024	N/A