Politique sur la protection des renseignements personnels

Politique sur la protection des renseignements personnels

Approbation : Mylène Denis, propriétaire
Entrée en vigueur : 01 septembre 2023
Responsable et révision : Mylène Denis, propriétaire

Cadre juridique :

  • Code civil du Québec
  • Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1)
  • Loi concernant le cadre juridique des technologies de l’information (RLRQ, c. C-1.1)
  • Loi sur les archives (RLRQ, c. A-21.1)
  • Règlement général sur la protection des données (UE2016/679)
  • Politique de gestion des documents administratifs et des archives
  • Politique de sécurité de l’information
  • Règlement sur l’utilisation responsable des technologies de l’information

Préambule
Dans le cadre de ses activités en tant qu’établissement commerciale, nous recueillons et utilisons des renseignements personnels à des fins de marketing.

La boutique Mydeisgn assujetti à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (la Loi sur l’accès). Elle est responsable d’assurer la protection des renseignements personnels qu’elle détient et de démontrer sa conformité aux
obligations légales qui lui incombent.

La boutique Mydeisgn détient également des données à caractère personnel à titre de responsable de traitement ou de sous-traitant au sens du Règlement général sur la protection des données.

La boutique Mydeisgn a mis en place un Comité sur l’accès à l’information et sur la protection des renseignements personnels afin de soutenir dans l’exercice de ses responsabilités et dans l’exécution de ses obligations légales en matière de protection des renseignements personnels.

La Direction sera responsable de la protection des renseignements personnels afin de veiller à la conformité de l’organisation et de promouvoir des pratiques respectueuses du droit à la vie privée.

La présente politique constitue le cadre normatif général encadrant la gouvernance des renseignements personnels, en conformité avec ses obligations légales, notamment celles découlant de la Loi sur l’accès.

 

Titre préliminaire
I. Objectifs

1. La présente politique vise à :
a) établir les engagements qui guident n o s pratiques dans sa gestion des renseignements personnels;
b) définir les rôles et les responsabilités des membres du personnels à l’égard des renseignements personnels et uniformiser les pratiques en la matière;
c) permettre aux membres de connaître et de comprendre les exigences légales et les principes de protection des renseignements personnels dans le cadre de l’exercice de leurs fonctions;
d) démontrer le respect des obligations légales en matière de protection des renseignements personnels.

II. Champs d’application

2. La présente politique s’applique à tous les membres de l’établissement lorsqu’ils recueillent, utilisent, communiquent, conservent ou détruisent des renseignements personnels dans le cadre de leurs fonctions, ou lorsqu’ils ont autrement accès à des renseignements personnels détenus par l’entreprise, incluant ceux dont la conservation est assurée par un tiers. Elle s’applique à tous les renseignements, quel que soit leur support, de leur collecte à leur destruction.

3. Elle s’applique également à toute personne à qui la Boutique Mydesign confie des renseignements personnels dans le cadre de l’exécution d’un mandat ou d’un contrat de service.

4. La politique ne s’applique pas aux renseignements détenus par un membre à des fins personnelles, même s’ils sont conservés sur une plateforme technologique de l’entreprise.

III. Définitions

Dans la présente politique, les expressions et les mots suivants signifient :

Gestionnaire

La direction ainsi que tout personnel cadre dont l’unité administrative dont elle ou il est responsable est la détentrice d’un renseignement personnel.

Membre

Membre de l’organisation en l’occurrence les salarié(es) étudiant(es), les administratrices et les administrateurs ainsi que le personnel administratif.

Personne répondante

Personne désignée afin de veiller à la conformité des règles et des obligations en matière de protection des renseignements personnels au sein de la direction.

Renseignement personnel

Tout renseignement détenu par la Boutique Mydesign qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier.

Tiers

Toute personne physique ou morale, qui, sans être membre de l’organisation, recueille, utilise, conserve, communique ou détruit des renseignements personnels au nom de l’entreprise ou qui assure autrement la gestion des renseignements personnels détenus par la Boutique MyDesign.

Cela inclut également toute personne physique ou morale de qui l’organisation obtient des renseignements personnels ou à qui elle en communique, sans être autrement liée à l’entreprise. 

Titre I - Engagements

Les pratiques en matière de protection des renseignements personnels reposent sur les engagements ci-dessous.

Responsabilité

5. La Boutique MyDesign est responsable des renseignements personnels qu’elle détient, incluant ceux dont la collecte, l’utilisation, la conservation ou la destruction est assurée par un tiers. Elle met en œuvre des politiques et des pratiques qui démontrent cette responsabilité. 

6. La Boutique MyDesign détermine les fins pour lesquelles elle recueille des renseignements avant de les recueillir.

Consentement

7. Au plus tard au moment de la collecte, l’entreprise informe adéquatement toute personne de la collecte de renseignements qui la concerne, de l’utilisation qu’elle en fera et à qui elle communiquera ses renseignements à cette fin. Elle obtient le consentement de la personne avant d’utiliser ou de communiquer ses renseignements à d’autres fins, à moins que la loi l’autorise à faire autrement.

Limitation de la collecte
8. Au moment de la collecte, l’entreprise recueille uniquement les renseignements personnels nécessaires à la réalisation des fins déterminées.

Limitation de l’utilisation, de la communication et de la conservation

9. L’organisation limite l’utilisation et la communication des renseignements personnels aux seules fins auxquelles la personne concernée a été informée lors de la collecte ou à celles dont elle a consenti, à moins que la loi l’autorise à faire autrement. Elle conserve les renseignements que pour la durée nécessaire pour accomplir les fins déterminées, sous réserve des règles prévues à son calendrier de conservation.

Exactitude

10. La Boutique MyDesign s’assure que les renseignements personnels qu’elle détient sont à jour, exacts et complets tant qu’ils sont utilisés.

Mesures de sécurité

11. L’organisation prend les mesures de sécurité propres à assurer la protection des renseignements personnels qu’elle recueille, utilise, communique, conserve ou détruit et qui sont raisonnables, compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.

Transparence

12. La Boutique MyDesign rend accessibles ses politiques et ses procédures concernant sa gestion des renseignements personnels.

Droit d’accès et de rectification

13. Sous réserve de restrictions prévues par la Loi sur l’accès, l’entreprise informe toute personne qui en fait la demande de l’existence de renseignements personnels qui la concerne, de l’utilisation qui en est faite et du fait qu’ils ont été communiqués à des tiers. Elle permet à toute personne de consulter ou d’obtenir copie de ses renseignements personnels et de les faire rectifier, le cas échéant.

Plainte

14. La Boutique MyDesign répond avec diligence à toute plainte concernant sa gestion des renseignements personnels qu’elle détient.

 

Titre II - Gouvernance
I. La Direction

15. La responsable, propriétaire :
a) veille à assurer le respect et la mise en œuvre de la Loi sur l’accès ;
b) délègue sa fonction de cheffe de la protection des renseignements personnels à la responsable de la protection des renseignements personnels (CPRP) et veille à en faciliter l’exercice ;
c) détermine le mandat et la composition du Comité sur l’accès à l’information et sur la protection des renseignements personnels (Comité AIPRP) ;
d) détermine les orientations renseignements personnels ;
e) adopte la présente politique ;
f) Le Comité exécutif adopte les règles, les procédures et les directives en matière de protection des renseignements personnels.

II. Comité sur l’accès à l’information et sur la protection des renseignements personnels

16. Le Comité AIPRP :
a) recommande l’adoption des règles de gouvernance en matière de protection des renseignements personnels ;
b) approuve le programme de sensibilisation et de formation des membres du personnels ;
c) soutient l’organisation dans l’exercice de ses responsabilités et dans l’exécution de ses obligations légales en matière de protection des renseignements personnels ;
d) peut adopter des règles de régie interne.

III. Personnes répondantes

17. Les personnes répondantes, à l’égard des unités administratives dont elles sont responsables :
a) élaborent et révisent les déclarations de fichier de renseignements personnels ;
b) assistent la promotion des bonnes pratiques au sein de leur secteur ;
c) soutiennent les gestionnaires dans la mise en œuvre de leurs responsabilités;
d) collaborent aux évaluations réalisées par le comité et fournissent toute l’information demandée à cette fin.

IV. Gestionnaires

18. Les gestionnaires, à l’égard des renseignements personnels dont ils sont responsables :
a) veillent au respect de la présente politique et des règles de protection des renseignements personnels ;
b) collaborent à l’élaboration et à la révision des fichiers de renseignements personnels dont ils sont responsables ;
c) collaborent aux évaluations réalisées par le comité et fournissent toute l’information demandée à cette fin.

V. Membres

19. Les membres respectent la présente politique et les règles de protection des renseignements personnels.

Révision de la politique

20. La présente politique est sous la responsabilité de la Boutique MyDesign. Elle est révisée au besoin, mais au minimum tous les trois ans à compter de sa date d’adoption.

Entrée en vigueur

La présente politique entre en vigueur lors de son adoption par son actionnaire majoritaire.