Préambule
La présente politique de protection des renseignements personnels régit la façon dont Retournzy collecte, utilise, conserve et communique les renseignements personnels recueillis auprès des utilisateurs lors de l’utilisation de son Site Web – www.retournzy.ca – (le « Site »), qu’il soit consulté d’un appareil mobile, d’autres appareils électroniques, ou par tout autre moyen. La présente politique s’applique au Site et à tous les produits et services que Retournzy offre sur le site.
Retournzy s’engage à respecter les dispositions de la législation et des textes réglementaires en vigueur en lien avec la protection des renseignements personnels et ce, dans toutes les opérations en lien avec ces renseignements.
Définitions
« Renseignement personnel » signifie tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier.
« Renseignement personnel sensible » signifie est le renseignement personnel, qui, par sa nature intime ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré de protection et ce, dans toutes les opérations effectuées.
« Tiers » signifie toute entité qui a un lien avec Retournzy autre que les personnes utilisatrices de ses services.
« Le site » signifie le site officiel de Retournzy, soit retournzy.ca et ses sous-domaines.
« Consentement » signifie un accord préalable libre et éclairé aux opérations qui concernent un renseignement personnel, et ce, quelle que soit sa nature et les fins des opérations dans lesquelles le renseignement est impliqué. Le consentement peut être tacite ou exprès, en fonction de la nature du renseignement et peut être donné directement par la personne concernée par le renseignement ou par un mandataire légalement autorisé. Il doit être non équivoque.
« Collecte » signifie l’action de collecter directement ou indirectement des renseignements personnels de quelque façon que ce soit et par n’importe quel moyen, y compris auprès des tiers. La collecte ne peut se faire qu’à travers les moyens licites.
« Conservation » signifie les opérations de gestion interne et d’archivage des renseignements.
« Utilisation » signifie toute opération de traitement totale ou partielle des renseignements personnels.
« Communication » signifie l’action de transférer ou partager des renseignements personnels à des tiers.
« Anonymisation » c’est l’opération à travers laquelle l’identification directe ou indirecte d’une personne physique n’est plus possible, et ce, de manière irréversible.
« Destruction » c’est l’opération qui permet de faire disparaître les renseignements détenus. La destruction diffère de l’anonymisation dans le sens où l’organisme ne dispose suite à l’opération d’aucun renseignement personnel ou anonymisé, sauf les renseignements archivés et qui sont soumis à la législation en vigueur en la matière.
Objet et champ d’application
La présente politique vise à la protection des renseignements personnels, des personnes employées, des personnes utilisatrices des services, et des tiers, dans le cadre de toutes les activités internes et externes de Retournzy et ce, conformément à la législation en vigueur.
Elle s’adresse aux membres du Conseil d’Administration ainsi qu’à l’ensemble des personnes employées, qui doivent s’y conformer lors de toute opération qui touche les renseignements personnels.
Toute personne employée, quel que soit son statut, doit prendre connaissance des dispositions de la présente politique et ses annexes et en signer une copie dès son embauche ainsi qu’à chaque renouvellement de celle-ci.
Personne responsable de la protection des renseignements personnels
Le Responsable de la protection des renseignements personnels est responsable de l’application de la présente politique.
Cette responsabilité incombe au président ou la présidente du Conseil d’Administration qui doit veiller à assurer la protection des renseignements personnels et ce, dans toutes les opérations menées par Retournzy.
Cette responsabilité peut être déléguée, par écrit, en tout ou en partie, à toute personne faisant partie du Conseil d’Administration ou de l’équipe, telle qu’indiqué à l’Annexe I jointe à la présente politique.
Afin d’assurer une meilleure protection des renseignements personnels, Retournzy a mis en place un comité responsable de la protection des renseignements personnels.
Information et transparence
Retournzy s’engage à publier sur le site le titre et les coordonnées du responsable de la protection des renseignements personnels ainsi que les informations relatives au changement ou la modification de la présente politique.
Toute personne peut demander l’accès à la présente politique ou aux renseignements personnels que Retournzy détient sur elle, en formulant une demande écrite à la personne responsable de la protection des renseignements personnels.
La personne responsable de la protection des renseignements personnels est tenue de répondre aux demandes formulées au sens du paragraphe précédent dans un délai de 20 jours de leur réception.
Localisation de l’hébergement
Toutes les données collectées et stockées par notre site internet sont hébergées sur des serveurs basés à Montréal.
Formation et suivi
Retournzy s’engage à organiser des formations générales ou ponctuelles, collectives ou personnalisées pour les membres de son Conseil d’Administration ou les membres de son équipe concernant l’application de la présente politique.
Elle s’engage également à suivre l’application de la présente politique à travers des rapports et des réunions périodiques.
La collecte des renseignements personnels
L’obtention du consentement
Le consentement est demandé lors de la collecte, la communication et l’utilisation d’un renseignement personnel par Retournzy. Cette dernière ne peut, en aucun cas, conditionner ses services par l’obtention d’un consentement, sauf si le consentement concerne un renseignement personnel nécessaire à la réalisation du service.
Retournzy, contribue, à travers les moyens qui lui sont offerts, à ce que le consentement soit à des fins spécifiques, manifeste, libre et éclairé et suivant une approche inclusive.
Consentement tacite
Le consentement tacite concernant les opérations touchants les renseignements personnels doit être obtenu lors de l’utilisation des services offerts par le site ainsi que lors de la collecte des renseignements personnels à travers des technologies servant à recueillir les renseignements personnels à travers des témoins des navigateurs Web et autres technologies qui retracent les activités sur le site.
Ce consentement ne peut concerner les opérations qui touchent les renseignements personnels sensibles.
Retournzy ne collecte, dans ce cadre, que les renseignements personnels nécessaires à la bonne réalisation du service demandé.
Consentement exprès
Retournzy, s’engage, avant la collecte de renseignements personnels sensibles des personnes de demander leur consentement exprès.
Les modalités de consentement doivent prendre en compte les spécificités relatives aux renseignements personnels collectés.
Les finalités relatives à la collecte des renseignements personnels
La collecte des renseignements personnels, par Retournzy, se fait, essentiellement, et non inclusivement, pour les raisons suivantes :
– Pour permettre d’offrir et de personnaliser les services offerts ;
– Pour améliorer le site et l’expérience des personnes utilisatrices ;
– Pour permettre d’offrir et d’améliorer le service à la clientèle ;
– Pour le traitement et le suivi des transactions et des opérations de paiements ;
– Pour communiquer avec les personnes utilisatrices ;
– Pour l’élaboration de rapports et documents d’évaluation et de suivi.
La conservation des renseignements personnels
Une conservation sécurisante des renseignements personnels
Retournzy est responsable des renseignements personnels en sa possession et cela comprend les renseignements personnels à des tiers. Elle fait en sorte que la conservation des renseignements personnels qu’elle détient, se fait conformément aux meilleures pratiques et technologies disponibles.
Retournzy n’est pas responsable de l’exactitude des renseignements personnels saisis par une personne utilisatrice des services qu’elle offre.
Permettre l’accès à certains renseignements personnels
Retournzy s’engage à garantir l’accès aux renseignements personnels pour les motifs prévus par la législation en vigueur. Cet accès est accordé dans des délais raisonnables et dans un format intelligible.
Elle pourra, dans ce sens, communiquer un renseignement personnel concernant une personne décédée à son conjoint ou à l’un de ses proches si ce renseignement est susceptible d’aider cette personne dans son processus de deuil, à moins que la personne décédée n’ait consigné par écrit son refus d’accorder ce droit d’accès.
L’anonymisation des renseignements personnels
Retournzy s’engage à anonymiser les renseignements personnels quand la conservation de ces renseignements est encore nécessaire sans avoir besoin de l’identification de la personne concernée.
L’anonymisation doit être faite dans l’objectif d’utiliser les renseignements anonymisés pour des fins nécessaires et légitimes et doit être réalisée selon les meilleures pratiques reconnues.
L’utilisation des renseignements personnels
L’utilisation des renseignements personnels doit être faite pour les raisons légitimes et nécessaire aux activités pour lesquelles les renseignements ont été collectés. L’utilisation doit être licite et sécurisée.
Retournzy est tenue de demander le consentement des personnes concernées lors du traitement de leurs renseignements personnels. La nature et les modalités relatives au consentement correspondent à celles exigées pour leur collecte.
La communication des renseignements personnels
Retournzy peut communiquer les renseignements personnels qu’elle détient à des tiers lorsque la législation en vigueur l’exige ou le permet, et en respectant les conditions fixées par celle-ci.
La destruction, l’archivage et la désindexation des renseignements personnels
Retournzy s’engage à détruire les documents et les supports contenant des renseignements personnels, dès que la finalité pour laquelle ils ont été collectés et utilisés est accomplie.
Elle peut décider, pour des raisons précises et justifiées, l’archivage des certains documents ou supports contenant des renseignements anonymisés et ce, en respectant la législation en vigueur en la matière.
Elle s’engage également à garantir un droit effectif à la désindexation qui permet à certaines personnes de demander d’arrêter la diffusion d’un ou plusieurs de ses renseignements personnels ou de désindexer tout hyperlien rattaché à son nom qui permet d’accéder à ce renseignement. Ce droit est garanti conformément à la législation en vigueur en la matière.
Mesures à prendre lors d’un risque ou un incident touchant les renseignements personnels
Nature du risque ou de l’incident
Un risque ou un incident qui concerne les renseignements personnels peut être lié, à titre indicatif et non exclusif, à l’un des cas suivants :
- L’accès non autorisé par la loi à un renseignement personnel ;
- L’utilisation non autorisée par la loi d’un renseignement personnel ;
- La communication non autorisée par la loi d’un renseignement personnel ;
- La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
Procédures mis en place par Retournzy lors d’un risque ou un incident qui touche les renseignements personnels
Afin d’anticiper et bien gérer les risques et les incidents qui concernent les renseignements personnels, Retournzy se conforme au cadre légal en vigueur en optant pour les mécanismes suivants :
L’évaluation continue des risques
Retournzy a mis en place des mesures raisonnables pour diminuer les risques qu’un préjudice sérieux soit causé aux personnes concernées et éviter que de nouveaux incidents de même nature ne se produisent.
Dans ce sens, Retournzy a mis en place une procédure d’évaluation des risques (Annexe II) à effectuer lors de la survenance d’un incident et avant toute opération qui concerne les renseignements personnels. Cette évaluation des risques peut se faire notamment et non exclusivement :
- Avant toute opération d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.
- Avant de communiquer des renseignements personnels à des fins d’étude, de recherche et statistiques.
- Avant de communiquer des renseignements personnels à l’extérieur du Québec.
L’adoption d’une procédure d’intervention lors d’un risque ou un incident
Retournzy s’engage à mettre en place une procédure d’intervention lors des risques ou d’incidents qui concernent les renseignements personnels et dont le but est de minimiser les préjudices qui peuvent résulter d’un risque ou d’un incident qui concerne les renseignements personnels.
La documentation des risques et des incidents
Retournzy a mis en place un registre relatif aux incidents qui concernent les renseignements personnels (Annexe III). Ce registre conserve les risques ou les incidents survenus durant les cinq (5) dernières années.
Modalités de traitement des plaintes portant sur la protection des renseignements personnels
Lorsqu’une personne estime que Retournzy a porté atteinte à ses obligations relatives à la protection de ses renseignements personnels, en vertu de la présente politique, ou celui d’une personne qui se trouve sous sa tutelle, elle peut envoyer une demande, dans ce sens, à la personne responsable de la protection des renseignements personnels et ce, en indiquant tous les détails et en joignant les documents jugés utiles.
Une fois reçue, la demande est transférée au Comité responsable de la protection des renseignements personnels, qui la traite dans les plus brefs délais et communique la réponse à la personne concernée.
La réponse formulée par le Comité doit être soigneusement justifiée. Si le Comité le juge nécessaire, une rencontre peut être organisée avec la personne qui a introduit la demande, pour expliquer davantage la décision du Comité responsable de la protection des renseignements personnels.
Modification de la politique
Retournzy s’engage à modifier, en tout ou en partie, la présente politique ainsi que ses annexes si la législation l’exige ou si le Conseil d’Administration juge nécessaire. Une telle modification ne peut porter atteinte aux standards relatifs à la protection des renseignements personnels indiqués dans la présente politique.
Le préambule fait partie intégrante de la présente politique ainsi que les annexes.
En cas de contradiction entre une disposition de la présente politique et une information figurant dans l’une des annexes jointes, la disposition de la politique prévaut.