Politique de confidentialité et de protection des renseignements personnels

À la suite de l’adoption de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi C-25) sanctionnée le 22 septembre 2021, plusieurs modifications ont été apportées à Loi sur la protection des renseignements personnels dans le secteur privé, c. P-39.1 (ci-après « Loi sur le privé ») pour renforcer la protection consacrée aux renseignements personnels au Québec. Lyko devant collecter, utiliser et conserver des renseignements personnels dans le cadre de ses activités et étant assujettie à cette loi a élaboré la Politique de gouvernance sur la protection des renseignements personnels (ci-après « la Politique »).

OBJECTIFS

La présente Politique décrit les normes de collecte, d’utilisation, de communication et de conservation des renseignements personnels afin d’assurer la sécurité de ces renseignements. Elle explique également les rôles et les responsabilités de toutes les parties prenantes de l’entreprise disposant d’informations personnelles, tout au long du cycle de vie de celles-ci au sein de l’entreprise. Finalement, elle décrit le processus de traitement des plaintes relatives à la protection de ces renseignements.

CHAMP D’APPLICATION

Cette Politique s’applique à Lyko, ce qui inclut notamment les employés ainsi que toute personne qui, autrement, fournit des services pour le compte de l’entreprise.

Elle s’applique à tous les renseignements personnels collectés, utilisés et conservés par Lyko, et ce, peu importe leur forme (documents physiques, numérique, écrit, graphique, sonore, visuelle ou autre) ainsi qu’au site internet de Lyko, le cas échéant.

*Un renseignement personnel est défini comme étant tout renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier.

*Les ANNEXES font partie intégrante de la Politique.

RENSEIGNEMENTS PERSONNELS

Dans le cadre de ses activités, Lyko peut recueillir et traiter différents types de renseignements personnels tels que :

  • des renseignements relatifs à l’identité (Nom, prénom, âge, date de naissance, etc.) ;
  • des coordonnées de contact (Adresse civique, adresse électronique et numéro de téléphone) ;
  • des renseignements relatifs aux employés (Dossiers d’employé, certificats de formation, numéro de sécurité sociale, coordonnées bancaires, etc.) ;
  • tout autre renseignement personnel nécessaire dans le cadre de ses activités.

COLLECTE

Lyko collecte des renseignements personnels notamment auprès des employés ainsi que des candidat(e)s potentiel(le)s dans le cadre du recrutement.

De façon générale, Lyko collecte les renseignements personnels directement auprès de la personne concernée avec son consentement, sauf si une exception est prévue par la loi.

Le consentement peut être obtenu de façon implicite dans certaines situations, par exemple, lorsque la personne décide de fournir volontairement ses renseignements personnels dans le cadre d’une potentielle embauche.

Dans tous les cas, Lyko collecte des renseignements personnels seulement si elle a une raison valable de le faire. De plus, la collecte ne sera limitée qu’aux renseignements nécessaires dont elle a besoin pour remplir l’objectif visé.

À moins d’une exception prévue par la loi, Lyko demandera le consentement de la personne concernée avant de demander des renseignements personnels qui la concernent à une personne tierce.

Considérant que Lyko collecte des renseignements personnels par un moyen technologique, elle s’est dotée d’une Politique de confidentialité disponible à l’ANNEXE 1.

UTILISATION

Lyko s’engage à utiliser les renseignements personnels en sa possession uniquement aux fins pour lesquelles ils ont été recueillis et pour lesquels la loi l’autorise. Elle peut toutefois les recueillir, les utiliser ou les divulguer sans le consentement de la personne visée lorsque cela est permis ou exigé par la loi. De telles circonstances sont réunies notamment lorsque, pour des raisons juridiques, médicales ou de sécurité, il est impossible ou peu probable d’obtenir son consentement, lorsque cette utilisation est manifestement au bénéfice de cette personne, lorsque cela est nécessaire pour prévenir ou détecter une fraude ou pour tous autres motifs sérieux.

Lyko limite l’accès des employés aux seuls renseignements personnels et connaissances de nature personnelle qui sont nécessaires à l’exercice de leurs fonctions.

COMMUNICATION

En principe, Lyko ne peut communiquer les renseignements personnels qu’elle détient sur une personne sans le consentement de celle-ci.

Toutefois, Lyko peut communiquer des renseignements personnels à un tiers sans le consentement de la personne concernée lorsque la communication est due à une exigence réglementaire ou légale ou lorsque la Loi sur le privé ou toute autre loi le permet.

CONSERVATION

Conservation

Dans le cadre de ses activités, Lyko doit conserver de nombreux documents comportant des renseignements personnels.

En plus des obligations en vertu de l’Agence de Revenu du Canada, Revenu Québec, la loi sur les normes du travail, certains documents doivent être conservés pendant une durée prescrite. L’obligation de conservation des documents est décrite à l’ANNEXE 4 du présent document.

Durée de conservation

L’obligation de conservation des documents est décrite ci-dessous :

Document

Durée de conservation

Curriculum vitae

4 ans

Dossier d’employé papier

7 ans

Dossier d’employé logiciel de paie

2 ans

Documents physiques et numériques

Selon la nature des renseignements personnels, ceux-ci peuvent être conservés aux bureaux de Lyko, dans divers systèmes informatiques de Lyko ou de ses fournisseurs de services ou dans les installations d’entreposage de Lyko ou de ses fournisseurs de services.

Mesures de sécurité

La sécurité et la protection des renseignements personnels sont importantes pour Lyko. Celle-ci met en place des mesures de sécurité afin que les renseignements personnels demeurent strictement confidentiels et soient protégés contre la perte ou le vol et contre tout accès, communication, copie, utilisation ou modification non autorisée.

Selon la nature des documents et des informations, différents niveaux de sécurité sont appliqués à la gestion documentaire et les mesures sont réalisées conformément à ceux-ci. Ces mesures de sécurité peuvent notamment comprendre des mesures organisationnelles telles que la restriction des accès à ce qui est nécessaire; la sauvegarde et l’archivage des données au moyen d’un système externe, etc.; et des mesures technologiques comme l’utilisation de mots de passe et de chiffrement (par exemple, le changement fréquent de mots de passe et l’utilisation de pare-feu).

Numérisation des documents

Dans l’éventualité où Lyko désire détruire les documents originaux à la suite de leur numérisation, elle respecte les conditions suivantes :

  1. L’information contenue dans les documents numérisés n’a pas été altérée et elle a été maintenue dans son intégralité ;
  2. La numérisation ainsi que le support pour conserver les documents numérisés doit assurer la stabilité et la pérennité des documents.

Lyko choisit un support ou une technologie sur lequel il conserve ses documents qui lui permet de respecter ces conditions.

Lorsque Lyko effectue une numérisation de document, elle applique la procédure prévue à l’ANNEXE 2.

DESTRUCTION

La destruction des documents d’origine contenant des renseignements personnels ou confidentiels est faite de façon sécuritaire.

Lyko utilise des techniques de destruction définitive de documents adaptées au niveau de confidentialité du document à détruire. 

Elle se réfère à l’ANNEXE 3 pour les techniques de destruction définitive de documents.

ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE

Lyko doit procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP) pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels.

L’évaluation des facteurs relatifs à la vie privée réalisée devra être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.

Lyko peut s’aider du guide développé par la Commission d’accès à l’information « Guide d’accompagnement – Réaliser une évaluation des facteurs relatifs à la vie privée » pour réaliser l’évaluation des facteurs relatifs à la vie privée, le cas échant.

DEMANDE D’ACCÈS OU DE RESTRICTION

Toute personne peut faire une demande d’accès ou de rectification concernant les renseignements personnels détenus par Lyko.

La personne concernée doit soumettre une demande écrite à cet effet à la Responsable de la protection des renseignements personnels de Lyko.

Sous réserve de certaines restrictions légales, les personnes concernées peuvent demander l’accès à leurs renseignements personnels détenus par Lyko et en demander leur correction dans le cas où ils sont inexacts, incomplets ou équivoques.

La Responsable de la protection des renseignements personnels de Lyko doit répondre par écrit à ces demandes dans les 30 jours de la date de réception.

INCIDENT DE CONFIDENTIALITÉ

Les incidents de confidentialité

Un incident de confidentialité correspond à un accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection.

Si Lyko a des motifs de croire qu’un incident de confidentialité impliquant un renseignement personnel qu’elle détient s’est produit, prend les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.

En cas d’incident de confidentialité, Lyko procède à l’évaluation du préjudice. Cette évaluation tient compte notamment des éléments suivants : la sensibilité des renseignements personnels concernés; les utilisations malveillantes possibles des renseignements et les conséquences appréhendées de l’utilisation des renseignements et la probabilité qu’ils soient utilisés à des fins préjudiciables.

Quand l’incident présente le risque qu’un préjudice sérieux soit causé aux personnes dont les renseignements sont concernés, Lyko avise par écrit :

  • La Commission d’accès à l’information via le formulaire d’avis prescrit ;
  • La ou les personnes concernées. L’avis doit permettre de la renseigner adéquatement sur la portée et les conséquences de l’incident. Cet avis doit contenir :
    • Une description des renseignements personnels visés par l’incident. Si cette information n’est pas connue, l’organisation doit communiquer la raison justifiant l’impossibilité de fournir cette description.
    • Une brève description des circonstances de l’incident;
    • La date ou la période où l’incident a eu lieu, ou une approximation de cette période si elle n’est pas connue;
    • Une brève description des mesures prises ou envisagées pour diminuer les risques qu’un préjudice soit causé à la suite de l’incident;
    • Les mesures proposées à la personne concernée afin de diminuer le risque qu’un préjudice lui soit causé ou d’atténuer celui-ci;
    • Les coordonnées d’une personne ou d’un service avec qui la personne concernée peut communiquer pour obtenir davantage d’informations au sujet de l’incident.
Registre des incidents de confidentialité

Lyko tient un registre des incidents de confidentialité prévu à l’ANNEXE 4.

Le registre collige l’ensemble des incidents de confidentialité impliquant un renseignement personnel :

  • ceux ne présentant pas de risque de préjudice sérieux et;
  • ceux présentant un risque de préjudice sérieux.

Les renseignements contenus au registre des incidents de confidentialité sont tenus à jour et conservés pendant une période minimale de cinq (5) ans après la date ou la période au cours de laquelle Lyko a pris connaissance de l’incident.

PROCESSUS DE TRAITEMENT DES PLAINTES EN LIEN AVEC LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

Toute personne concernée par l’application de la présente Politique peut porter plainte concernant l’application de la présente Politique ou, plus généralement, concernant la protection de ses renseignements personnels par Lyko.

La procédure de traitement de plainte relative à la protection des renseignements personnels est prévue à l’ANNEXE 5.

COORDONNÉES DE LA PERSONNE RESPONSABLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

Mme Vanessa Catalano, Directrice, RH & Communications, assume la responsabilité de la protection des renseignements personnels de Lyko peut être contactée par téléphone au 877-374-3997 Ext.1083 ou par courriel au vanessa.catalano@ambra.co. En son absence, la COO, Mélissa Houle prendra le relai et peut être contactée au 877-374-3997 Ext.1070 ou par courriel melissa@ambra.co.

Il est possible de communiquer avec la Responsable de la protection des renseignements personnels de Lyko pour toute question en lien avec l’application de la présente Politique en matière de protection des renseignements personnels.

ENTRÉE EN VIGUEUR DE LA POLITIQUE

La Politique entre en vigueur 1er janvier 2024.

La Politique a été approuvée par la Responsable de la protection des renseignements personnels et la Direction générale.

ANNEXE 1 – POLITIQUE DE CONFIDENTIALITÉ LORS D’UNE COLLECTE DE RENSEIGNEMENTS PERSONNELS PAR UN MOYEN TECHNOLOGIQUE

Lyko s’engage à assurer la protection et la confidentialité des renseignements personnels que vous fournissez ou que nous recueillons lorsque vous visitez notre site Internet ou interagissez avec nous par moyen technologique. À cet égard, la présente politique de confidentialité (ci-après la « Politique ») vise à vous informer des renseignements personnels collectés, des fins pour lesquelles ceux-ci sont recueillis, des communications qui pourraient être effectuées et, de manière générale, des mesures de protection mises en place. Elle traite également du recours à des témoins de connexion, le cas échéant.

La Politique de confidentialité est adoptée en application de l’article 8.2 de la Loi sur la protection des renseignements personnels dans le secteur privé, c. P-39.1 (ci-après « Loi sur le privé »).

Consentement

Si vous utilisez notre site internet ou nos services ou si vous soumettez vos renseignements personnels à Lyko, vous serez réputé avoir donné votre consentement aux fins énoncées ci-après, pour lesquelles Lyko recueille et utilise vos renseignements personnels.

Usage de cookies (ci-après « témoins de connexion »)

Lyko emploie la technologie des témoins de connexion pour aider les utilisateurs de son site Internet à naviguer plus rapidement et leur proposer le contenu qui les intéresse le plus.

Un témoin de connexion est une chaîne d’informations qui est envoyée par un site internet et stockée sur le disque dur ou temporairement dans la mémoire d’un ordinateur.

L’emploi des témoins de connexion se veut une pratique courante dans l’industrie et plusieurs fureteurs reconnus sont initialement configurés pour les accepter. Vous pouvez reconfigurer le vôtre afin qu’il refuse ou accepte les témoins de connexion ou encore qu’il vous alerte lorsqu’un témoin de connexion s’installe sur votre ordinateur. Notez qu’en refusant les témoins de connexion (cookies), vous pourriez ne pas être en mesure d’exploiter certaines fonctionnalités du site de Lyko.

Quel type d’information recueillons-nous?

La décision de nous fournir ou non vos renseignements personnels vous revient exclusivement. En règle générale, vous pouvez consulter notre site internet ou communiquer avec nous sans avoir à fournir vos renseignements personnels. Toutefois, dans certains cas, il sera nécessaire pour nous de recueillir vos renseignements personnels.

Lorsque vous visitez notre site internet, nous pouvons notamment recueillir et utiliser les catégories de renseignements personnels suivants :

  • Identification : votre prénom et votre nom.
  • Coordonnées : votre numéro de téléphone et votre adresse électronique.
  • Interactions : lorsque vous communiquez avec nous par courriel, par clavardage, en soumettant un commentaire, en remplissant un formulaire, ou si vous nous faites parvenir votre curriculum vitae en postulant pour un emploi chez nous, nous enregistrons votre interaction et, le cas échéant, chaque pièce jointe.
  • Utilisation de notre site : lorsque vous naviguez sur notre site Internet, nous recueillons automatiquement certains renseignements personnels sur les fichiers témoins de votre fureteur, notamment votre adresse IP, la langue de correspondance, la date et l’heure de vos visites ainsi que les pages consultées.
Utilisation des renseignements personnels colligée par notre site

Les renseignements personnels que nous recueillons ne sont utilisés qu’aux fins indiquées au moment de la collecte, soit lorsque vous naviguez ou divulguez vos renseignements sur notre site Internet. Nous utilisons vos renseignements personnels principalement pour :

  • Communiquer avec vous et vous tenir informés : pour répondre à une question posée, un commentaire ou une demande d’information, etc.;
  • Personnaliser, améliorer ou faciliter votre expérience sur notre site Internet : par exemple, afin d’emmagasiner de l’information de sorte que vous n’ayez pas à la réinscrire à chaque visite subséquente;
  • Traiter les demandes d’emploi et les curriculums vitæ, le cas échéant;
  • Analyser les données à des fins de marketing;
  • Toute autre utilisation permise ou requise par les lois applicables.
Partage et communication de l’information

Lyko ne peut transmettre vos renseignements personnels à d’autres organisations qu’avec votre consentement. Nous pourrions communiquer vos renseignements personnels sans votre consentement si la loi nous y oblige ou le permet, mais le cas échéant, nous ne fournirons que les renseignements qui sont exigés.

Stockage et sécurité

Tous les renseignements personnels que vous fournissez à Lyko sont conservés sur des serveurs sécurisés dont les accès sont restreints à Lyko. Nous prenons les moyens technologiques raisonnables pour assurer un environnement sécuritaire et protéger vos renseignements personnels, tels que : barrières coupe-feu, usage d’antivirus, gestion des accès, détection des intrusions, copie de sauvegarde régulière. Cependant, étant donné la nature même du réseau public qu’est l’internet, vous reconnaissez et acceptez que la sécurité des transmissions via internet ne puisse être garantie. En conséquence, Lyko ne peut garantir ni n’assume aucune responsabilité pour toute violation de confidentialité, piratage, virus, perte ou altération des données transmises par Internet.

Conservation

Lyko utilise et conserve vos renseignements personnels aussi longtemps que nécessaire afin de satisfaire les finalités pour lesquelles ils ont été recueillis, ou comme la loi le permet ou l’exige.

Liens externes

La présente Politique ne s’applique pas aux sites internet de tiers auxquels il est possible d’accéder en cliquant sur des liens qui se trouvent sur le présent site internet, et Lyko n’est nullement responsable à l’égard de tels sites internet de tiers. Lyko ne fait aucune représentation concernant tout autre site auquel vous pourriez avoir accès à partir du présent site. Si vous suivez un lien vers un site Web de tiers, celui-ci disposera de ses propres politiques sur la protection des renseignements personnels que vous devrez examiner avant de soumettre des renseignements personnels.

Prenez note qu’un lien vers un tel site ne signifie pas que Lyko recommande ce site tiers ou qu’elle assume une quelconque responsabilité quant à son contenu ou à l’usage qui peut en être fait. Il vous incombe de prendre les précautions nécessaires pour vous assurer que le site que vous sélectionnez pour votre usage n’est pas infecté de virus ou d’autres parasites de nature destructrice.

Responsabilité

Lyko n’est pas responsable de l’exactitude des renseignements que vous fournissez sur notre site Internet.

Lyko ne peut être tenu responsable de quelque dommage que ce soit causé de façon directe ou indirecte du fait de l’utilisation ou de la non-utilisation des informations diffusées sur le site.

Lyko ne garantit pas que le site ou son contenu ne seront pas l’objet d’interruptions ou d’erreurs, que les défauts éventuels seront corrigés, ni que le site ou le serveur qui l’héberge sont libres de virus ou d’autres éléments nuisibles.

Informations additionnelles

Pour toute demande d’information ou mise à jour concernant vos renseignements personnels, veuillez communiquer avec la Responsable de la protection des renseignements personnels par téléphone au 877-374-3997 Ext.1083 ou par courriel au vanessa.catalano@ambra.co. En son absence, la COO, Mélissa Houle prendra le relai et peut être contactée au 877-374-3997 Ext.1070 ou par courriel melissa@ambra.co.

Modification

Lyko se réserve le droit de modifier sa Politique de confidentialité à sa discrétion. Lyko rendra disponible, sur son site Internet, toute modification éventuelle de cette Politique de confidentialité.

ANNEXE 2 – PROCÉDURE DE NUMÉRISATION

La personne responsable de la numérisation :

  1. Effectue la préparation physique des documents à numériser (enlève les trombones et les agrafes);
  2. Numérise les documents et demeure présente tout au long du processus afin de protéger l’intégrité des données numérisées;
  3. Effectue une vérification exhaustive des documents numérisés afin de s’assurer de la quantité, de la qualité et de l’intégrité des documents reproduits. Elle vérifie que :
  • les documents numérisés sont conformes aux documents sources;
  • les données sont lisibles et de bonne qualité (sans perte de détail ou d’information);
  • le recto verso a bien été fait, le cas échéant; si l’option recto verso a fait en sorte de laisser des pages blanches, elle élimine ces dernières;
  • les documents ou les pages ont été numérisés dans le bon sens.
    1. Vérifie que le nombre de documents ou de pages est exact (si des pages manquent, elle reprend la numérisation au complet);
    2. Renomme les fichiers PDF selon la convention de nommage établie par Lyko;
    3. Enregistre le ou les fichiers PDF dans l’emplacement approprié de Lyko;

ANNEXE 3 - TECHNIQUES DE DESTRUCTION DÉFINITIVE DE DOCUMENTS

Techniques de destruction définitive de documents[1]

Support utilisé

Exemples de méthodes de destruction

Papier

(original et toutes les copies)

• Déchiqueteuse

Médias numériques que l’on souhaite réutiliser ou recycler

Ex. cartes de mémoire flash (cartes SD, XD, etc.) clés USB, disque dur d’ordinateur

• Formatage, réécriture, déchiquetage numérique (logiciel effectuant une suppression sécuritaire et qui écrira de l’information aléatoire à l’endroit où se trouvait le fichier supprimé).

Médias numériques non réutilisables

Ex. certains CD, DVD, cartes de mémoire flash, clés USB et disques durs qui ne seront plus utilisés

 

• Destruction physique (déchiquetage, broyage, meulage de surface, désintégration, incinération, etc.).

La plupart des déchiqueteuses pourront détruire les CD et les DVD.

• Démagnétiseur pour les disques durs.

Machines contenant des disques durs

Ex. photocopieur, télécopieur, numériseur, imprimante, etc.

• Écrasement des informations sur le disque dur ou disque dur enlevé et détruit lorsque les machines sont remplacées.

[1] Commission d’accès à l’information, Procédure de destruction, en ligne :  https://www.cai.gouv.qc.ca/entreprises/procedure-de-destruction/

 

ANNEXE 4 - REGISTRE DES INCIDENTS DE CONFIDENTIALITÉ

Registre des incidents de confidentialité

Date ou période de l’incident

Personnes concernées (informations compromises)

Description des circonstances de l’incident

Prise de connaissance de l’incident

 

Nombres de personnes concernées par l’incident

Description des éléments qui amènent à conclure qu’il existe ou non un risque qu’un préjudice sérieux[1] soit causé aux personnes concernées

Date de transmission de l’avis à la Commission d’accès à l’information

 

Date de transmission des avis aux personnes concernées

 

Description des mesures prises afin de diminuer les risques qu’un préjudice soit causé

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

[1] L’évaluation du risque de préjudice sérieux tient compte notamment des éléments suivants : la sensibilité des renseignements personnels concernés; les utilisations malveillantes possibles des renseignements et les conséquences appréhendées de l’utilisation des renseignements et la probabilité qu’ils soient utilisés à des fins préjudiciables.

ANNEXE 5 - PROCÉDURE DE TRAITEMENT DES PLAINTES EN LIEN AVEC LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

Réception de la plainte

Toute personne qui souhaite formuler une plainte relative à l’application de la présente politique ou, plus généralement, à la protection de ses renseignements personnels par Lyko, doit le faire par écrit en s’adressant à la Responsable de la protection des renseignements personnels de Lyko.

La personne devra indiquer son nom, ses coordonnées pour le joindre, incluant un numéro de téléphone, ainsi que l’objet et les motifs de sa plainte, en donnant suffisamment de détails pour que celle-ci puisse être évaluée par Lyko. Si la plainte formulée n’est pas suffisamment précise, le responsable de la protection des renseignements personnels peut requérir toute information additionnelle qu’il juge nécessaire pour pouvoir évaluer la plainte.

Traitement de la plainte

Lyko s’engage à traiter toute plainte reçue de façon confidentielle.

La plainte est traitée dans un délai raisonnable. La Responsable de la protection des renseignements personnels doit évaluer la plainte et formuler une réponse motivée écrite à la personne plaignante.

Cette évaluation visera à déterminer si le traitement des renseignements personnels par Lyko est conforme à la présente politique et pratique en place au sein de l’organisation et à la législation ou réglementation applicable.

Dossier de plainte

Lyko doit constituer un dossier distinct pour chacune des plaintes qui lui sont adressées en vertu de la présente procédure de traitement de plainte. Chaque dossier contient la plainte, l’analyse et la documentation à l’appui de son évaluation, ainsi que la réponse écrite envoyée à la personne plaignante.