AXYS CONSULANTS INC.
POLITIQUE DE CONFIDENTIALITÉ ET DE GOUVERNANCE DES RENSEIGNEMENTS PERSONNELS
À propos de cette politique
Chez Axys Consultants, nous reconnaissons l'importance de protéger la vie privée et les renseignements personnels des individus avec lesquels nous interagissons, que ce soit nos employés, clients, partenaires ou candidats. En tant que firme spécialisée en génie civil, nous traitons des renseignements personnels dans le cadre de nos activités, et nous nous engageons à le faire dans le respect rigoureux des obligations prévues par la Loi modernisant les dispositions législatives en matière de protection des renseignements personnels dans le secteur privé au Québec.
La présente politique vise à expliquer de manière claire et transparente :
Les types de renseignements personnels que nous collectons ;
Les raisons pour lesquelles nous les collectons ;
La manière dont ils sont utilisés, communiqués, conservés et protégés ;
Vos droits à l’égard de ces renseignements ;
Les mesures mises en place pour assurer leur sécurité et leur confidentialité.
Cette politique s’applique à tous les employés, collaborateurs, fournisseurs et partenaires d’Axys Consultants, ainsi qu’aux utilisateurs de nos services, incluant notre site internet.
Lexique et définitions
Les termes suivants sont utilisés dans la présente politique. Ils doivent être interprétés selon les définitions ci- dessous.
Renseignement personnel
Toute information concernant une personne physique et permettant de l’identifier directement ou indirectement. Cela inclut, notamment, le nom, le prénom, l’adresse, le courriel, le numéro de téléphone, le numéro d’assurance sociale, les renseignements bancaires, les renseignements relatifs à l’emploi, et tout autre renseignement personnel.
Renseignement personnel sensible
Renseignement dont la nature, le contexte de l’utilisation ou la finalité peut présenter un risque sérieux pour la personne concernée. À titre d’exemple : renseignements médicaux, biométriques, financiers, opinions politiques, renseignements sur l’origine ethnique, convictions religieuses ou données relatives à la géolocalisation.
Consentement manifeste, libre, éclairé et spécifique
Le consentement valide est une autorisation donnée librement, de manière éclairée, spécifique et volontaire par la personne concernée. Il permet la collecte, l’utilisation et la communication de ses renseignements personnels pour les fins précisées. Le consentement peut être retiré en tout temps, sous réserve des obligations légales ou contractuelles.
Anonymisation
Processus irréversible visant à modifier un renseignement personnel de façon à ce qu’il soit raisonnablement impossible d’identifier directement ou indirectement la personne concernée. Une fois anonymisé, un renseignement n’est plus considéré comme un renseignement personnel au sens de la loi.
Pseudonymisation
Processus par lequel un renseignement personnel est modifié afin de ne plus permettre l’identification directe sans information supplémentaire (exemple : remplacement du nom par un code).
Portabilité des renseignements personnels
Droit pour une personne d’obtenir ses renseignements personnels dans un format technologique structuré et couramment utilisé, ou d’en demander le transfert direct à une autre organisation lorsque cela est techniquement possible.
Désindexation
Droit d’une personne de demander que des hyperliens menant à ses renseignements personnels, diffusés publiquement et accessibles par un moteur de recherche, soient supprimés lorsque la diffusion lui cause un préjudice ou contrevient à la loi.
Cessation de diffusion
Droit de demander qu’un renseignement personnel cesse d’être diffusé lorsqu’il porte atteinte à la personne, ou lorsqu’il est obsolète ou non pertinent au regard des finalités pour lesquelles il avait été publié.
Incident de confidentialité
Tout événement impliquant un accès non autorisé, une utilisation, une communication, une perte ou toute atteinte accidentelle ou illégale à la protection d’un renseignement personnel, que ce soit de façon intentionnelle ou accidentelle.
Évaluation des facteurs relatifs à la vie privée (EFVP)
Analyse systématique visant à évaluer les impacts d’un projet, d’un système, d’une technologie ou d’un traitement de renseignements personnels, et à identifier les mesures de mitigation nécessaires pour protéger la vie privée et assurer la conformité légale.
Responsable de la protection des renseignements personnels (RPRP)
Le responsable de la protection des renseignements personnels est la personne désignée par l’organisation pour veiller au respect de la présente politique ainsi que des lois applicables en matière de protection des renseignements personnels. Cette personne voit à la mise en place des pratiques de gouvernance, supervise la gestion des renseignements personnels, agit en cas d’incident de confidentialité, et répond aux demandes des personnes concernées ou de la Commission d’accès à l’information.
Tiers autorisé
Un tiers autorisé désigne toute personne physique ou morale, externe à l’organisation, qui obtient accès à des renseignements personnels dans le cadre d’un mandat, d’un contrat de service ou d’une entente. Le tiers doit utiliser ces renseignements uniquement aux fins prévues et dans le respect des engagements de confidentialité et des exigences légales applicables.
Incident de confidentialité
Un incident de confidentialité correspond à tout accès non autorisé, utilisation, perte, divulgation, vol ou compromission de renseignements personnels, que cet incident soit avéré ou qu’il existe un risque sérieux qu’il se produise. Un incident peut également inclure toute tentative d’accès ou d’utilisation non autorisée.
Finalité
La finalité désigne l’objectif spécifique, légitime et déterminé pour lequel un renseignement personnel est collecté. L’utilisation et la communication des renseignements personnels doivent être limitées à cet objectif, et aucune autre utilisation ne peut être faite sans obtenir un nouveau consentement, lorsque requis.
Mesures de sécurité
Les mesures de sécurité font référence à l’ensemble des moyens organisationnels, technologiques, physiques et contractuels mis en œuvre pour assurer la protection des renseignements personnels. Ces mesures visent à prévenir tout accès non autorisé, toute perte, divulgation, altération ou utilisation malveillante ou accidentelle des données.
Rôles et responsabilités
Le Responsable de la protection des renseignements personnels (RPRP) agit à titre de personne désignée pour assurer la conformité d’Axys Consultants aux lois applicables en matière de protection des renseignements personnels. Il supervise la mise en œuvre de la présente politique, la gestion des incidents de confidentialité, la tenue des registres obligatoires ainsi que la conduite des évaluations des facteurs relatifs à la vie privée (EFVP). Il agit en collaboration avec les gestionnaires, les employés ains que l’ensemble des parties prenantes (ex. : ingénieurs, clients, fournisseurs et partenaires) concernés par les traitements de données.
Définition et classification des renseignements personnels
Les renseignements personnels désignent toute information concernant une personne physique et permettant de l’identifier directement ou indirectement. Ces renseignements sont classés selon leur niveau de sensibilité (faible, modéré ou élevé), et leur traitement est encadré en conséquence pour prévenir tout risque d’atteinte à la vie privée.
Cela inclut, sans s’y limiter :
Le nom, prénom, adresse, adresse courriel, numéro de téléphone ;
Le numéro d’assurance sociale, numéro de permis de conduire, passeport, etc. ;
Des renseignements financiers comme un numéro de carte de crédit, coordonnées bancaires, données de facturation (ex. : clients devant transmettre un relevé de compte pour un paiement ou un remboursement) ;
Les renseignements professionnels : expérience, scolarité, CV ;
Les données de navigation sur le site web (adresse IP, type d’appareil, pages consultées)
Collecte et finalité d’utilisation des renseignements personnels
Les renseignements personnels sont collectés uniquement lorsque nécessaire, et aux fins précises et légitimes suivantes :
Gestion de la relation avec nos clients (offres, facturation, services techniques) ;
Administration des ressources humaines (embauche, paie, gestion des avantages sociaux) ;
Communication de nature commerciale ou informative (infolettres, campagnes) ;
Analyse d’utilisation du site web et amélioration de nos services numériques ;
Respect de nos obligations contractuelles, légales ou réglementaires.
Chaque collecte est accompagnée d’une information claire sur les raisons et les moyens utilisés.
Utilisation conforme et limitation des finalités
Axys Consultants s'engage à utiliser les renseignements personnels uniquement aux fins spécifiques, explicites et légitimes pour lesquelles ils ont été collectés, conformément aux lois applicables. Toute utilisation ultérieure incompatible avec ces finalités initiales est interdite sans le consentement explicite de la personne concernée.
Les renseignements personnels peuvent être utilisés dans les contextes suivants :
Communiquer avec un candidat dans le cadre d’un processus de recrutement ;
Fournir un rapport d’ingénierie ou tout autre livrable technique à un client ;
Assurer le suivi d’une demande de service, d’un projet ou d’une réclamation ;
Remplir des obligations fiscales, légales ou comptables ;
Analyser la fréquentation et l’usage de notre site web à des fins d’amélioration continue de l’expérience utilisateur
Obligation d’information et transparence
Axys Consultants s’engage à informer clairement toute personne concernée de la collecte, de l’utilisation et de la communication de ses renseignements personnels. Cette information est communiquée au moment de la collecte ou avant, que cette collecte se fasse en ligne, par courriel, par téléphone, en personne ou par tout autre moyen.
Les personnes sont informées des éléments suivants :
La nature et les catégories des renseignements personnels collectés ;
Les finalités précises de la collecte et de l’utilisation de ces renseignements ;
Les moyens par lesquels les renseignements sont collectés ;
Les tiers avec qui ces renseignements peuvent être communiqués, incluant les fournisseurs de services, les sous-traitants ou les partenaires, ainsi que les situations où les renseignements pourraient être transférés à l’extérieur du Québec ;
Les mesures de protection mises en place pour assurer la confidentialité des renseignements personnels ;
Le nom et les coordonnées du Responsable de la protection des renseignements personnels (RPRP) ;
Les droits des personnes concernées, incluant l’accès, la rectification, la portabilité, le retrait du consentement, la cessation de diffusion et la désindexation.
Cette information est également rendue disponible de manière continue sur notre site web, notamment par l’intermédiaire de la présente politique.
Gestion des fournisseurs, sous-traitants et transferts hors Québec
Dans le cadre de ses activités, Axys Consultants peut avoir recours à des fournisseurs ou des sous-traitants pour l’hébergement de ses données, la gestion de ses systèmes, la prestation de services technologiques ou encore pour des services professionnels. Certains de ces fournisseurs peuvent être situés à l’extérieur du Québec, ou utiliser des infrastructures technologiques hébergées hors Québec.
Avant de communiquer des renseignements personnels à un fournisseur ou à un partenaire situé à l’extérieur du Québec, Axys Consultants procède à une évaluation des facteurs relatifs à la vie privée (EFVP) afin d’évaluer les risques liés à ce transfert. Cette évaluation tient compte notamment de la nature des renseignements, des finalités de la communication, des mesures de protection en place dans le pays de destination, ainsi que des lois applicables en matière de protection des renseignements personnels dans ce territoire. Axys Consultants s’assure également que ses fournisseurs et sous-traitants respectent des standards élevés en matière de protection des renseignements personnels.
Cela se traduit par l’inclusion de clauses contractuelles spécifiques, imposant aux fournisseurs de :
Protéger les renseignements personnels contre la perte, l’accès non autorisé, la divulgation, l’utilisation ou la destruction ;
N’utiliser les renseignements personnels que pour la prestation des services convenus ;
Informer Axys Consultants de tout incident de confidentialité ;
Collaborer dans la mise en œuvre des droits des personnes concernées, notamment en cas de demande d’accès, de rectification ou de retrait.
En tout temps, Axys Consultants demeure responsable de la protection des renseignements personnels communiqués à ses fournisseurs et sous-traitants, conformément à la Loi 25.
Consentement et gestion du consentement
Nous recueillons les renseignements personnels uniquement avec le consentement de la personne concernée, sauf dans les situations où la Loi le permet sans consentement, notamment lorsqu’il s’agit d’exécuter un contrat, de respecter une obligation légale ou de servir un intérêt légitime clairement défini.
Le consentement est obtenu de manière libre, éclairée, spécifique et manifeste. La personne est informée, au moment de la collecte ou avant, des finalités précises pour lesquelles ses renseignements personnels sont demandés, de la manière dont ils seront utilisés, des personnes ou organisations auxquelles ils pourraient être communiqués, ainsi que de ses droits d’accès, de rectification et de retrait. Ce consentement peut être exprimé par écrit, verbalement ou par un moyen technologique, selon le contexte et le canal de communication utilisé.
Nous documentons le consentement obtenu afin d’être en mesure de démontrer, en tout temps, que celui-ci a été donné conformément aux exigences légales. Le consentement peut être retiré en tout temps, sous réserve des obligations légales ou contractuelles applicables. Lorsqu’un retrait de consentement est demandé, nous informons la personne des conséquences de ce retrait, notamment lorsque certains services ou prestations ne peuvent être rendus sans les renseignements concernés.
Nous tenons un registre documentant les consentements obtenus, incluant la date, le moyen utilisé, la nature du consentement ainsi que les finalités pour lesquelles il a été accordé. Ce registre nous permet de démontrer, en tout temps, que le consentement a été obtenu conformément aux exigences légales.
Dans un contexte numérique, tel que l’utilisation de notre site web, le consentement est également requis pour la collecte de renseignements par le biais de fichiers témoins (cookies) ou d’outils d’analyse de la navigation. Lorsqu’un visiteur accède au site, un bandeau d’information l’avise de l’utilisation de cookies, des types de données collectées, des finalités associées et lui permet de consentir ou de refuser certains types de collecte, notamment ceux associés à des fins d’analyse, de marketing ou de personnalisation. En l’absence d’un tel consentement, seuls les cookies strictement nécessaires au bon fonctionnement du site sont activés.
Nous veillons à ce que tout consentement, qu’il soit donné dans le cadre d’une relation contractuelle, d’une interaction numérique, d’un processus de recrutement ou de tout autre échange, respecte rigoureusement les critères et les standards établis par la Loi sur la protection des renseignements personnels au Québec.
Exactitude et mise à jour des renseignements personnels
Nous nous engageons à maintenir l’exactitude, la complétude et l’actualité des renseignements personnels que nous détenons. Nous prenons des mesures raisonnables pour nous assurer que les renseignements sont exacts et pertinents au regard des finalités pour lesquelles ils sont collectés, utilisés ou communiqués.
Les personnes concernées sont invitées à nous informer de toute modification ou correction à apporter à leurs renseignements personnels. Nous mettons à leur disposition des moyens simples pour demander la mise à jour de leurs informations, notamment en contactant notre Responsable de la protection des renseignements personnels dont les coordonnées sont indiquées à la fin de la présente politique.
Le maintien de renseignements exacts et à jour est essentiel pour assurer la qualité de nos services, le respect de nos obligations légales et la protection des droits des personnes concernées.
Conservation, destruction et anonymisation des renseignements personnels
Nous conservons les renseignements personnels uniquement pour la durée nécessaire à la réalisation des finalités pour lesquelles ils ont été collectés, ou pour répondre aux exigences légales, réglementaires, fiscales ou contractuelles applicables. La durée de conservation varie en fonction de la nature des renseignements, des obligations légales et des besoins opérationnels.
À titre d’exemple, les dossiers clients sont généralement conservés pendant une période de sept (7) ans suivant la fin du mandat afin de respecter nos obligations fiscales et contractuelles. Les renseignements liés aux employés sont conservés pour une période de trois (3) ans suivant la fin de l’emploi, conformément à la Loi sur les normes du travail. Les données de paie sont conservées pour une période de six (6) ans en vertu de la Loi de l’impôt sur le revenu. Enfin, les candidatures non retenues sont conservées pour une période maximale de deux (2) ans, sauf si la personne nous autorise expressément à prolonger ce délai.
Lorsque les renseignements personnels atteignent leur durée de conservation, nous procédons à leur destruction sécuritaire ou à leur anonymisation irréversible. La destruction vise l’élimination définitive des renseignements, tandis que l’anonymisation rend les renseignements méconnaissables, de manière qu’ils ne permettent plus d’identifier directement ou indirectement une personne.
Nous utilisons des méthodes de destruction sécurisées et conformes aux meilleures pratiques. Les documents électroniques sont supprimés à l’aide de procédés d’effacement certifiés ou par écrasement multiple des données. Les documents papier sont déchiquetés ou détruits par des fournisseurs spécialisés et certifiés.
Ces mesures visent à prévenir tout accès, consultation, divulgation ou réutilisation non autorisée des renseignements personnels, et à assurer un haut niveau de protection jusqu’à la fin de leur cycle de vie.
Mesures de sécurité
Nous mettons en œuvre des mesures de sécurité administratives, technologiques et physiques rigoureuses pour protéger les renseignements personnels contre tout accès non autorisé, perte, vol, divulgation, modification ou destruction.
Nos mesures de sécurité comprennent notamment le contrôle strict des accès aux renseignements personnels, tant pour les systèmes informatiques que pour les documents physiques. L’accès est accordé uniquement aux personnes qui en ont besoin dans le cadre de leurs fonctions, conformément au principe du moindre privilège. Nous utilisons le chiffrement des données sensibles, la sauvegarde régulière des informations sur des serveurs sécurisés, ainsi que des mécanismes d’authentification robustes, incluant l’authentification multifactorielle lorsque requis. Nos systèmes sont protégés par des pare-feux, des antivirus, et des mises à jour régulières pour prévenir les vulnérabilités.
Sur le plan organisationnel, nous offrons une formation continue aux employés et aux collaborateurs afin de les sensibiliser aux bonnes pratiques en matière de sécurité de l’information et de protection des renseignements personnels.
Nous révisons régulièrement nos pratiques de sécurité et nos technologies afin de nous assurer qu’elles demeurent adaptées aux risques évolutifs et aux meilleures pratiques du secteur.
Gestion des incidents de confidentialité
Un incident de confidentialité survient lorsqu’un renseignement personnel est consulté, utilisé, communiqué, perdu ou compromis de manière non autorisée, qu’il s’agisse d’un acte accidentel ou malveillant. Cela peut inclure, par exemple, l’envoi de renseignements à la mauvaise personne, une faille de sécurité informatique, un vol d’appareil contenant des données, ou toute autre situation où l’intégrité, la confidentialité ou la disponibilité des renseignements est compromise.
Nous avons mis en place un processus rigoureux de gestion des incidents de confidentialité. Ce processus comprend la détection, l’évaluation, la documentation et, si nécessaire, la déclaration des incidents.
Lorsqu’un incident présente un risque sérieux de préjudice pour les personnes concernées, nous avons l’obligation de le signaler sans délai à la Commission d’accès à l’information du Québec (CAI) ainsi qu’aux personnes concernées. Nous les informons de la nature de l’incident, des renseignements touchés, des mesures prises pour limiter les impacts et des démarches à suivre pour se protéger, le cas échéant.
Nous tenons un registre de tous les incidents de confidentialité, qu’ils aient ou non nécessité une déclaration à la CAI. Ce registre est conservé de manière sécurisée et consultable uniquement par les personnes autorisées. Notre approche vise à minimiser les risques, à limiter les impacts potentiels pour les personnes concernées et à améliorer continuellement nos pratiques de protection des renseignements personnels.
Évaluations des facteurs relatifs à la vie privée (EFVP)
Nous réalisons des évaluations des facteurs relatifs à la vie privée (EFVP) lorsque nos projets, nos systèmes ou nos pratiques peuvent avoir un impact significatif sur la protection des renseignements personnels.
L’EFVP est un exercice préventif qui vise à identifier les risques liés à la protection de la vie privée et à mettre en place les mesures nécessaires pour les atténuer. Elle permet de nous assurer que la collecte, l’utilisation, la communication, la conservation et la destruction des renseignements personnels respectent les obligations légales et les meilleures pratiques.
Nous réalisons une EFVP notamment dans les situations suivantes :
Lors de l’acquisition, du développement ou de la refonte d’un système informatique ou technologique impliquant le traitement de renseignements personnels ;
Avant de communiquer des renseignements personnels à un fournisseur ou à un prestataire situé à l’extérieur du Québec ;
Lors de l’implantation de technologies pouvant affecter la vie privée, comme des systèmes de géolocalisation, de surveillance ou d’analyse des comportements ;
Lorsqu’un changement important est apporté à nos processus internes ou à nos pratiques de gestion des renseignements personnels.
Les EFVP sont réalisées sous la supervision du Responsable de la protection des renseignements personnels. Elles permettent de recommander des mesures de protection adaptées et de documenter notre diligence dans le respect des principes de protection de la vie privée.
Vos droits en matière de renseignements personnels
Nous reconnaissons et respectons les droits que vous confère la Loi sur la protection des renseignements personnels au Québec. Vous disposez des droits suivants à l’égard des renseignements personnels que nous détenons à votre sujet.
Vous avez le droit d’accéder à vos renseignements personnels. Cela signifie que vous pouvez nous demander de vous confirmer si nous détenons des renseignements personnels à votre sujet et, le cas échéant, d’en obtenir une copie.
Vous avez également le droit de demander la rectification de vos renseignements personnels s’ils sont inexacts, incomplets ou équivoques, ou si leur collecte, leur divulgation ou leur conservation n’est pas autorisée par la loi. Le droit au retrait du consentement vous permet de retirer, en tout temps, votre consentement à l’utilisation de vos renseignements personnels pour certaines finalités, sous réserve de nos obligations légales ou contractuelles.
Vous disposez également du droit à la portabilité de vos renseignements personnels. À ce titre, vous pouvez demander de recevoir vos renseignements personnels dans un format technologique structuré et couramment utilisé, ou de les faire transférer à une autre organisation, lorsque cela est techniquement possible.
Enfin, vous avez le droit de demander la cessation de la diffusion de vos renseignements personnels ou leur désindexation d’un moteur de recherche, lorsque la diffusion vous cause un préjudice ou contrevient à la loi.
Pour exercer l’un ou l’autre de ces droits, il vous suffit de communiquer avec notre Responsable de la protection des renseignements personnels, dont les coordonnées figurent à la fin de la présente politique. Nous traiterons votre demande dans les délais prescrits par la Loi et nous vous tiendrons informé de la suite qui y sera donnée.
Liens vers des sites tiers
Notre site web peut contenir des liens vers des sites web, des applications ou des plateformes de tiers qui ne sont pas sous notre contrôle. Nous fournissons ces liens à titre informatif ou pour améliorer l’expérience utilisateur, mais nous n’exerçons aucun contrôle sur le contenu, les pratiques ou les politiques de confidentialité de ces sites externes.
Lorsque vous accédez à ces sites tiers, vous êtes soumis à leurs propres politiques de confidentialité et à leurs conditions d’utilisation. Nous vous recommandons fortement de prendre connaissance de ces politiques avant de leur fournir vos renseignements personnels.
Nous déclinons toute responsabilité à l’égard des pratiques de ces tiers en matière de protection des renseignements personnels, y compris en ce qui concerne la collecte, l’utilisation, la communication ou la conservation de vos renseignements.
Mise à jour de la politique et coordonnées
Nous nous réservons le droit de modifier la présente politique de confidentialité afin de refléter l’évolution de nos pratiques, des changements législatifs ou réglementaires, ainsi que des avancées technologiques. Toute modification significative sera communiquée aux personnes concernées par un avis publié sur notre site internet ou par tout autre moyen approprié.
Nous encourageons les personnes concernées à consulter régulièrement la présente politique afin de prendre connaissance des éventuelles mises à jour. La version la plus récente de la politique prévaut sur toute version antérieure.
Pour toute question concernant cette politique, pour exercer l’un de vos droits en matière de renseignements personnels ou pour formuler une plainte, vous pouvez communiquer avec notre Responsable de la protection des renseignements personnels aux coordonnées suivantes :
Simon Lacroix, Ingénieur, Associé chez Axys Consultants Téléphone : (418) 387-7739