Politique de confidentialité
Contexte et politique
Cette politique de confidentialité a été élaborée pour se conformer à Loi sur la protection des renseignements personnels et les documents électroniques du Canada (« LPRPDE » ou la « Loi ») et la Loi sur la protection des renseignements personnels dans le secteur privé. La LPRPDE établit des règles pour la collecte, l'utilisation et la divulgation de renseignements personnels dans le cadre d'une activité commerciale telle que définie dans la Loi.
Résumé des dix principes de la LPRPDE
Les dix principes de la LPRPDE qui forment la base de cette politique de confidentialité sont les suivants :
- Responsabilité: les organisations sont responsables des renseignements personnels qu'elles recueillent, utilisent, conservent et divulguent dans le cadre de leurs activités commerciales, y compris, mais sans s'y limiter, la nomination d'un chef de la protection des renseignements personnels ;
- Identification des objectifs: les organisations doivent expliquer les finalités pour lesquelles les informations sont utilisées au moment de la collecte et ne peuvent être utilisées qu'à ces fins ;
- Consentement: les organisations doivent obtenir le consentement exprès ou implicite d'un individu lorsqu'elles recueillent, utilisent ou divulguent les renseignements personnels de l'individu ;
- Limiter la collecte: la collecte de renseignements personnels doit être limitée à la quantité et au type raisonnablement nécessaires aux fins identifiées ;
- Limitation de l'utilisation, de la divulgation et de la conservation: les informations personnelles doivent être utilisées uniquement aux fins identifiées et ne doivent pas être divulguées à des tiers à moins que la personne ne consente à l'utilisation ou à la divulgation alternative ;
- Précision: les organisations sont tenues de garder les renseignements personnels dans les dossiers actifs exacts et à jour;
- Garanties: les organisations doivent utiliser des mesures de protection physiques, organisationnelles et technologiques pour protéger les informations personnelles contre tout accès ou divulgation non autorisés.
- Ouverture: les organisations doivent informer leurs clients et former leurs employés sur leurs politiques et procédures de confidentialité ;
- Accès individuel: une personne a le droit d'accéder aux renseignements personnels détenus par une organisation et d'en contester l'exactitude au besoin; et
- Fournir un recours: les organisations doivent informer les clients et les employés de la manière de présenter une demande d'accès ou une plainte au responsable de la protection de la vie privée et de répondre rapidement à une demande ou à une plainte de la personne.
Cette politique de confidentialité s'applique au conseil d'administration, aux employés, aux filiales et aux employés contractuels de goPeer Corporation (« GPC »). De plus, GPC demande à des fournisseurs de services tiers de signer des accords de confidentialité avant tout transfert de renseignements personnels d'un individu dans le cadre de la fourniture d'informations et/ou de services connexes.
Définitions
« Coordonnées professionnelles » désigne les informations qui permettraient à une personne d'être contactée dans un lieu d'affaires et comprennent le nom, le nom du poste ou le titre, le numéro de téléphone professionnel, l'adresse professionnelle, le courrier électronique professionnel ou le numéro de fax professionnel. Les coordonnées professionnelles ne sont pas couvertes par cette politique ou la LPRPDE.
« Responsable de la protection de la vie privée » désigne la personne désignée responsable de s'assurer que GPC se conforme à la présente Politique et à la LPRPDE. Cette personne est le CCO qui est Marc-Antoine Caya-Bissonnette.
« Base de données » désigne la liste des noms, adresses et numéros de téléphone des clients et des personnes détenue par GPC sous la forme, mais sans s'y limiter, de fichiers informatiques, de fichiers papier et de fichiers sur des disques durs d'ordinateurs.
« Consentement exprès » signifie que la personne signe le contrat, ou d'autres formulaires contenant des informations personnelles, autorisant GPC à collecter, utiliser et divulguer les informations personnelles de la personne aux fins énoncées dans le contrat.
« Consentement implicite » signifie que l'organisation peut présumer que la personne consent à ce que les renseignements soient utilisés, conservés et divulgués aux fins initiales, sauf avis contraire de la part de la personne.
« Informations personnelles » désigne les informations sur une personne identifiable, y compris le nom, l'âge, l'adresse et le numéro de téléphone du domicile, le numéro d'assurance sociale, l'état civil, la religion, le revenu, les antécédents de crédit, les informations médicales, l'éducation, les informations sur l'emploi. Les informations personnelles n'incluent pas les informations de contact (décrites ci-dessous).
Les « dommages importants » comprennent les lésions corporelles, l'humiliation, les atteintes à la réputation ou aux relations, la perte d'emploi, d'opportunités commerciales ou professionnelles, les pertes financières, le vol d'identité, les effets négatifs sur le dossier de crédit et les dommages ou la perte de biens.
« Tiers » désigne une personne ou une entreprise qui fournit des services à GPC dans le cadre des programmes, avantages et autres services offerts par GPC.
Finalités de la collecte des informations personnelles
À moins que les fins de la collecte de renseignements personnels ne soient évidentes et que le client fournisse volontairement ses renseignements personnels à ces fins, nous communiquerons les fins pour lesquelles les renseignements personnels sont recueillis, oralement ou par écrit, avant ou au moment de la collecte.
Nous ne collecterons que les informations sur les clients, les clients et les membres qui sont nécessaires pour atteindre les objectifs suivants :
- Pour vérifier l'identité ;
- Identifier les préférences des clients ;
- Comprendre les besoins financiers de nos clients;
- Pour ouvrir et gérer un compte ;
- Pour fournir les produits et services demandés ;
- Offrir un haut niveau de service à nos clients; et
- Pour répondre aux exigences réglementaires.
Consentement
GPC obtiendra le consentement du client pour collecter, utiliser ou divulguer des informations personnelles (sauf lorsque, comme indiqué ci-dessous, nous sommes autorisés à le faire sans consentement).
Le consentement peut être fourni oralement, par écrit, par voie électronique, par l'intermédiaire d'un représentant autorisé ou il peut être implicite lorsque le but de la collecte, de l'utilisation ou de la divulgation des renseignements personnels serait considéré comme évident et que le client fournit volontairement des renseignements personnels à cette fin.
Sous réserve de certaines exceptions (par exemple, les informations personnelles sont nécessaires pour fournir le service ou le produit, ou le retrait du consentement entraverait l'exécution d'une obligation légale), les clients peuvent refuser ou retirer leur consentement à ce que GPC utilise leurs informations personnelles dans certains cas. façons. La décision d'un client de refuser ou de retirer son consentement à certaines utilisations de renseignements personnels peut restreindre notre capacité à fournir nos services. Si tel est le cas, nous expliquerons la situation pour aider le client à prendre sa décision.
Limiter la collecte
Les renseignements personnels recueillis seront limités aux fins énoncées dans la présente politique de confidentialité, les contrats GPC et/ou d'autres documents.
Utilisation des informations personnelles
Les renseignements personnels seront utilisés uniquement aux fins auxquelles la personne a consenti, avec les exceptions suivantes, comme le permet la LPRPDE :
- l'organisation a des motifs raisonnables de croire que l'information pourrait être utile lors d'une enquête sur une infraction à une loi fédérale, provinciale ou étrangère et que l'information est utilisée pour cette enquête ;
- une situation d'urgence menace la vie, la santé ou la sécurité d'un individu ;
- les informations sont destinées à des études statistiques ou à des recherches ;
- les informations sont accessibles au public ;
- l'utilisation est clairement dans l'intérêt de la personne et le consentement n'est pas disponible en temps opportun ;
- la connaissance et le consentement compromettraient la disponibilité ou l'exactitude des informations, et
- collecte est nécessaire pour enquêter sur une violation d'un accord.
Divulgation et transfert de renseignements personnels
Nous n'utiliserons ou ne divulguerons les informations personnelles des clients que si cela est nécessaire pour atteindre les objectifs identifiés au moment de la collecte (ou à des fins raisonnablement liées à ces objectifs, telles que contacter directement nos clients au sujet des produits et services susceptibles de les intéresser).
Nous n'utiliserons ni ne divulguerons les informations personnelles des clients, des clients ou des membres à d'autres fins, sauf si nous obtenons le consentement pour le faire.
Nous ne vendrons pas de clients, de listes de clients, de listes de membres ou d'informations personnelles à d'autres parties.
La LPRPDE autorise GPC à divulguer des informations personnelles à des tiers, à l'insu et sans le consentement d'un individu, pour :
- un avocat représentant GPC ;
- recouvrer une dette due à GPC par la personne ou le client ;
- se conformer à une citation à comparaître, à un mandat ou à une ordonnance rendue par un tribunal ou un autre organe compétent ;
- un organisme d'application de la loi dans le cadre d'une enquête civile ou criminelle ;
- une agence ou un département gouvernemental demandant les informations ; ou
- comme l'exige la loi.
La LPRPDE permet à GPC de transférer des informations personnelles à un tiers, à l'insu de l'individu ou sans son consentement, si le transfert est simplement à des fins de traitement et que le tiers n'utilise les informations qu'aux fins pour lesquelles elles ont été transférées. GPC prendra des mesures pour prévoir, par des moyens contractuels ou autres, que le tiers protège les informations et ne les utilise qu'aux fins pour lesquelles elles ont été transférées.
Conservation des renseignements personnels
Si nous utilisons les informations personnelles du client, client, membre pour prendre une décision qui affecte directement le client, client, membre, nous conserverons ces informations personnelles pendant au moins un an afin que le client, client, membre ait une possibilité raisonnable de demander l'accès à cela.
Nous ne conserverons les informations personnelles des clients, des clients et des membres que le temps nécessaire pour atteindre les objectifs identifiés ou un objectif légal ou commercial.
Précision
Nous ferons des efforts raisonnables pour garantir que les informations personnelles du client sont exactes et complètes lorsqu'elles peuvent être utilisées pour prendre une décision concernant le client ou divulguées à une autre organisation.
Les clients peuvent demander la correction de leurs informations personnelles pour des clarifications d'exactitude et d'exhaustivité. Une demande de correction de renseignements personnels doit être faite par écrit et fournir suffisamment de détails pour identifier les renseignements personnels et la correction demandée.
S'il est démontré que les informations personnelles sont inexactes ou incomplètes, nous corrigerons les informations au besoin et enverrons les informations corrigées à toute organisation à laquelle nous avons divulgué les informations personnelles au cours de l'année précédente. Si la correction n'est pas effectuée, nous noterons la demande de correction du client dans le dossier.
Garanties
Utilisation de garanties
Nous nous engageons à assurer la sécurité des informations personnelles des clients afin de les protéger contre l'accès, la collecte, l'utilisation, la divulgation, la copie, la modification ou l'élimination non autorisés ou des risques similaires.
Les mesures de sécurité suivantes seront suivies afin que les informations personnelles des clients soient correctement protégées :
- l'utilisation de classeurs verrouillés;
- sécuriser physiquement les bureaux où sont conservés les renseignements personnels ;
- l'utilisation d'identifiants d'utilisateur, de mots de passe, de cryptage, de pare-feu ;
- restreindre l'accès des employés aux renseignements personnels, le cas échéant (c'est-à-dire que seuls ceux qui ont besoin de savoir y auront accès);
- exiger contractuellement de tout fournisseur de services qu'il fournisse des mesures de sécurité comparables ; et
- les employés et/ou le conseil d'administration sont tenus de signer un accord de confidentialité les engageant à maintenir la confidentialité de toutes les informations personnelles auxquelles ils ont accès.
Nous utiliserons des mesures de sécurité appropriées lors de la destruction des informations personnelles du client, telles que le déchiquetage de documents et la suppression d'informations stockées électroniquement. Nous examinerons et mettrons à jour en permanence nos politiques et contrôles de sécurité à mesure que la technologie évolue concernant la sécurité continue des informations personnelles.
Violations des mesures de sécurité
En vertu de la LPRPDE, GPC est tenu de signaler au Commissariat à la protection de la vie privée (« CPVP ») et à la personne dont les renseignements ont été violés, toute violation des mesures de sécurité impliquant des renseignements personnels sous son contrôle s'il est raisonnable dans les circonstances de croire que la violation crée un risque réel de préjudice important pour un individu. Le rapport est accessible ici :
La notification de la personne sera visible et contiendra suffisamment d'informations pour permettre à la personne de comprendre l'importance de la violation et les mesures qu'elle peut prendre pour atténuer/réduire les dommages, entre autres informations prescrites. La notification doit être donnée directement à la personne dès que possible.
Pour déterminer le risque réel de préjudice important, GPC prendra en compte :
- la sensibilité des informations personnelles impliquées dans la violation ;
- la probabilité que les informations personnelles aient été, soient ou soient utilisées à mauvais escient ; et
- tout autre facteur prescrit.
Voir l'annexe 1 pour plus de détails.
Si une violation se produit, GPC informera également toute autre organisation ou institution gouvernementale de la violation si GPC estime que l'autre partie peut être en mesure de réduire le risque de préjudice qui pourrait en résulter.
Enregistrement des infractions
GPC conservera et conservera un enregistrement de chaque violation impliquant des informations personnelles sous son contrôle, même s'il n'y a aucune obligation de signaler ou de donner un avis de violation (c'est-à-dire que la violation ne crée pas un "risque réel de préjudice important" pour un individu) .
Le dossier contiendra toute information permettant au commissaire de vérifier le respect par l'entreprise des obligations de signalement et de notification des manquements. L'entreprise conservera le dossier pendant 24 mois après le jour où elle détermine que la violation s'est produite (et peut le conserver plus longtemps pour se conformer à d'autres exigences légales) et fournira le dossier au commissaire sur demande.
Les dossiers doivent contenir toute information permettant au CPVP de vérifier la conformité aux exigences de signalement et de notification des atteintes aux mesures de sécurité prévues aux paragraphes 10.1(1) et (3) de la LPRPDE, y compris les exigences d'évaluation du risque réel de préjudice important.
Les dossiers, au minimum, comprendront :
- la date ou la date estimée de la violation ;
- description générale des circonstances de la violation ;
- nature des informations impliquées dans la violation ;
- si la violation a été signalée ou non au Commissaire à la protection de la vie privée du Canada ou si les personnes ont été avisées; et
- suffisamment de détails pour que l'OPC puisse évaluer si l'entreprise a correctement appliqué la norme relative au risque réel de préjudice important et s'est autrement acquittée de ses obligations de signalement et d'avis à l'égard des manquements qui présentent un risque réel de préjudice important
Ouverture
GPC s'efforcera de faire connaître ses politiques et procédures de confidentialité à l'individu via la présente politique de confidentialité ainsi que la déclaration de confidentialité de l'entreprise, contenue dans les présentes en tant qu'« annexe 2 ».
Accès individuel
Les clients ont le droit d'accéder à leurs informations personnelles, sous réserve d'exceptions limitées. Les exceptions à l'accès qui peuvent s'appliquer incluent :
- des informations dont le coût est prohibitif à fournir ;
- des informations contenant des références à d'autres personnes ;
- des informations qui ne peuvent être divulguées pour des raisons juridiques, de sécurité ou de propriété commerciale, et
- renseignements assujettis au secret professionnel de l'avocat ou au litige.
Une demande d'accès aux renseignements personnels doit être faite par écrit et fournir suffisamment de détails pour identifier les renseignements personnels recherchés. Une demande d'accès à des renseignements personnels doit être transmise au chef de la protection des renseignements personnels.
Sur demande, nous dirons également aux clients comment nous utilisons leurs informations personnelles et à qui elles ont été divulguées, le cas échéant.
Nous rendrons les informations demandées disponibles dans les 30 jours ouvrables ou fournirons un avis écrit d'une prolongation si un délai supplémentaire est nécessaire pour répondre à la demande.
Des frais minimes peuvent être exigés pour fournir l'accès aux renseignements personnels. Lorsque des frais peuvent s'appliquer, nous informerons le client du coût et demanderons au client de lui indiquer si nous devons ou non donner suite à la demande.
Si une demande est refusée en tout ou en partie, nous aviserons le client par écrit, en lui indiquant les raisons du refus et les recours dont dispose le client.
Plaintes/recours
Si une personne a des inquiétudes concernant les pratiques de traitement des informations personnelles de GPC, une plainte, par écrit, peut être adressée au responsable de la protection des renseignements personnels.
Après vérification de l'identité de la personne, le responsable de la protection de la vie privée agira rapidement pour enquêter sur la plainte et fournira un rapport écrit des conclusions de l'enquête à la personne. Lorsque le responsable de la protection de la vie privée détermine que la plainte de la personne est fondée, le responsable de la protection de la vie privée prendra les mesures nécessaires pour corriger la pratique de traitement des informations offensante et/ou réviser les politiques et procédures de confidentialité de GPC. Lorsque le chef de la protection de la vie privée détermine que la plainte de la personne n'est pas fondée, la personne en sera avisée par écrit.
Si la personne n'est pas satisfaite de la conclusion et des mesures correspondantes prises par le responsable de la protection de la vie privée de GPC, elle peut déposer une plainte auprès du Commissariat à la protection de la vie privée.