1. Contexte
Tremblay Bois avocats et sa société de gestion Gestion Légalis inc. (ci-après collectivement « TB ») est un cabinet multidisciplinaire présentant une riche histoire qui s’exprime par une mission et des valeurs qui placent de l’avant une approche humaine et professionnelle. Son engagement envers ses clients et sa communauté est une priorité qui se décline de nombreuses façons, dont l’accessibilité et le soutien, mais aussi par la confidentialité et la protection des renseignements personnels.
Cette protection des renseignements personnels et la gestion des incidents de confidentialité sont des enjeux de société que nous considérons sérieusement. C’est pourquoi TB se conforme avec diligence aux exigences de la Loi sur la protection des renseignements personnels dans le secteur privé (R.L.R.Q., c. P-39.1) (la « LPRPSP ») et de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (2021, chapitre 25) et ses règlements (collectivement la « Loi 25 »).
Le terme « renseignement personnel » se définit comme tout renseignement qui concerne une personne physique et permet directement ou indirectement de l’identifier. Cela comprend notamment des renseignements sur son identité, sa situation familiale, sa situation financière, son emploi, son mode de vie ou sa santé. Toutefois, les dispositions relatives à la collecte et à la confidentialité des renseignements personnels ne s’appliquent pas à l’exercice par la personne concernée d’une fonction au sein d’une entreprise, tel que son nom, de même que ses coordonnées professionnelles, soit son titre et sa fonction, adresse, numéro de téléphone et adresse électronique professionnels.
Le terme « incident de confidentialité » se définit comme tout accès, utilisation ou communication non autorisés par la loi d’un renseignement personnel, de même que la perte d’un renseignement personnel ou toute autre atteinte à sa protection.
Les renseignements personnels doivent être protégés peu importe la nature de leur support et quelle que soit leur forme : écrite, graphique, audio, visuelle, informatisée ou autre.
La présente politique s’applique aux renseignements personnels détenus par TB (collecte, utilisation, communication, conservation et destruction) ainsi qu’à toute personne qui traite ces renseignements personnels.
2. Notre responsabilité
TB est responsable de tous les renseignements personnels qu’elle détient ou dont elle a la gestion, notamment les renseignements personnels que nous collectons directement – par exemple, de nos clients et de notre personnel.
TB adhère aux bonnes pratiques en matière de cybersécurité en conduisant, de concert avec notre partenaire TI, un programme holistique et rigoureux en cybersécurité se basant sur le cadre référentiel NIST. Nous avons donc réalisé une appréciation des risques sur nos actifs TI, et avons développé une stratégie de gestion du risque visant à appliquer une série de mesures d’atténuation pour protéger nos actifs TI, incluant les renseignements personnels.
Nous avons également assigné un responsable de la protection des renseignements personnels et avons délégué certaines responsabilités en cybersécurité à notre partenaire TI via une offre de services gérés en cybersécurité. L’exécution de notre programme en cybersécurité en partenariat avec notre firme TI assure une protection de la vie privée et des renseignements personnels pour le compte de TB.
Nous avons également publié sur notre site internet la présente politique et avons informé notre personnel de l’existence de cette Politique relative à la confidentialité et à la protection des renseignements personnels, de nos Politiques et pratiques de gouvernance à l’égard des renseignements personnels et de notre Plan d’intervention en cas d’incident de confidentialité, ainsi que du rôle que chacun doit jouer pour assurer la protection des renseignements personnels de nos clients et des membres de notre équipe.
Si vous avez des questions en ce qui concerne nos pratiques en cette matière, n’hésitez pas à communiquer avec notre responsable de la protection des renseignements personnels (« RPRP »), à l’adresse confidentialite@tremblaybois.ca ou au 418-658-9511 poste 340.
3. Les fins de la collecte des renseignements personnels
TB collecte, utilise, communique et conserve des renseignements personnels concernant les membres de son équipe, afin de se conformer à la législation et aux normes professionnelles; de leur procurer des avantages; d’administrer des outils de gestion; d’administrer, de gérer, de surveiller et de faire respecter les politiques de TB et ses relations avec ses employés; et, de façon générale, d’établir et de gérer les liens d’emploi ou d’association ou d’y mettre fin. Cela s’applique également aux personnes qui sollicitent un emploi chez nous.
TB collecte, utilise, communique et conserve également des renseignements personnels concernant sa clientèle, afin notamment de constituer le dossier client, d’exécuter son mandat ou contrat de services professionnels avec le client ou d’effectuer des transactions ou des activités commerciales en lien avec ce dossier.
Il se peut finalement que des renseignements personnels soient recueillis sans que les personnes concernées en soient avisées ou sans qu’elles donnent leur consentement, dans la mesure permise par la loi.
4. Le consentement
TB s’assure d’obtenir le consentement des personnes concernées avant de collecter, d’utiliser ou de communiquer les renseignements personnels, sauf dans les cas autorisés ou requis par la loi.
Ce consentement doit rencontrer certaines exigences légales spécifiques: il doit être manifeste, libre et éclairé et doit être donné à des fins spécifiques pour chaque fin visée par la collecte.
5. Limites de la collecte
TB recueille par des moyens légitimes et légaux seulement les renseignements personnels qu’elle peut raisonnablement juger nécessaires pour pouvoir rencontrer ses obligations légales, offrir ses services et exercer ses activités.
6. Limites de l’utilisation et de la communication
TB utilise et communique les renseignements personnels aux seules fins pour lesquelles il a obtenu un consentement valide, ou conformément à ce que permet ou exige la loi. Si TB souhaite utiliser ou communiquer des renseignements personnels en vue d’une fin qui n’aurait pas été divulguée précédemment, TB demandera au préalable le consentement de la personne concernée, à moins que la loi exige ou permette d’utiliser ou de communiquer les renseignements personnels sans obtenir tel consentement.
Nous ne conservons les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées, sauf dans les cas autorisés ou requis par la loi et dans le respect de nos obligations professionnelles et déontologiques, le cas échéant. Tous les dossiers des clients, des ressources humaines et les autres dossiers qui contiennent des renseignements personnels concernant les clients ou les membres de TB sont détruits lorsque ces renseignements ne peuvent plus être raisonnablement considérés comme nécessaires à des fins légales, réglementaires ou administratives.
7. Exactitude
Dans le but de s’assurer que les renseignements personnels recueillis soient pertinents aux fins auxquelles ceux-ci sont utilisés, TB déploie des efforts raisonnables pour maintenir à jour les renseignements personnels qu’elle détient.
Toute personne peut, si un renseignement personnel la concernant est inexact, incomplet ou équivoque, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisés par la loi, exiger par écrit une rectification auprès du RPRP.
8. Accès
Toute personne peut obtenir confirmation de l’existence des renseignements personnels la concernant détenus par TB et en obtenir copie le cas échéant. À cette fin, elle doit communiquer avec le RPRP.
Le droit d’accéder aux renseignements personnels est assujetti à certaines restrictions légales, et nous prendrons les mesures raisonnables pour vérifier la pertinence de la demande et l’identité d’une personne avant de lui donner cet accès.
Dans la plupart des cas, les demandeurs recevront une réponse dans les 30 jours. Si une personne a quelque inquiétude en matière d’accès, nous l’encourageons à communiquer avec le RPRP.
9. Transparence
TB pourra mettre à la disposition des personnes intéressées, sur demande écrite au RPRP, de l’information sur ses politiques et pratiques de gouvernance à l’égard des renseignements personnels.
10. Plaintes
Nous savons qu’il est important d’assurer la protection de la vie privée et des renseignements personnels des personnes concernées. Si vous avez des questions ou des préoccupations quant au respect de votre vie privée et de vos renseignements personnels, et quant au rôle que nous jouons à cette fin, veuillez communiquer avec notre RPRP, à l’adresse confidentialite@tremblaybois.ca ou au 418-658-9511 poste 340.
TB a mis en place une procédure relative à la réception et au traitement des plaintes concernant la présente politique et ses pratiques relatives aux renseignements personnels. Une personne sur qui TB collecte, utilise, communique ou conserve des renseignements personnels peut se plaindre du traitement de ses renseignements personnels. Toute plainte concernant la protection des renseignements personnels doit être acheminée au RPRP à l’adresse figurant ci-dessus. Dans la plupart des cas, les demandeurs recevront une réponse dans les 30 jours.
Si une personne n’est pas satisfaite de la réponse de TB à une plainte ou des politiques et pratiques de TB en matière de renseignements personnels, elle peut déposer une plainte auprès de la Commission d’accès à l’information du Québec sur le site www.cai.gouv.qc.ca.
11. Mise à jour de la politique
La présente politique sera régulièrement révisée et mise à jour afin de refléter les évolutions technologiques, les changements juridiques et les meilleures pratiques en matière de protection des renseignements personnels.