Politique de gouvernance sur la protection des renseignements personnels

(Modif. juin 2024)

 

1. GÉNÉRALITÉS

Pour réaliser sa mission, La Société d’exploitation des ressources agro-forestières de Labelle inc. (SERAF)  offre divers produits et services aux propriétaires de boisés privés engagés dans l’aménagement de leur forêt. Nous nous engageons à offrir ces produits et services dans le cadre de notre modèle d’affaires, impliquant divers partenaires gouvernementaux et privés essentiels à l’offre de produits et services. Nous sommes désireux de réaliser cette mission en assurant la confidentialité et la protection des renseignements personnels, par l’application de notre politique.

 Afin d’assurer cette protection, nous nous engageons à collecter, traiter et partager une information permettant d’identifier un individu que lorsque ce dernier y a consenti, à moins que cela ne soit permis ou requis par la loi, auquel cas votre consentement ne sera pas nécessaire. 

 La Politique a pour objectif d’informer les utilisateurs des raisons et de la façon, dont nous, ou toute personne agissant en notre nom, va collecter et utiliser leurs renseignements personnels. Elle se veut être en langage clair afin de s’assurer un consentement éclairé des utilisateurs.  

 

2. ENTRÉE EN VIGUEUR

 La présente Politique s’applique à partir du 2023-09-01. 

 

3. RÈGLES APPLICABLES À LA CONSERVATION ET À LA DESTRUCTION DES RENSEIGNEMENTS PERSONNELS

Tout au long du cycle de vie des renseignements personnels la direction générale et des membres du personnel, ont les responsabilités suivantes :

  • D’appliquer des procédures adaptées de gestion des renseignements personnels et des documents.
  • Partager les renseignements personnels et les documents qu’aux personnes autorisées.
  • L’équipe de direction est responsable des accès aux différents renseignements personnels et documents partagés.
  • Valider l’utilisastion des divers formulaires de consentement.
  • S’assurer d’obtenir, en tout temps, le consentement pour l’utilisation des renseignements personnels.
  • Disposer sécuritairement des documents et informations non utiles, obsolètes et à la demande.

 

4. PERSONNE RESPONSABLE DE L’APPLICATION DE LA POLITIQUE SUR LES RENSEIGNEMENTS PERSONNELS

Le directeur général est responsable :

  • de l’application de la politique sur la loi des renseignements personnels
  • de l’affichage la politique sur le site internet de l’entreprise.
  • de maintenir les dispositifs de sécurité physique et de réseau informatique à jour.

 Coordonnées :
Nom : Benoît Durocher, dg
Adresse : 318 chemin du golf, Lac-des-Écorces, PQ, J0W 1H0
Courriel : benoit.durocher@seraf.ca
Tél : 819-623-3348

 

5. CATÉGORIES DE RENSEIGNEMENTS PERSONNEL HABITUELLEMENT RECUILLIS : 

  1. Renseignements d’identification : Nom, adresse postale et courriel, numéro de téléphone, numéro d’assurance sociale
  2. Renseignements démographiques : Date de naissance, lieu de résidence
  3. Données nécessaires au traitement des transactions bancaires.

 

6. ACTIVITÉS DE FORMATION ET SENSIBILISATION

Les rôles et responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels sont :

  • Être sensibilisé face à l’importance des données confidentielles ;
  • Suivre des formations à ce sujet lorsque nécessaire ;
  • Connaître l’emplacement, la taille, l’utilisation et le cycle de vie des renseignements utilisés.

 

7. GESTION DES INCIDENTS DE CONFIDENTIALITÉ

Pour l’application des lois, un incident de confidentialité correspond à tout accès, utilisation ou communication non autorisés par la loi d’un renseignement personnel, de même qu’à la perte d’un renseignement personnel ou à toute autre atteinte à sa protection.

Par exemple, un incident de confidentialité pourrait se produire lorsque :

  • un membre du personnel consulte un renseignement personnel sans autorisation;
  • un membre du personnel communique des renseignements personnels au mauvais destinataire;
  • l’organisation est victime d’une cyberattaque : hameçonnage, rançongiciel, etc.

S’il y a des motifs de croire qu’un incident de confidentialité impliquant un renseignement personnel s’est produit, des mesures raisonnables doivent être prises pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.

 

8. LES OBLIGATIONS EN CAS D’INCIDENT DE CONFIDENTIALITÉ :

  • Évaluer si l’incident présente un risque de préjudice sérieux
  • Prendre des mesures pour diminuer les risques et éviter de nouveaux incidents

Aviser :

  • La Commission et les personnes dont les renseignements sont concernés lorsque le préjudice est sérieux ;
  • Les personnes susceptibles de prévenir ou de diminuer le risque de préjudice sérieux;
  • Le support informatique, susceptibles de prévenir ou de diminuer le risque de préjudice sérieux.
  • Tenir un registre des incidents de confidentialité
  • Sensibiliser les employés sur l’importance des renseignements personnels

 

9. PROCESSUS DE TRAITEMENTS DES PLAINTES

Un processus de traitements des plaintes est établi afin que chaque personne se sentant lésée, en lien avec l’accès aux renseignements personnels, juge non justifiée une demande d’information liée à sa vie privée. Cette personne doit pouvoir en faire la déposition officielle afin que cette plainte soit traitée objectivement par le comité.

Voici les étapes à suivre :

  1. Remplir le formulaire de plainte et le transmettre au comité ;
  2. Les plaintes seront évaluées par le conseil d’administration afin d’en juger la validité ;
  3. Le plaintif sera informé personnellement de l’acceptation ou du refus de la plainte par le comité ;
  4. Si la plainte est acceptée, les correctifs aux préjudices mentionnés seront appliqués dans les plus brefs délais en plus de la modification de la pratique courante de l’entreprise.