Politiques et pratiques encadrant la gouvernance à l’égard des renseignements personnels

Les Logiciels RevolvAir inc. est régi(e) par la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1) (la Loi).

Renseignement personnel

Un renseignement personnel est un renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier. Un écrit, une image, une vidéo et un enregistrement sonore peuvent contenir des renseignements personnels. Dans le cadre de ses activités professionnelles, Les Logiciels RevolvAir inc. peut recueillir des renseignements personnels tels que le nom, le courriel, l’adresse domiciliaire, le numéro de téléphone, le navigateur utilisé, etc.

Consentement

Les Logiciels RevolvAir collecte, utilise, communique un renseignement personnel avec le consentement de la personne concernée. Pour être valide, ce consentement doit être manifeste, libre, éclairé et donné à des fins spécifiques. La personne qui consent à fournir ses renseignements personnels est présumée consentir à leur utilisation et à leur communication à des fins pour lesquelles ils ont été collectés.

Toute personne peut retirer à tout moment son consentement à la collecte, à l’utilisation et à la communication de ses renseignements personnels par Les Logiciels RevolvAir.

Responsabilité

Les Logiciels RevolvAir est responsable de la protection des renseignements personnels qu’elle (il) détient dans le cadre de l’exercice des activités d’utilisation des outils d’analyse de qualité de l’air. Dans ce but, RevolvAir a adopté la politique de confidentialité ainsi que des politiques et des pratiques encadrant la gouvernance à l’égard des renseignements personnels et dont l’objectif est d’encadrer la cueillette, l’utilisation, la communication, la conservation et la destruction des renseignements personnels.

Collecte des renseignements personnels

RevolvAir ne collecte que des renseignements personnels nécessaires à l’exercice de ses activités dans le domaine du plate-forme numérique en ligne en lien avec la qualité de l’air. À titre d’exemple, il peut s’agir de renseignements collectés afin de gérer les alertes en lien avec la qualité de l’air, la possibilité d’écrire des commentaires sur les stations de qualité de l’air et l’ajout de stations favorites, la sauvegarde d’analyse et la diffusion de nouvelles en lien avec la qualité de l’air. Toute autre demande est portée à la connaissance de la personne dont on demande le consentement.

RevolvAir invite les membres de son personnel à expliquer en termes simples et clairs à la personne concernée les raisons de la collecte de ses renseignements personnels et à s’assurer de leur compréhension.

Aux fins de la collecte des renseignements personnels, RevolvAir encourage les membres de son personnel à utiliser le formulaire de création de comtpte et accepter les termes et conditions.

RevolvAir peut aussi recueillir les renseignements personnels verbalement lors de correspondances avec les personnes impliquées dans une transaction ou par le biais de divers documents soumis dans le cadre d’une réalisation d’une transaction.

Utilisation et communication des renseignements personnels

Les renseignements personnels sont utilisés et communiqués aux fins pour lesquelles ils ont été collectés et avec le consentement de la personne concernée. Dans certains cas prévus par la loi, les renseignements personnels peuvent être utilisés à d’autres fins, par exemple, dans le but de détecter et de prévenir une fraude, dans le but de fournir un service à la personne concernée.

RevolvAir peut être tenu de communiquer les renseignements personnels à des tiers, par exemple, aux fournisseurs, aux cocontractants, aux sous-traitants, aux mandataires, aux professionnels, à d’autres régulateurs, ou à l’extérieur du Québec.

RevolvAir peut, sans le consentement de la personne concernée, communiquer un renseignement personnel à un tiers si cette communication est nécessaire à l’exécution d’un mandat ou d’un contrat de service ou d’entreprise. Dans ce cas, RevolvAir établit un mandat ou un contrat écrit dans lequel elle (il) indique les mesures que son mandataire doit prendre pour assurer la protection des renseignements personnels qui lui sont confiés, pour que ceux-ci ne soient utilisés que dans l’exercice du mandat ou du contrat et qu’ils soient détruits après sa fin. Le cocontractant doit également s’obliger à collaborer avec RevolvAir en cas de violation de la confidentialité des renseignements personnels.

Avant de communiquer les renseignements personnels à l’extérieur du Québec, RevolvAir tient compte de leur sensibilité, de la finalité de leur utilisation et des mesures de protection dont ceux-ci bénéficieront à l’extérieur du Québec. RevolvAir ne communiquera les renseignements personnels à l’extérieur du Québec que si son analyse démontre que ceux-ci bénéficieront d’une protection adéquate dans l’endroit où ils doivent être communiqués.

Conservation et destruction des renseignements personnels

Lorsque les fins auxquelles les renseignements personnels ont été recueillis ou utilisés ont été accomplies, RevolvAir doit les détruire, sous réserve d’un délai de conservation prévu par la Loi.

Mesures de sécurité

Lors de la collecte, de l’utilisation, de la conservation et de la destruction des renseignements personnels, RevolvAir applique les mesures de sécurité nécessaires pour protéger le caractère confidentiel des renseignements personnels. Plus spécifiquement, voici les mesures applicables :

  • Les données sont collectées sur des formulaires numériques officielles. Ils sont ensuite stockés sur un service infonuagique protégé par un processus de sécurité d’accès et ne sont accessibles qu’aux employés concernés par la transaction ou le dirigeant de la société pour fin de contrôle.
  • L’utilisation des données se limite à l’utilisation des services en ligne, aux communications par courriel et sur les réseaux sociaux.
  • Les données électroniques sont conservées pour une période de 10 ans et effacées par la suite si le compte utilisateur est inactif depuis plus d’un an. Les documents papiers sont conservés pour la même période et détruits de façon sécuritaire par une compagnie qui possède un service de déchiquetage de documents sécurisés.

Incident de confidentialité

Est un incident de confidentialité où l’accès, l’utilisation, la communication d’un renseignement personnel non autorisé par la Loi ou la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un renseignement personnel.

La société a mis en place un protocole de gestion d’un incident de confidentialité dans lequel sont identifiées les personnes qui assistent le Responsable de la protection des renseignements personnels et qui prévoit les actions concrètes qui doivent être posées en cas d’incident. Ce protocole prévoit notamment les responsabilités attendues à chacune des étapes de la gestion de l’incident incluant les mesures à prendre pour assurer la sécurité des données.

Rôles et responsabilités

  1. La société ou l’employé
  • Assure la confidentialité des renseignements par de bonnes pratiques de gestion de l’information. Plus particulièrement, elle (il) donne des directives, des formations et des instructions aux membres du personnel relatives à la collecte, à l’usage, au stockage, à la modification, à la consultation, à la communication et à la destruction permise des renseignements personnels.
  • Déploie les mesures de protection adéquates afin de réduire le risque d’incident de confidentialité, par exemple, la sécurité informatique, la mise à jour des politiques relatives aux renseignements personnels, la formation de son personnel, etc.
  • Dispose de méthodes uniformisées de classement des documents contenant des renseignements personnels.
  • Dispose de méthodes uniformisées de conservation des documents contenant des renseignements personnels, notamment quant à la procédure de numérisation.
  • Gère les accès physique et informatique aux renseignements personnels en fonction notamment de leur sensibilité.
  • Procède à la destruction sécurisée des renseignements personnels. Plus particulièrement, elle (il) donne des directives ou des instructions aux membres du personnel relatives à la méthode de destruction sécuritaire, aux délais de destruction, etc.
  1. Responsable de la protection des renseignements personnels

Conformément à la Loi, RevolvAir  a nommé le Responsable de la protection des renseignements personnels. Il s’assure notamment que les présentes politiques sont respectées et qu’elles sont conformes à la réglementation applicable. Le nom et les coordonnées de cette personne figurent au bas de cette page. Le Responsable de la protection des renseignements personnels assume la gestion des incidents de confidentialité et, dans ce contexte, pose des gestes prévus par la Loi.

Le Responsable de la protection des renseignements personnels traite les demandes d’accès et de rectification des renseignements personnels. Il traite également les plaintes relativement au traitement des renseignements personnels par la société.

Le Responsable de la protection des renseignements personnels est consulté dans le cadre d’une évaluation des facteurs relatifs à la vie privée pour tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels. Il peut suggérer des mesures pour assurer la protection de renseignements personnels dans le cadre d’un tel projet.

  1. Membres du personnel

Un membre du personnel de la société peut prendre connaissance du renseignement personnel uniquement dans la mesure où cela est indispensable à l’exécution de ses fonctions ou de son mandat.

Le membre du personnel de la société :

  • S’assure de l’intégrité et de la confidentialité des renseignements personnels détenus. 
  • Se conforme à toutes les politiques et directives de la société sur l’accès, la collecte, l’utilisation, la communication, la destruction des renseignements personnels et sur la sécurité de l’information et respecte les consignes qui lui sont présentées.
  • Respecte les mesures de sécurité mises en place sur son poste de travail et sur tout équipement contenant des renseignements personnels.
  • Utilise uniquement l’équipement et les logiciels autorisés par la société.
  • Assure, le moment venu, la destruction sécuritaire des renseignements personnels conformément aux consignes reçues. Signale immédiatement à son supérieur tout acte, dont il a connaissance, susceptible de constituer une violation réelle ou présumée des règles de sécurité relatives aux renseignements personnels.

Droit d’accès, de retrait et de rectification

Une personne (ou son représentant autorisé) peut demander d’avoir accès aux renseignements personnels la concernant détenus par la société. Une personne peut retirer à tout moment son consentement à la collecte, à l’utilisation et à la communication de ses renseignements personnels. Ce retrait est alors consigné par courriel.

Une personne peut demander de corriger, dans un dossier qui la concerne, des renseignements personnels qu’elle estime inexacts, incomplets ou équivoques.

La société peut refuser une demande d’accès ou de rectification dans les cas prévus par la Loi.

Plaintes

Une personne qui se considère lésée peut formuler une plainte relativement au traitement de ses renseignements personnels par la société. Cette plainte sera traitée avec diligence dans un délai maximal de 7 jours par le Responsable de la protection des renseignements personnels et une réponse écrite vous sera adressée.

Pour faire une demande d’accès ou de rectification de vos renseignements personnels ou pour soumettre une plainte relativement au traitement des renseignements personnels, veuillez communiquer avec :

Guillaume Simard
Responsable de la protection des renseignements personnels
1421 avenue de Villars, G1T 2C1, Québec, QC, Canada
Courriel