Politique relative à la protection des renseignements personnels

1. Pourquoi avons-nous adopté une politique relative à la protection des renseignements personnels?

La présente politique relative à la protection des Renseignements personnels du cabinet Lavery (le « cabinet ») énonce les lignes directrices et les règles spécifiques qui doivent être respectées par les Membres du cabinet relativement à la collecte, à l'utilisation, à la communication, à la conservation et à la destruction de tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l'identifier.

Aux fins de la présente politique, la notion de Renseignements personnels est définie par la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c. P-39.1 (la « LPRSP »).

La présente politique a pour objectif de fournir un cadre général en matière de protection des Renseignements personnels concernant les Membres du cabinet, ses consultants et prestataires de services ainsi que les clients du cabinet, ses fournisseurs et partenaires d'affaires, en conformité avec les lois et règlements applicables au cabinet, et en particulier avec la LPRPSP, la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000 ch. 5 (« LPRPDE ») et, lorsqu'applicable, le Règlement général sur la protection des données1RGPD »).

2. Qui sont les personnes concernées par notre politique?

La présente politique s'applique à chacun des Membres du cabinet, peu importe son titre, son statut, ses fonctions ou son affiliation professionnelle, ainsi qu'aux consultants et prestataires de services lorsque ces derniers y sont assujettis spécifiquement dans leur contrat de service.

3. Quelques définitions pour vous aider

« Évaluation des facteurs relatifs à la vie privée » ou « EFVP » signifie la démarche qui consiste à considérer tous les facteurs qui auront un impact positif ou négatif pour le respect de la vie privée des Personnes concernées. Ces facteurs sont :

  • la conformité à la législation applicable à la protection des Renseignements personnels et le respect des principes qui l'appuient;
  • l'identification des risques d'atteinte à la vie privée et l'évaluation de leurs impacts;
  • la mise en place de stratégies pour éviter ces risques ou les réduire efficacement.

« Incident de confidentialité » signifie l'accès, l'utilisation ou la communication non autorisé à un Renseignement personnel ou la perte d'un tel renseignement ou toute autre atteinte à la protection d'un tel renseignement.

« Membres du cabinet » signifie tous les associés, professionnels, salariés et membres du personnel.

« Personnes concernées » signifie les personnes physiques concernées dont leurs Renseignements personnels sont recueillis, utilisés, communiqués, conservés ou détruits par le cabinet.

« Projet en technologie de l'information » signifie tout projet d'acquisition, de développement ou de refonte de système d'information ou de prestation électronique de services impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de Renseignements personnels.

« Renseignement personnel » signifie tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l'identifier, quelle que soit la nature de son support et quelle que soit la forme sous laquelle il est accessible : écrite, graphique, sonore, visuelle, informatisée ou autre.

« Renseignement sensible » signifie tout Renseignement personnel qui, de par sa nature notamment médicale, biométrique, financière ou autrement intime, ou en raison du contexte de sa collecte, de son utilisation ou de sa communication, suscite un haut degré d'attente raisonnable en matière de vie privée.

« Responsable de la protection des renseignements personnels » signifie la personne ayant la plus haute autorité ou la personne à laquelle elle délègue cette fonction par écrit, en tout ou en partie.

« Sous-traitant » signifie tout agent, consultant, gestionnaire de données ou autre fournisseur de services ayant accès à des Renseignements personnels qui lui ont été préalablement communiqués par le cabinet, directement ou par l'entremise d'un autre Sous-traitant du cabinet.

4. Votre consentement

Le consentement à la collecte, à l'utilisation et à la communication de Renseignements personnels doit être manifeste, libre et éclairé. Il doit être donné à des fins spécifiques, en termes simples et clairs.

Lorsque la Personne concernée le requiert, le cabinet lui prête assistance afin de l'aider à comprendre la portée du consentement demandé.

Suivant la nature et la sensibilité des Renseignements personnels, le consentement peut être explicite (un tel consentement peut être donné oralement, par écrit ou par voie électronique) ou implicite (par exemple lorsque la Personne concernée fournit volontairement des Renseignements personnels). Lorsqu'il est requis, le consentement lié à des Renseignements sensibles doit dans tous les cas être manifesté de manière expresse.

Le consentement à la collecte, à l'utilisation et à la communication de Renseignements personnels est obtenu avant ou au moment de la collecte des renseignements, sauf dans les autres cas et aux conditions prévus dans la loi. Il ne vaut que pour la période nécessaire à la réalisation des fins auxquelles il a été demandé. À titre d'exemple, le consentement donné par une personne demeure habituellement valide pour toute la durée de la relation entre cette personne et le cabinet. Toutefois, dans certains cas, un consentement plus spécifique pourrait être uniquement valide pour la période de temps requise pour atteindre l'objectif recherché.

Un consentement peut être retiré en tout temps, sous réserves de restrictions légales et contractuelles et d'un préavis raisonnable. Dans certains cas, si le consentement est retiré, le cabinet pourrait ne plus être en mesure de maintenir sa relation avec la Personne concernée ou de lui fournir certains produits ou services.

5. Quelles sont les règles que nous avons adoptées en lien avec la collecte et l'utilisation de Renseignements personnels?

Le cabinet ne recueille que les Renseignements personnels qui sont nécessaires à l'établissement, à la gestion et au maintien de sa relation avec les Membres du cabinet, ses consultants et prestataires de services ainsi que ceux nécessaires à l'exécution de ses obligations envers ses clients, fournisseurs et partenaires d'affaires. Ces renseignements peuvent inclure :

  • des renseignements d'identification ;
  • des renseignements de santé ;
  • des renseignements financiers ;
  • des renseignements relatifs au travail ;
  • des renseignements scolaires ou relatifs à la formation ;
  • des renseignements relatifs à la situation sociales ou familiales.

Sans limiter la portée générale de ce qui précède, le cabinet recueille et utilise des Renseignements personnels :

a) concernant les Membres du cabinet, ses consultants et ses prestataires de services

  • pour la détermination initiale d'éligibilité à un emploi, y compris la vérification des références et des qualifications ainsi qu'aux fins de sélection de promotion et de gestion : des renseignements concernant l'éducation, la formation, l'expérience de travail, l'historique professionnel, les références professionnelles et personnelles, le curriculum vitae initial ou le formulaire de demande d'emploi soumis ainsi que le curriculum vitae ou le dossier mis à jour de la Personne concernée ;
  • aux fins de la gestion des ressources humaines et de l'administration : les lettres d'offre et d'acceptation d'emploi, les contrats d'emploi, le formulaire d'acceptation et d'attestation de lecture des politiques et directives du cabinet, l'historique professionnel et l'historique salarial de la Personne concernée ;
  • les renseignements requis pour la préparation de la paie incluant le numéro d'assurance social, l'institution financière et le numéro de compte de la Personne concernée ;
  • les formulaires concernant une demande ou une modification des avantages de santé et sécurité incluant l'invalidité à courte ou longue durée, les soins médicaux ou dentaires, l'information portant sur le statut médical ou dentaire et le traitement des réclamations liées à l'emploi (ex : indemnisation pour préjudice survenu sur les lieux du travail, réclamations d'assurance, etc.);
  • les renseignements provenant de collègues, gestionnaires et clients relatifs à la performance et au comportement de la Personne concernée, et contenue par exemple dans des évaluations professionnelles, aux fins de l'établissement des exigences liées à la formation et au développement, pour l'évaluation des qualifications d'un poste ou d'une tâche en particulier et, dans le cadre d'une enquête, pour la collecte de preuves en matière de mesures disciplinaires ou de congédiement ;
  • les renseignements requis aux fins d'identification et de sécurité ;
  • les renseignements au sujet de la personne à contacter en cas d'urgence ;
  • tout autre renseignement requis ou dont l'accès est autorisé par la loi (notamment, en conformité avec les lois du travail ou aux fins de compilation des répertoires internes).

b) concernant ses clients, fournisseurs et partenaires d'affaires

  • pour identifier la Personne concernée afin d'établir et de maintenir la relation d'affaires du cabinet, par exemple pour fournir un service professionnel à une personne qui cherche à être, est ou était client du cabinet;
  • à des fins de fournir un service continu, y compris lorsque la Personne concernée soumet une question, participe à un événement ou indique ses préférences au niveau des informations qu'elle souhaite recevoir de la part du cabinet par l'entremise de son site internet ;
  • lorsque la collecte et l'utilisation des Renseignements personnels est requise par la nature de la relation d'affaires ou par l'objet du contrat ;
  • pour améliorer notre gamme de produits et services ;
  • pour prévenir les erreurs et la fraude ;
  • à des fins de répondre aux exigences que la loi impose au cabinet.

Un Renseignement personnel ne peut être utilisé au sein du cabinet qu'aux fins pour lesquelles il a été recueilli, à moins du consentement de la Personne concernée ou si l'utilisation est autrement autorisée par la loi. Le cabinet peut toutefois utiliser un Renseignement personnel à une autre fin sans le consentement de la Personne concernée notamment dans les cas suivants :

  • lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il a été recueilli?;
  • lorsque son utilisation est manifestement au bénéfice de la Personne concernée?;
  • lorsque son utilisation est nécessaire à l'application d'une loi au Québec, que cette utilisation soit ou non prévue expressément par la loi.

Dans la plupart des cas, le cabinet recueille les Renseignements personnels auprès de la Personne concernée. Toutefois, le cabinet peut recueillir des Renseignements personnels auprès d'un tiers avec le consentement de la Personne concernée ou sans son consentement si la loi l'autorise.

La Personne concernée est informée au moment de la collecte et par la suite sur demande des fins pour lesquelles les Renseignements personnels sont recueillis et par quels moyens ainsi que de toute autre information requise par la loi en fonction du contexte.

6. Quelles sont les règles que nous avons adoptées en lien avec la communication de Renseignements personnels?

Sauf dans les cas décrits ci-après et aux conditions prévues dans la loi, la communication de Renseignements personnels requiert le consentement de la Personne concernée lorsque les renseignements sont communiqués à un tiers. Sans égard au contexte dans lequel s'inscrit la communication, le cabinet ne transmet que la quantité minimale et le type de Renseignements personnels nécessaires aux fins de la communication.

Conformément à la loi applicable, des Renseignements personnels peuvent être communiqués par le cabinet, sans le consentement de la Personne concernée, aux personnes suivantes :

  • à une personne ou à un organisme ayant pouvoir de contraindre à leur communication et qui les requiert dans l'exercice de ses fonctions, incluant pour répondre à un subpoena, à un mandat ou à une ordonnance d'un tribunal relatifs à la production de documents;
  • à un organisme chargé en vertu de la loi de prévenir, de détecter ou de réprimer le crime ou les infractions aux lois, qui le requiert dans l'exercice de ses fonctions, si le renseignement est nécessaire pour l'institution ou la poursuite de procédures judiciaires visant une infraction à une loi applicable;
  • à une personne à qui il est nécessaire de communiquer le renseignement en vertu d'une loi applicable.

De la même manière, l'accès aux Renseignements personnels à l'intérieur du cabinet n'exige pas le consentement de la Personne concernée, mais est strictement limité aux personnes pour qui les renseignements sont nécessaires à l'exercice de leurs fonctions. L'accès ou la communication non autorisé d'un Renseignement personnel par un Membre du cabinet est strictement interdit et peut donner lieu à des mesures disciplinaires.

Le cabinet peut également partager des Renseignements personnels qu'il détient, sans le consentement de la Personne concernée, avec ses Sous-traitants si les renseignements sont nécessaires à l'exécution de leur mandat ou de leur contrat de service. Dans tous les cas, le cabinet met en place des moyens raisonnables pour s'assurer que le Sous-traitant à qui les Renseignements personnels sont communiqués a mis en place des mesures permettant de maintenir la confidentialité, l'intégrité et la disponibilité des Renseignements personnels, et agit conformément à ses mesures.

Dans un tel cas, le cabinet confie le mandat ou contrat par écrit et indique les mesures que le Sous-traitant doit prendre pour assurer la protection du caractère confidentiel du Renseignement personnel communiqué. Un tel contrat doit minimalement prévoir : (1) les mesures que le Sous-traitant doit prendre pour assurer la protection du caractère confidentiel des renseignements qui lui sont confiés, (2) que les Renseignements personnels confiés au Sous-traitant ne sont utilisés que dans l'exercice de son mandat ou l'exécution de son contrat, (3) que le Sous-traitant s'engage à ne pas conserver les Renseignements personnels confiés par le cabinet après la fin de son mandat ou de son contrat, (4) que le Sous-traitant s'engage à aviser le Responsable de la protection des renseignements personnels du cabinet de toute violation ou tentative de violation des obligations de confidentialité qui lui incombent et (5) que le Sous-traitant s'engage à permettre au Responsable de la protection des renseignements personnels du cabinet d'effectuer toute vérification relative à cette confidentialité.

Si la communication a lieu à l'extérieur du Québec, ou si la communication s'inscrit dans le cadre d'un Projet en technologie de l'information, le cabinet procède à une EFVP qui tient compte de tous les éléments prévus par la loi. Le cabinet peut communiquer des Renseignements personnels à l'extérieur du Québec seulement si l'EFVP démontre que les Renseignements personnels bénéficieront d'une protection adéquate eu égard aux principes de protection des Renseignements personnels généralement reconnus. L'entente écrite avec le Sous-traitant doit alors tenir compte notamment des résultats de l'EFVP et, le cas échéant, des modalités convenues dans le but d'atténuer les risques identifiés dans le cadre de cette EFVP.

Il est important de noter que si un Sous-traitant à qui le cabinet transmet des Renseignements personnels opère dans une juridiction étrangère, la législation locale est susceptible de permettre à des tiers d'avoir autrement accès aux Renseignements personnels sans le consentement de la Personne concernée.

7. Comment utilisons-nous les témoins de connexion (cookies)?

Le site internet du cabinet fait usage de témoins de connexion (cookies) pour recueillir certaines informations, incluant la durée des visites sur le site internet, les pages téléchargées, l'adresse IP de la Personne concernée, ses préférences en termes de langue, les navigateurs internet utilisés, etc. Il est également possible que le cabinet reçoive des informations sur le serveur auquel la Personne concernée est connectée et sur son fournisseur internet.

Un témoin de connexion est un fichier qui enregistre des renseignements sur le disque dur ou le navigateur. Il permet à un site internet d'identifier un ordinateur et, si la Personne concernée a déjà consulté ce site, de la reconnaître.

Le consentement à l'utilisation des témoins de connexion est requis avant chaque connexion. La majorité des navigateurs donnent également l'occasion de les bloquer ou de les supprimer du disque dur. Il est important de consulter le guide d'utilisation ou le menu d'aide du navigateur utilisé pour obtenir de plus amples renseignements au sujet de ces fonctions. Cependant, si la Personne concernée ne consent pas à l'utilisation de témoins de connexion ou si les paramètres du navigateur sont modifiés afin de supprimer ou de bloquer les témoins de connexion, il se peut que certaines fonctionnalités du site internet du cabinet soient inaccessibles.

8. Exactitude, sécurité et conservation

Le cabinet reconnaît qu'il est important que les Renseignements personnels soient exacts, complets et à jour et met en place des mesures raisonnables afin de s'assurer de l'exactitude et de la mise à jour des renseignements utilisés et communiqués. Toutefois, les Personnes concernées demeurent responsables d'informer le cabinet de tout changement significatif relativement à leurs Renseignements personnels qui pourrait survenir au cours de la relation d'affaires.

Le cabinet a mis en place une série de mesures de sécurité visant à protéger les Renseignements personnels qu'il recueille, utilise, communique et conserve contre la perte et le vol ainsi que contre la consultation, la communication, la copie, l'utilisation et la modification non autorisées de ces renseignements, quelle que soit la nature du support sur lesquels les renseignements sont conservés.

Ces mesures de sécurité incluent des mesures physiques, administratives et technologiques raisonnables compte tenu de la sensibilité des renseignements, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support, dont les suivantes:

  • mesures physiques : accès contrôlés aux locaux du cabinet, classeurs à tiroir barrés et accès restreints à certains bureaux ;
  • mesures administratives : mesures particulières et autorisations spécifiques pour la consultation, la copie et la communication des Renseignements sensibles, utilisation de systèmes de classement dédiés pour les renseignements concernant les Membres du cabinet, consultants et prestataires de services, période de rétention adaptée en fonction de la sensibilité des renseignements ;
  • mesures technologiques : utilisation obligatoire d'outils informatiques appartenant au cabinet, utilisation de codes d'accès personnalisés, murs pare-feu et cryptage des données, accès limités aux Renseignements sensibles, audits périodiques des systèmes informatiques utilisés à des fins de collecte, d'utilisation, de conservation, de communication ou de destruction de Renseignements personnels.

Le cabinet met également en place les mesures nécessaires pour s'assurer que tous les Membres du cabinet soient informés du contenu de la présente politique et qu'ils s'y conforment en tout temps.

Sauf dans les cas exceptionnels où la collecte, l'utilisation, la communication ou la conservation sont confiées à un Sous-traitant à l'étranger, les Renseignements personnels sous le contrôle du cabinet sont conservés au Canada.

Le cabinet conserve les Renseignements personnels seulement pendant la durée nécessaire à la réalisation de l'objet pour lequel ils ont été recueillis, pour rencontrer les exigences légales de conservation – dont celle applicables à la profession juridique - et pendant la durée nécessaire à la protection de ses intérêts commerciaux légitimes. Les Renseignements personnels utilisés pour prendre une décision relative à la Personne concernée sont conservés pendant au moins un an suivant la décision.

9. Comment formuler une demande d'accès ou de rectification?

Toute personne a le droit de demander de consulter ou d'obtenir une copie de ses Renseignements personnels qui sont détenus par le cabinet. Elle peut également demander que les Renseignements personnels soient rectifiés s'ils sont inexacts, incomplets ou équivoques, ou si leur collecte, leur communication ou leur conservation ne sont pas autorisée par la loi.

Toute question relativement à la présente politique ou à propos de la collecte, de l'utilisation ou de la communication de Renseignements personnels, incluant les demandes d'accès ou de rectification, doivent être formulées par écrit et adressées au Responsable de la protection des renseignements personnels du cabinet :

Loic Berdnikoff

Chef, opérations juridiques et conformité - Responsable de la protection des renseignements personnels

1 Place Ville Marie, suite 4000

Montreal (QC) H3B 4M4

514-877-2981

lberdnikoff@lavery.ca

 

Le cabinet répond à toute demande d'accès ou de rectification dans les 30 jours de la date de la réception de la demande écrite. En cas de refus de fournir ou de corriger les renseignements, le cabinet fournit les motifs au soutien de son refus, sous réserve des restrictions prévues dans la loi, et informe la Personne concernée de ses recours.

10. Notre engagement en ce qui concerne les incidents de confidentialité

Tout Membre du cabinet qui a des motifs de croire que s'est produit un Incident de confidentialité impliquant un Renseignement personnel détenu par le cabinet doit immédiatement en informer le Responsable de la protection des renseignements personnels, par écrit, en fournissant l'ensemble des informations pertinentes à l'évaluation de la situation.

Le Responsable de la protection des renseignements personnels doit prendre les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé aux Personnes concernées et éviter que de nouveaux incidents de même nature ne se produisent.

Le Responsable de la protection des renseignements personnels est responsable de déterminer si l'Incident de confidentialité présente un risque qu'un préjudice sérieux soit causé aux Personnes concernées. Le cas échéant, il doit, avec diligence, aviser la Commission d'accès à l'information et toute Personne concernée par l'Incident de confidentialité sauf si cela serait susceptible d'entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, de détecter ou de réprimer le crime ou les infractions aux lois. Il peut également aviser toute personne ou tout organisme susceptible de diminuer ce risque, en ne lui communiquant que les Renseignements personnels nécessaires à cette fin sans le consentement de la Personne concernée. Dans ce dernier cas, le Responsable de la protection des renseignements personnels doit enregistrer la communication.

Le Responsable de la protection des renseignements personnels tient un registre des Incidents de confidentialité.

11. Traitement des Renseignements personnels des personnes se trouvant dans l'Espace Économique Européen (« EEE »)

Le RGPD établit des règles spécifiques applicables exclusivement au traitement des Renseignements personnels des personnes se trouvant dans l'EEE, dans la mesure où ce traitement a lieu alors que les Personnes concernées se trouvent dans cet espace et lorsque les activités de traitement sont liées à l'offre de biens ou de services ou au suivi du comportement de ces personnes au sein de l'EEE. Lorsque les conditions d'application précédemment décrites s'appliquent à des Renseignements personnels recueillis, utilisés, communiqués ou conservés par le cabinet, les dispositions du RGPD ont préséance sur la présente politique en cas de conflit.

12. Qui est responsable de l'application de la politique?

Le chef de la direction du cabinet délègue au chef, opérations juridiques et conformité la fonction de Responsable de la protection des renseignements personnels au terme de la LPRPSP et de la présente politique.

Il doit notamment veiller à la mise en place des mesures visant à assurer le respect des règles établies dans la présente politique, à la gestion adéquate des Incidents de confidentialité, participer à la réalisation des EFVP, établir un processus de traitement des demandes d'accès aux Renseignements personnels détenus par le cabinet et de traitement des plaintes concernant la protection des Renseignements personnels et publie sur le site internet du cabinet des informations détaillées au sujet de la présente politique et de la collecte de Renseignements personnels par l'entremise de moyens technologiques.

 

 

1 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE