Politique en cas de violation de la vie privée

SECTION 1 - INTRODUCTION

1.1 Objectif

L'objectif de cette politique est de fournir des orientations en cas de violation de la confidentialité des informations personnelles ou confidentielles des clients, du personnel ou des clients de Precise Parklink Inc. ("Precise").

Cette politique fournit des orientations sur les mesures raisonnables nécessaires pour limiter la violation, soutenir une enquête efficace et aider à la remédiation.

SECTION 2 - POLITIQUE 

2.1 Politique

Precise a pour politique de prévenir les atteintes à la vie privée en adoptant une culture de la vie privée, de la sécurité et de la responsabilité en adhérant à tous les protocoles de protection de la vie privée détaillés dans la politique de Precise en matière de protection de la vie privée. Si une atteinte à la vie privée survient à la suite de la perte, du vol ou de l'accès non autorisé à des informations personnelles ou confidentielles, l'impact de l'atteinte doit être maîtrisé et une réponse rapide, raisonnable et coordonnée doit être apportée à l'atteinte, conformément à la présente politique.

SECTION 3 - RESPONSABILITÉ ET PROCÉDURE

3.1 Protocole de violation de la vie privée

Les cinq étapes suivantes seront mises en œuvre dès qu'une violation de la vie privée, ou une violation présumée, aura été signalée. 

3.1.1 Étape 1 - Rapport et évaluation

Rapport

Dès qu'il a connaissance d'une éventuelle violation d'informations personnelles ou confidentielles, l'employé de Precise signale rapidement la violation présumée à son supérieur hiérarchique. Il en sera ainsi même si la violation est suspectée et non encore confirmée. Le responsable signalera rapidement la violation présumée au vice-président chargé de l'information et de la technologie ("vice-président chargé de l'informatique"). Le gestionnaire signalera rapidement l’atteinte présumée au Vice-président chargé de l'information et de la technologie (« VP de la TI »). Le VP de la TI évaluera :

  • Ce qui s'est passé.

  • Lieu de l'incident.

  • Date de l'incident présumé.

  • Comment la violation potentielle a été découverte.

  • L'endroit où l'information a été violée, par exemple : technologie, dossiers papier, oralement. 

  • Mesures correctives prises lors de la découverte de l'éventuelle violation.

ɱ¹²¹±ô³Ü±ð°ù

Le VP de la TI évaluera également la violation en posant les questions suivantes :

Q1) Des informations personnelles ou confidentielles sont-elles concernées ?

                         oui non

Q2) Des informations personnelles ou confidentielles ont-elles été collectées, utilisées, divulguées ou conservées sans autorisation ?  

 oui non

Q3) Des informations personnelles ou confidentielles ont-elles été perdues ou volées ?

                         oui non

Si la réponse est "oui" à la question 1 et "oui" aux questions 2 ou 3, on peut supposer qu'une infraction a été commise.

3.1.2 Étape 2 - Confinement

Le confinement consiste à prendre des mesures correctives immédiates pour mettre fin à la pratique non autorisée qui a conduit à une violation. Par exemple, les mesures correctives peuvent consister à récupérer les dossiers perdus ou volés, à révoquer/modifier les codes d'accès ou à corriger les faiblesses d'un système de sécurité électronique. L'objectif principal est d'atténuer les conséquences pour les personnes dont les informations personnelles ou confidentielles ont été impliquées et pour Precise. 

3.1.3 Étape 3 - Enquêter

Une fois que la violation de la vie privée est confirmé et contenu, le VP de la TI mène une enquête pour déterminer la cause et l'étendue de la violation :

  1. Identifier et analyser les événements qui ont conduit à la violation de la vie privée.  

  2. ɱ¹²¹±ô³Ü±ð°ù si la violation est un incident isolé ou s'il existe un risque d'autres violations de la vie privée. 

  3. Déterminer qui a été affecté par la violation, par exemple les clients ou le personnel, et combien de personnes ont été touchées.

  4. ɱ¹²¹±ô³Ü±ð°ù l'effet des activités de confinement.

  5. ɱ¹²¹±ô³Ü±ð°ù qui a eu accès à l'information.

  6. Déterminer si les informations ont été perdues ou volées.

  7. ɱ¹²¹±ô³Ü±ð°ù si les informations personnelles ou confidentielles ont été récupérées.

3.1.4 Étape 4 - Notification

Le VP de la TI consultera le service juridique pour déterminer les notifications nécessaires. Voici quelques éléments à prendre en considération :

  1. Notification aux autorités/autres organisations. Exemples : application de la loi, la Commission d'accès à l'information du Québec, sociétés de cartes de crédit, institutions financières, etc.

  2. La perte ou le vol d'informations expose-t-il une personne à un risque d'atteinte à son intégrité physique, de traque ou de harcèlement ?

  3. Existe-t-il un risque d'usurpation d'identité ? Dans quelle mesure ce risque est-il raisonnable ?

Chronologie

Les personnes concernées doivent être rapidement informées et recevoir la première notification dès que possible après la survenance de la violation. D'autres communications avec les personnes concernées peuvent avoir lieu au cours du processus, au fur et à mesure des mises à jour.

²Ñé³Ù³ó´Ç»å±ð

La méthode de notification sera déterminée en fonction de la nature et de l'ampleur de la violation et d'une manière qui soit raisonnable pour garantir que la personne concernée la recevra. La notification directe, par exemple par téléphone, par lettre, par courrier électronique ou en personne, est utilisée lorsque les personnes concernées sont identifiées. Lorsque les personnes concernées ne sont pas totalement connues, des communiqués de presse, des avis sur le site web ou des lettres aux clients peuvent être envisagés. 

Responsabilité de la notification

Si la violation concerne des informations relatives à des clients, c'est le responsable du programme concerné qui sera chargé de la notification. Si la violation concerne des informations personnelles du personnel de Precise, c'est le service des ressources humaines qui sera chargé de la notification. S'il s'agit d'informations concernant un client de Precise, c'est le service marketing qui sera chargé de la notification.

Dans le cas où il y a un risque élevé de publicité à la suite de l’atteinte, le Chef de l’exploitation sera responsable de la notification. Le cas échéant, il sera déterminé s'il convient de faire appel à des médias externes ou à des relations publiques en raison de la gravité de l’atteinte.

La notification comprendra

  • Description de l'incident et du moment où il s'est produit

  • Description des informations concernées

  • La nature des risques ou dommages potentiels ou réels

  • Quelles sont les mesures prises/en cours de prise en charge ?

  • Toute mesure appropriée à prendre par le(s) individu(s) afin de se protéger contre les dommages.

  • Une personne de contact pour les questions ou pour fournir des informations complémentaires

3.1.5 Étape 5 - Prévention des violations futures

Une fois l’atteinte résolue, le VP de la TI travaillera avec le gestionnaire pour élaborer un plan de prévention ou prendre les mesures correctives qui s'imposent, et fera rapport au chef des opérations pour obtenir les approbations nécessaires. Les activités de prévention peuvent comprendre : des audits, l'examen des politiques, des procédures et des pratiques, la formation des employés ou l'examen de la prestation de services.

3.2 Registres d'incidents

Precise tiendra un registre historique des incidents liés à la protection de la vie privée, qui contiendra, sans s’y limiter les informations suivantes : date de l’incident, description de l’incident, mesures correctives prises.

Mise à jour du 21 mars 2025