POLITIQUE CADRE SUR LA GOUVERNANCE À L’ÉGARD DES RENSEIGNEMENTS PERSONNELS

Dernière mise à jour : 22 SEPTEMBRE 2023

1.PRÉAMBULE

Afin de s’acquitter de ses obligations en la matière, l’Entreprise s’est dotée de la présente Politique. Celle-ci énonce les principes cadres applicables à la protection des Renseignements personnels qu’elle détient tout au long du Cycle de vie de ceux-ci et aux droits des Personnes concernées.

Dans le cadre de ses activités et de sa mission, DHC Avocats (ci-après l’ « Entreprise ») traite des Renseignements personnels, notamment ceux de ses clients, ses employés et les autres personnes avec qui elle conduit ses affaires. À ce titre, l’Entreprise reconnait l’importance de respecter la vie privée et de protéger les Renseignements personnels qu’elle détient.

La protection des Renseignements personnels détenus par l’Entreprise incombe à toute personne qui traite ces renseignements. Celle-ci doit comprendre et respecter les principes de protection des Renseignements personnels inhérents à l’exercice de ses fonctions ou qui découlent de sa relation avec l’Entreprise.

2. OBJET

La présente Politique :

  • énonce les principes encadrant la gouvernance de l’Entreprise à l’égard des Renseignements personnels tout au long de leur Cycle de vie
  • énonce les droits des Personnes concernées et prévoit un processus de traitement des plaintes relatives à la protection des Renseignements personnels ;
  • définit les rôles et responsabilités du personnel en matière de protection des Renseignements personnels dans l’Entreprise ;

3. CADRE NORMATIF

La présente Politique s’inscrit dans un contexte régi notamment par les articles 35 à 40 du Code civil du Québec et la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1). Conformément à cette Loi, la présente Politique est accessible via le site Internet de l’Entreprise au lien suivant :  https://dhcavocats.ca/

L’Entreprise est un cabinet d’avocats assujetti aux lois et règlements qui régissent la profession d’avocat, notamment la Loi sur le Barreau et ses règlements, ainsi que les règles applicables au secret professionnel de l’avocat, lequel est reconnu par la Charte des droits et libertés de la personne (RLRQ, c. C-12).

4. DÉFINITIONS

Aux fins de la présente Politique, les termes suivants désignent :

« CAI » la Commission d’accès à l’information du Québec.

« Cycle de vie » l’ensemble des étapes visant le traitement d’un Renseignement personnel soit la collecte, l’utilisation, la communication, la conservation et la destruction de celui-ci.

« Évaluation des facteurs relatifs à la vie privée » ou « ÉFVP » la démarche préventive qui vise à mieux protéger les Renseignements personnels et à respecter la vie privée des personnes physiques. Elle consiste à considérer tous les facteurs qui auraient des conséquences positives et négatives sur le respect de la vie privée des Personnes concernées.

« Incident de confidentialité » désigne toute consultation, utilisation ou communication non autorisées par la loi d’un Renseignement personnel, ou toute perte ou autre atteinte à la protection de ce renseignement.

« Loi » désigne la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1).

« Personne concernée » désigne une personne physique à qui se rapportent les Renseignements personnels.

« Renseignement personnel » désigne toute information qui concerne une personne physique, dont une information nominative et qui permet de l’identifier directement — soit par le recours à cette seule information — ou indirectement — soit par combinaison avec d’autres informations.

« Renseignement personnel sensible » désigne tout Renseignement personnel qui, de par sa nature, notamment médicale, biométrique ou autrement intime, ou en raison de la manière dont il est utilisé ou communiqué, suscite un haut degré d’attente raisonnable en matière de vie privée.

« Responsable de la protection des renseignements personnels » ou « RPRP » désigne la personne qui, au sein de l’Entreprise, exerce cette fonction et veille à y assurer le respect et la mise en oeuvre de la Loi concernant la protection des Renseignements personnels.

5. CHAMP D’APPLICATION

La présente Politique s’applique aux Renseignements personnels détenus par l’Entreprise et à toute personne qui traite des Renseignements personnels que l’Entreprise détient.

6. TRAITEMENT DES RENSEIGNEMENTS PERSONNELS

La protection des Renseignements personnels est assurée tout au long de leur Cycle de vie dans le respect des principes suivants, sauf exception prévue par la Loi.

6.1 Collecte

6.1.1 L’Entreprise ne recueille que les Renseignements personnels nécessaires à la réalisation de sa mission et de ses activités. Avant de recueillir des Renseignements personnels, l’Entreprise détermine les fins de leur traitement. L’Entreprise ne recueille que les Renseignements personnels strictement nécessaires aux fins indiquées.

6.1.2 La collecte de Renseignements personnels se fait auprès de la Personne concernée.

6.1.3 Au moment de la collecte, et par la suite sur demande, l’Entreprise informe les Personnes concernées des éléments mentionnés ci-dessous, au moyen d’un avis ou, lorsque le Renseignement personnel est recueilli par un moyen technologique, au moyen d’une Politique de confidentialité :

  • les fins et les moyens par lesquels les Renseignements personnels sont recueillis ;
  • leurs droits quant à ces renseignements, notamment des droits d’accès et de rectification ;
  • leur droit de retirer leur consentement à la communication ou à l’utilisation des renseignements recueillis.

6.1.4 Sur demande, l’Entreprise informe les Personnes concernées des Renseignements personnels recueillis auprès d’elle, des catégories de personnes qui ont accès à ces renseignements au sein de l’Entreprise, de la durée de conservation de ces renseignements ainsi que des coordonnées du Responsable de la protection des renseignements personnels.

6.1.5 Lorsque la Loi exige l’obtention d’un consentement, celui-ci doit être manifeste, libre, éclairé et donné à des fins spécifiques. Il est demandé à chacune de ces fins, en termes simples et clairs. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé.

6.2 Utilisation

6.2.1 L’Entreprise n’utilise les Renseignements personnels qu’aux fins pour lesquelles ces renseignements ont été recueillis. Cependant, l’Entreprise peut utiliser les Renseignements personnels à d’autres fins si la Personne concernée y consent préalablement. Dans le cas d’un Renseignement personnel sensible, il ne pourra être utilisé à d’autres fins par l’Entreprise que suivant le consentement manifesté de façon expresse par la Personne concernée.

6.2.2 L’Entreprise peut également utiliser les Renseignements personnels à des fins secondaires sans le consentement de la Personne concernée, dans l’un ou l’autre des cas suivants :

  • lorsque l’utilisation est à des fins compatibles avec celles pour lesquelles les renseignements ont été recueillis ;
  • lorsque l’utilisation est manifestement au bénéfice de la Personne concernée ;
  • lorsque l’utilisation est nécessaire à des fins de prévention et détection de la fraude ou d’évaluation et d’amélioration des mesures de protection et de sécurité ;
  • lorsque l’utilisation est nécessaire à des fins de fourniture ou de livraison d’un produit ou de prestation d’un service demandé par la Personne concernée ;
  • lorsque l’utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques et que les renseignements sont dépersonnalisés.

6.2.3 Au sein de l’Entreprise, les membres du personnel ont instruction de n’accéder à un Renseignement personnel que s’ils ont qualité pour le connaître et seulement lorsque ce renseignement est nécessaire à l’exercice de leurs fonctions.

6.2.4 Lorsque la Loi le prévoit expressément, l’Entreprise entreprend une ÉFVP en vertu de l’article 7 des présentes afin de mitiger les risques identifiés.

6.3.   Communication

6.3.1 Sous réserve des exceptions prévues par la Loi, l’Entreprise ne peut communiquer des Renseignements personnels sans le consentement de la Personne concernée. Le consentement doit être donné expressément lorsque des Renseignements personnels sensibles sont en cause.

6.3.2 Lorsque des Renseignements personnels sont communiqués à un mandataire ou un fournisseur de services dans le cadre d’un mandat ou d’un contrat de services ou pour l’exécution d’un mandat, l’Entreprise doit conclure une entente par écrit avec le fournisseur de services ou le mandataire, en y indiquant les mesures qui devront être prises pour assurer la protection du caractère confidentiel des renseignements communiqués, pour que ceux-ci ne soient utilisés que dans le cadre du mandat ou l’exécution du contrat et détruit suivant son expiration, à moins que le mandataire ou fournisseur soit un organisme public au sens de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnes (chapitre A-2.1) ou un membre d’un ordre professionnel.

6.3.3 Lorsque les Renseignements personnels sont communiqués à des tiers à l’extérieur du Québec, l’Entreprise procède à une ÉFVP conformément à l’article 7 des présentes.

6.4.   Conservation

6.4.1 L’Entreprise prend des mesures raisonnables afin que les Renseignements personnels qu’elle détient soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis ou utilisés.

6.4.2 Les Renseignements personnels sont conservés dans des classeurs sécurisés dans les bureaux de l’Entreprise (ou dans les bureaux des fournisseurs de service d’archivage avec qui nous faisons affaires) ou sur notre serveur central, dans des répertoires accessibles uniquement par code d’utilisateur et mot de passe.

6.4.3 L’Entreprise conserve les Renseignements personnels aussi longtemps que nécessaire pour mener ses activités. Par ailleurs, les dossiers de nos avocats sont conservés en conformité avec le Règlement sur la comptabilité et les normes d’exercice professionnel des avocats (c. B-1, r. 5), qui impose notamment une durée minimale de conservation.

6.5.        Destruction et anonymisation

6.5.1. Lorsque sont atteintes les finalités pour lesquelles les Renseignements personnels ont été collectés, ces renseignements sont détruits ou anonymisés, sous réserve d’un délai de conservation prévu par une loi ou un règlement, dont notamment le Règlement sur la comptabilité et les normes d’exercice professionnel des avocats (c. B-1, r. 5), qui impose notamment une durée minimale de conservation.

7. ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE

7.1 L’Entreprise réalise une ÉFVP dans le contexte des traitements suivants de Renseignements personnels :

  • un projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services qui implique des Renseignements personnels ;
  • avant de communiquer des Renseignements personnels à l’extérieur du Québec ou confier à une personne ou à un organisme à l’extérieur du Québec le soin de recueillir, utiliser, communiquer ou de conserver de tels renseignements pour son compte ;
  • avant de communiquer des Renseignements personnels sans le consentement des Personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques ;

7.2. La réalisation d’une ÉFVP sert à démontrer que l’Entreprise a respecté ses obligations en matière de protection des Renseignements personnels et que des mesures ont été prises afin de protéger efficacement ces renseignements.

7.3 En effectuant une ÉFVP, l’Entreprise tient compte de la sensibilité des Renseignements personnels à être traités, des fins de leur utilisation, de leur quantité, de leur distribution et de leur support, ainsi que de la proportionnalité des mesures proposées pour protéger les Renseignements personnels.

7.4 De plus, lorsque les Renseignements personnels sont communiqués à l’extérieur du Québec, l’Entreprise s’assure que ceux-ci bénéficient d’une protection adéquate, notamment au regard des principes de protection des Renseignements personnels généralement reconnus.

8. ACTIVITÉS DE RECHERCHE ET ACCÈS AUX RENSEIGNEMENTS PERSONNELS

8.1. Des chercheurs peuvent demander l’accès à des Renseignements personnels à des fins de recherche. Une telle demande doit être soumise au RPRP de l’Entreprise et faire l’objet d’une ÉFVP conformément à l’article 7 de la présente Politique.

8.2. Lorsque l’ÉFVP conclut que des Renseignements personnels peuvent être communiqués à cette fin, l’Entreprise doit conclure une entente avec les chercheurs qui contient les dispositions contractuelles requises par la Loi et toute mesure supplémentaire identifiée dans l’ÉFVP.

9. DROITS DES PERSONNES CONCERNÉES

9.1. Sous réserve de ce que prévoient les lois applicables, toute Personne concernée dont les Renseignements personnels sont détenus par l’Entreprise dispose notamment des droits suivants :

  • le droit d’obtenir confirmation de l’existence et d’obtenir une copie des Renseignements personnels détenus par l’Entreprise, que ce soit en format électronique ou non électronique ;
    • – à moins que cela ne soulève des difficultés pratiques sérieuses, un Renseignement personnel informatisé recueilli auprès d’une Personne concernée, et non pas créé ou inféré à partir d’un Renseignement personnel la concernant, lui est communiqué dans un format technologique structuré et couramment utilisé, à sa demande. Ce renseignement est aussi communiqué, à sa demande, à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement.
  • le droit de faire rectifier tout Renseignement personnel incomplet ou inexact détenu par l’Entreprise ;

9.2. Bien que le droit d’accès puisse être exercé en tout temps, l’accès aux documents contenant ces renseignements est assujetti à certaines exceptions identifiées dans la Loi.

9.3. Des frais raisonnables peuvent être exigés du requérant pour la transcription, la reproduction ou la transmission des renseignements. Le cas échéant, l’Entreprise informe la Personne concernée du montant approximatif des frais avant de traiter sa demande.

9.4. Les demandes d’accès aux Renseignements personnels ou de rectification par les Personnes concernées doivent être faites par écrit adressé au RPRP, aux coordonnées indiquées ci-dessous, par une personne physique justifiant de son identité à titre de Personne concernée, à titre de représentant, d’héritier ou de successible de cette dernière, à titre de liquidateur de la succession, à titre de bénéficiaire d’assurance-vie ou d’indemnité de décès, à titre de titulaire de l’autorité parentale même si l’enfant mineur est décédé ou à titre de conjoint ou de proche parent d’une personne décédée, conformément à la Loi. Le RPRP de l’Entreprise y répondra par écrit au plus tard dans les 30 jours de la date de réception de la demande.

Coordonnées du Responsable de la protection des renseignements personnels :

Me Alexandre Lacasse, avocat associé

800, rue du Square-Victoria, bureau 4500
Montréal QC H3C 0B4

Téléphone :       514 392-5722
Télécopieur :     514 331-0514

Courriel :            alacasse@dhcavocats.ca

9.5. Le droit d’accès ou de rectification ne s’applique qu’aux Renseignements personnels existants.

10. TRAITEMENT DES PLAINTES

Toute plainte relative à la protection des Renseignements personnels par l’Entreprise doit être transmise par écrit au RPRP, lequel doit y répondre par écrit dans un délai de 30 jours.

11. SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS

11.1. L’Entreprise met en place des mesures de sécurité raisonnables afin d’assurer la confidentialité, l’intégrité et la disponibilité des Renseignements personnels recueillis, utilisés, communiqués, conservés ou détruits. Ces mesures tiennent notamment compte du degré de sensibilité des Renseignements personnels, de la finalité de leur collecte, de leur quantité, de leur localisation et de leur support.

12. INCIDENTS DE CONFIDENTIALITÉ

12.1. Tout Incident de confidentialité est pris en charge conformément à la Loi. L’Entreprise prend alors les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.

12.2. Tout Incident de confidentialité est signalé au RPRP et est consigné au registre des Incidents de confidentialité.

12.3. Si l’Incident de confidentialité présente un risque de préjudice sérieux pour les Personnes concernées, l’Entreprise avise celles-ci avec diligence ainsi que la CAI. Elle peut également aviser toute personne ou tout organisme susceptible de diminuer ce risque, en ne lui communiquant que les Renseignements personnels nécessaires à cette fin sans le consentement de la Personne concernée. Cette communication est enregistrée par le RPRP. Toutefois, la Personne concernée n’a pas à être avisée tant que cela serait susceptible d’entraver une enquête par une personne ou un organisme chargé par la loi de prévenir, détecter ou réprimer le crime ou les infractions aux lois.

12.4. Le registre des Incidents de confidentialité comprend :

  • une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description ;
  • une brève description des circonstances de l’incident ;
  • la date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période ;
  • la date ou la période au cours de laquelle l’Entreprise a pris connaissance de l’incident ;
  • le nombre de Personnes concernées par l’incident ou, s’il n’est pas connu, une approximation de ce nombre ;
  • une description des éléments qui amènent l’Entreprise à conclure qu’il existe ou non un risque qu’un préjudice sérieux soit causé aux Personnes concernées, tels que la sensibilité des renseignements personnels concernés, les utilisations malveillantes possibles de ces renseignements, les  conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables ;
  • si l’incident présente un risque qu’un préjudice sérieux soit causé, les dates de transmission des avis à la CAI et aux Personnes concernées ;
  • une brève description des mesures prises par l’Entreprise, à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé.

13. RÔLES ET RESPONSABILITÉS

13.1. La protection des Renseignements personnels que l’Entreprise détient repose sur l’engagement de tous ceux qui traitent ces renseignements :

13.2. Le RPRP :

  • s’assure de la protection des Renseignements personnels tout au long de leur Cycle de vie, de la collecte à la destruction ;
  • identifie les principaux risques en matière de protection de Renseignements personnels et en avise la direction afin que des mesures correctives soient proposées ;
  • approuve la présente Politique sur la gouvernance en matière de protection des Renseignements personnels et toute modification à celle-ci ;
  • se conforme aux exigences liées aux demandes d’accès ou de rectification, y compris :
    • prêter assistance au requérant pour identifier les renseignements recherchés, sur demande du requérant ou lorsque sa demande est imprécise ;
    • répondre par écrit à la demande dans un délai de 30 jours ;
    • motiver tout refus d’acquiescer à une demande d’accès ou de rectification et indiquer la disposition de la Loi sur laquelle ce refus s’appuie, les recours qui s’offrent à lui et le délai dans lequel ils peuvent être exercés ;
    • à la demande du requérant, lui prêter assistance pour l’aider à comprendre la décision le concernant ;
    • veiller à ce que le renseignement faisant l’objet de la demande soit conservé le temps requis pour permettre au requérant d’épuiser les recours prévus à la Loi.
  • en cas d’Incident de confidentialité, indique les informations dans le registre prévu à l’article 12.4 de la présente Politique et participe à l’évaluation du risque de préjudice sérieux lié à un Incident de confidentialité, notamment eu égard à la sensibilité des renseignements visés, aux conséquences anticipées de leur utilisation et à la probabilité que ces renseignements soient utilisés à des fins malveillantes ;
  • le cas échéant, effectue des vérifications des obligations de confidentialité en lien avec la communication de Renseignements personnels dans le cadre de mandats ou de contrats de services confiés à des tiers conformément à l’article 6.3.2 de la présente Politique ;
  • étudie toute question d’intérêt touchant la protection des renseignements personnels.

13.3 L’associé directeur :

  • veille à la protection des Renseignements personnels au sein de l’Entreprise et s’assure que les mesures de sécurité relatives aux Renseignements personnels sont correctement appliquées;
  • fait connaître la présente Politique aux employés et membres du personnel de l’Entreprise et s’assure de son application et son respect par ceux-ci ;
  • participe à la sensibilisation de chaque employé et membre du personnel aux règles et aux enjeux relatifs à la protection des Renseignements personnels ;
  • est responsable de la qualité de la gestion de la protection des renseignements personnels et de l’utilisation de toute infrastructure technologique de l’Entreprise  à cette fin ;
  • apporte les appuis financiers et logistiques nécessaires à la mise en œuvre et au respect de la présente Politique ;
  • s’assure que les valeurs et les orientations de l’Entreprise en matière de protection des Renseignements personnels soient partagées et véhiculées par tout gestionnaire et employé de l’Entreprise ;
  • exerce son pouvoir d’enquête et applique les sanctions appropriées aux circonstances en cas de non-respect de la présente Politique ;

13.4 Toute personne qui traite des Renseignements personnels que l’Entreprise détient ou qui y a accès :

  • agit avec précaution et intègre les principes énoncés à la présente Politique à ses activités ;
  • n’accède qu’aux renseignements nécessaires à l’exercice de ses fonctions ;
  • n’intègre et ne conserve des renseignements que dans les dossiers destinés à l’accomplissement de ses fonctions ;
  • conserve ces dossiers de manière à ce que seules les personnes autorisées y aient accès ;
  • protège l’accès aux Renseignements personnels en sa possession ou auxquels elle a accès par un mot de passe ;
  • s’abstient de communiquer les Renseignements personnels dont elle prend connaissance dans l’exercice de ses fonctions, à moins d’être dûment autorisée à le faire ;
  • s’abstient de conserver, à la fin de son emploi ou de son contrat, les Renseignements personnels obtenus ou recueillis dans le cadre de ses fonctions et maintient ses obligation de confidentialité ;
  • détruit tout Renseignement personnel conformément à l’article 6.5.1 de la présente Politique ;
  • signale au RPRP tout manquement, Incident de confidentialité ou toute autre situation ou irrégularité qui pourrait compromettre de quelque façon que ce soit la sécurité, l’intégrité ou la confidentialité de Renseignements personnels ;
  • collabore avec le RPRP pour répondre avec diligence à toute demande de celui-ci.

14. SANCTIONS

Tout employé de l’Entreprise qui contrevient à la présente Politique ou aux lois et à la réglementation en vigueur applicables en matière de protection de Renseignements personnels s’expose, en plus des pénalités prévues aux lois, à une mesure disciplinaire pouvant notamment mener à une mesure disciplinaire et pouvant aller jusqu’au congédiement. L’associé directeur est chargé de décider de l’opportunité d’appliquer la sanction appropriée, le cas échéant. L’Entreprise peut également transmettre à toute autorité judiciaire les informations colligées sur tout employé, qui portent à croire qu’une infraction à l’une ou l’autre loi ou règlement en vigueur en matière de protection de renseignements personnels a été commise.

15. MISE À JOUR

De manière à suivre l’évolution du cadre normatif applicable en matière de protection des Renseignements personnels et à améliorer le programme de protection des Renseignements personnels de l’Entreprise, la présente Politique pourra être mise à jour au besoin. Veuillez consulter la version publiée sur le site Web de l’Entreprise pour consulter la version la plus récente.