Politique LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques
Intention
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) établit les règlements qui gouvernent la cueillette, l’usage et le dévoilement des renseignements personnels d’une manière qui reconnaît le droit à la confidentialité des personnes relativement à leurs renseignements personnels et le besoin pour les organismes de recueillir, d’utiliser ou de dévoiler les renseignements personnels à des fins qu’une personne raisonnable considèrerait appropriées selon les circonstances. Driven Brands Canada est déterminée à protéger et à respecter les renseignements personnels de ses clients, employés, partenaires commerciaux et de toutes les autres entités avec lesquelles elle interagit selon la LPRPDE. Cette politique fournit les directives nécessaires pour s’assurer que Driven Brands Canada reste conforme aux exigences de la LPRPDE.
Définitions
Bris de mécanismes de sécurité – La perte, l’accès non autorisé ou le dévoilement non autorisé de renseignements personnels en raison d’un bris des mécanismes de sécurité d’un organisme, ou l’échec à établir ces mesures de sécurité.
Renseignements personnels – Les renseignements sur une personne identifiable.
Mécanismes de sécurité – Les mécanismes de sécurité comprennent les suivants :
- Des mesures physiques, par exemple le verrouillage des classeurs de fichiers et un accès restreint aux bureaux;
- Des mesures organisationnelles, par exemple des habilitations de sécurité et un accès limité selon la base « en cas de nécessité absolue »; et
- Des mesures technologiques, par exemple l’usage de mots de passe et de cryptage.
Préjudice important – Comprenant lésion corporelle, humiliation, préjudice à la réputation ou aux relations, perte d’emploi, d’occasions commerciales ou professionnelles, perte financière, vol d’identité, effets négatifs sur le dossier de crédit et dommage ou perte de biens.
Directives
Conformité
Les directives suivantes ont été mises en place pour s’assurer que Driven Brands Canada demeure conforme aux exigences de la LPRPDE. Les renseignements personnels des employés, des clients, des consommateurs, des partenaires commerciaux, et ainsi de suite doivent être gérés de manière à répondre aux exigences suivantes de la LPRPDE:
- Tous les renseignements personnels en possession ou sous la garde de Driven Brands Canada doivent être protégés de manière appropriée.
- Les personnes doivent être informées à savoir pourquoi leurs renseignements personnels sont recueillis.
- Le consentement doit être obtenu pour recueillir les renseignements.
- Le consentement d’une personne n’est valide que s’il est raisonnable de s’attendre à ce que la personne comprenne la nature, l’objectif et les conséquences de la cueillette, de l’usage ou du dévoilement des renseignements personnels.
- Les renseignements personnels ne peuvent être recueillis sans le consentement:
- si la cueillette est clairement dans l’intérêt de la personne et que son consentement ne peut être obtenu en temps voulu;
- si les renseignements ont été produits par la personne au cours de leur emploi, commerce ou profession, et que la cueillette est consentie à des fins pour lesquelles les renseignements ont été fournis;
- si la cueillette est faite à des fins de dévoilement; ou
- pour toute autre raison tel qu’il est défini à la section 7 (1) de la LPRPDE.
- Les personnes ont le droit de retirer leur consentement.
- Les renseignements personnels recueillis ne sont recueillis, utilisés ou dévoilés qu’à des fins qu’une personne raisonnable pourrait considérer appropriées dans les circonstances.
- Les renseignements personnels ne sont utilisés qu’à des fins pour lesquelles ils ont été recueillis, sauf avec le consentement de la personne ou tel qu’il est exigé par la loi.
- Les renseignements personnels sont conservés seulement pour une période de temps raisonnablement exigée.
- Les renseignements personnels qui ne sont plus nécessaires sont détruits de manière sécuritaire, sûre et efficace (par ex. : déchiquetage).
- Tous les renseignements personnels recueillis sont précis.
- Les personnes ont le droit d’avoir accès à leurs renseignements personnels et d’y apporter les corrections appropriées.
- La sécurité et les mécanismes de sécurité appropriés sont utilisés pour protéger les renseignements personnels.
- L’accès aux renseignements personnels est limité au personnel autorisé qui a un besoin légitime d’accéder aux renseignements.
- De façon générale, le consentement doit être obtenu avant le dévoilement des renseignements personnels à une tierce partie.
- Le consentement à dévoiler les renseignements personnels à une tierce partie n’est pas nécessaire si :
- Driven Brands Canada a des motifs raisonnables de croire que les renseignements pourraient être utiles à l’enquête d’une contravention aux lois du Canada, d’une province/d’un territoire, ou d’une juridiction étrangère, et que les renseignements sont utilisés à des fins d’enquête de cette contravention;
- les renseignements sont utilisés aux fins d’agir relativement à une urgence qui menace la vie, la santé ou la sécurité d’une personne;
- les renseignements ont été produits par la personne au cours de leur emploi, commerce ou profession, et l’usage est conséquent aux fins pour lesquelles les renseignements ont été produits; ou
- d’autres circonstances sont respectées, tel qu’il est défini à la section 7. (2) de la LPRPDE.
- Les formes de renseignements recueillies doivent être identifiées et communiquées à la personne ainsi que la raison de la cueillette de ces formes de renseignements.
- Les personnes doivent être avisées et leur consentement obtenu avant d’utiliser leurs renseignements personnels pour quelque raison que ce soit, autre que celles fournies au moment de la cueillette.
En plus des exigences ci-dessus, Driven Brands Canada désignera un représentant qui sera responsable de la conformité de l’entreprise envers la LPRPDE. Le représentant sera responsable de la gestion des politiques et des procédures sur les renseignements personnels de Driven Brands Canada.
- Le représentant sera le Gestionnaire à la protection de la vie privée.
Le représentant de la LPRPDE aura les responsabilités suivantes :
- Développer et mettre en place les politiques et les pratiques en vertu de la LPRPDE, notamment :
- Des procédures qui s’adressent à la cueillette, l’usage, le maintien, la destruction et la gestion des renseignements personnels;
- Des procédures pour protéger les renseignements personnels;
- Des procédures pour les plaintes et les demandes; et
- La formation du personnel sur les obligations envers la LPRPDE.
- Employer les accords/contrats sur la confidentialité pour s’assurer de protéger les renseignements personnels lorsque les renseignements doivent être fournis à une tierce partie.
- Revoir les politiques, les pratiques et les procédures chaque année, ou au besoin, pour y apporter les révisions appropriées.
Bris des mécanismes de sécurité
Rapporter les bris
Si Driven Brands Canada s’aperçoit qu’un bris de nos mécanismes de sécurité a compromis la confidentialité des renseignements personnels conservés par l’entreprise, les mesures suivantes seront prises :
- Le Gestionnaire à la protection de la vie privée a la responsabilité de coordonner la réponse au bris et à s’assurer que toutes les mesures raisonnables sont prises pour répondre au bris.
- Le Gestionnaire à la protection de la vie privée avisera le Commissaire à la protection de la vie privée du bris selon la forme et la manière décrites aussitôt que possible une fois que Driven Brands Canada aura déterminé qu’un bris est survenu.
- Driven Brands Canada se conformera autant que peut se faire et de manière opportune aux demandes, ordres et autres instructions du bureau du Commissaire à la protection de la vie privée afin de réagir et de répondre au bris de sécurité.
- Driven Brands Canada maintiendra des dossiers de chaque bris des mécanismes de sécurité et fournira au Commissaire à la protection de la vie privée accès au dossier du bris, ou un exemplaire du dossier du bris, à la demande du Commissaire.
Aviser les personnes touchées
Déterminer si un risque réel de préjudice important existe
Driven Brands Canada évaluera les facteurs suivants pour déterminer si un bris de sécurité constitue un risque réel de préjudice important à une personne ou à des personnes :
- La nature délicate des renseignements personnels impliqués dans le bris;
- La probabilité que les renseignements personnels aient été, soient ou seront mal utilisés; et
- Tout autre facteur prescrit.
Notifications
(Insert Title of Appropriate Authority) a la responsabilité de s’assurer que toutes les personnes touchées par le bris pour lesquelles le bris crée un risque réel de préjudice important sont avisées dès que possible, selon toutes les restrictions légales. Les notifications devront :
- contenir assez d’information pour permettre à la personne de comprendre l’importance du bris pour elle et de prendre les mesures, si possible, pour en réduire le risque de préjudice ou pour atténuer ce préjudice.
- contenir tous les autres renseignements prescrits.
- être bien visibles et remis directement ou indirectement à la personne selon la forme et la manière prescrites et légalement nécessaires selon la situation.
- être remis aussitôt que possible après que l’entreprise ait déterminé que le bris soit survenu.
En plus de la (des) personne(s) touchée(s) par le bris, Driven Brands Canada pourra aviser les autres parties du bris ou dévoiler les renseignements personnels relatifs au bris, selon les directives suivantes:
- Driven Brands Canada avisera d’autres entreprises, institutions gouvernementales ou partie d’institutions gouvernementales s’il est jugé que ce faire peut réduire ou atténuer le préjudice du bris.
- Driven Brands Canada peut dévoiler les renseignements personnels sans l’accord ou le consentement de la personne si:
- le dévoilement est fait à d’autres entreprises, une institution gouvernementale ou une partie d’une institution gouvernementale qui a été avisée du bris, et
- le dévoilement est fait uniquement à des fins de réduire le risque de préjudice à la personne qui pourrait découler du bris ou atténuer ce préjudice.
Politique de confidentialité (LPRPDE des fichiers des clients)
Intention
Driven Brands Canada a adopté cette politique pour s’assurer que tous les employés de Driven Brands Canada soient informés de notre engagement envers la confidentialité et la protection des renseignements des clients.
Protéger la vie privée et la confidentialité des renseignements personnels est un aspect important de la façon dont Driven Brands Canada dirige son entreprise. La cueillette, l’usage et le dévoilement des renseignements personnels de manière appropriée, responsable et éthique sont fondamentaux aux opérations quotidiennes de Driven Brands Canada.
Driven Brands Canada s’efforce de protéger et de respecter les renseignements personnels de ses clients, de ses employés, de ses partenaires commerciaux, et ainsi de suite selon les lois provinciales et fédérales applicables. Chaque membre du personnel de Driven Brands Canada doit respecter les procédures et les pratiques de l’entreprise lors du traitement des renseignements personnels.
Directives
Exigences de confidentialité
Selon la Politique de confidentialité et la LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques), Driven Brands Canada exige que tous ses employés traitent les renseignements sensibles et personnels des clients de manière confidentielle et appropriée. Il est entendu que les employés de Driven Brands Canada seront informés de renseignements confidentiels concernant nos clients dans le cadre de leur emploi. Les employés reconnaissent que si des renseignements confidentiels ne sont pas protégés efficacement, les activités de Driven Brands Canada pourraient être menacées et que le bien-être et la confidentialité de nos clients pourraient en souffrir de manière irréparable.
Les employés de Driven Brands Canada doivent maintenir confidentiels tous les renseignements confidentiels et médicaux pertinents concernant l’entreprise et nos clients pendant leur durée de leur emploi et par la suite. Ces pratiques ont été adoptées puisqu’elles ont été jugées essentielles pour protéger Driven Brands Canada , et le bien-être et la vie privée de nos clients.
Entente de confidentialité
Les éléments suivants sont classés en tant que renseignements confidentiels :
- Les listes de clients
- Les antécédents médicaux des clients
- Les renseignements personnels des clients
- La recherche médicale
- Les relations de travail
- La planification, les politiques ou les procédures relatives aux ressources humaines
- Les renseignements, les statuts et les relevés financiers de l’entreprise
- Tout renseignement ou document étiqueté « confidentiel » de l’entreprise ou inscrit comme tel dans une note de service distincte, ou dans un courriel qui indique son statut confidentiel.
- Tout renseignement relatif aux clients de Driven Brands Canada , aux clients et aux visiteurs.
Tout renseignement relatif à l’Entreprise qui est ouvertement du domaine public ne pourra pas être considéré comme étant « confidentiel ». Dans l’éventualité où un employé peut prouver que ce renseignement était détenu avant d’être reçu de Driven Brands Canada , ou que le renseignement a été obtenu d’une tierce partie sans lien, ledit renseignement ne sera pas classé comme étant « confidentiel ».
Non-divulgation
En travaillant pour Driven Brands Canada, les employés ne doivent pas divulguer, dévoiler, fournir ou distribuer de Renseignements confidentiels à une tierce partie qui n’est pas à l’emploi de Driven Brands Canada à tout moment, à moins que Driven Brands Canada donne son autorisation écrite. De plus, les Renseignements confidentiels ne doivent pas être utilisés à d’autres fins que leur usage raisonnable dans le cadre de l’exécution normale des tâches de l’emploi chez Driven Brands Canada.
Propriété de l’entreprise
Au moment de leur cessation d’emploi chez Driven Brands Canada , les employés doivent retourner rapidement (sans photocopier ou résumer) tout matériel relatif aux activités de Driven Brands Canada en leur possession, notamment, mais sans s’y limiter : tous les renseignements sur les clients (tableaux, listes, etc.), toutes propriétés physiques, documents, clés, supports de données, manuels, lettres, notes et rapports.
Texte légal
Le présent accord ne remplacera pas toute obligation légale à distribuer des renseignements lorsqu’il est exigé de le faire devant un tribunal.