Protection des renseignements personnels
1. Objectif
Trans-Canada Capital Inc. (« TCC ») est une société canadienne domiciliée dans la province de Québec. À cet effet, elle est assujettie à la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi québécoise sur la protection des renseignements personnels ») et à la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »), telles qu’amendées de temps à autre.
TCC a créé la présente politique sur la protection des renseignements personnels (la « politique ») afin de se conformer à ces lois et de définir les responsabilités et pratiques de TCC en ce qui a trait à la collecte, à l’utilisation, à la divulgation, à la conservation et à la destruction des renseignements personnels. La politique décrit également les procédures adoptées par TCC concernant les réponses aux violations de données, les droits et les demandes des personnes concernées et les plaintes relatives au traitement des renseignements personnels.
La présente politique s’applique à un grand nombre de personnes concernées, telles que définies ci-dessous, y compris les clients, les clients potentiels, les employés et les visiteurs Web de TCC.
Dans certains cas, TCC peut fournir à ces personnes des renseignements supplémentaires sur le traitement des renseignements personnels au moment où ces renseignements sont recueillis auprès d’elles. De plus, TCC peut obtenir le consentement précis de ces personnes pour l’utilisation ou la divulgation de leurs renseignements personnels lorsque la loi l’exige.
2. Définitions
Dans la présente politique, les termes suivants ont la signification indiquée ci-dessous, sauf à l’indication contraire du contexte.
Les « renseignements personnels » sont des renseignements concernant une personne physique identifiable, mais ils ne comprennent pas le nom, le titre et l’adresse professionnelle ou le numéro de téléphone professionnel d’un employé. Les renseignements personnels n’incluent pas les renseignements accessibles au public.
Les « renseignements personnels sensibles » sont des renseignements personnels qui impliquent un niveau élevé d’attente raisonnable en matière de vie privée en raison de leur nature sensible. Cela inclut, mais sans s’y limiter, les informations médicales et biométriques. Certains renseignements personnels présentés dans les documents d’identification émis par le gouvernement sont considérés comme sensibles.
La « violation de données » désigne l’accès, l’utilisation ou la divulgation non autorisés de renseignements personnels, la perte de renseignements personnels ou toute autre manquement similaire. Cela inclut, mais sans s’y limiter, l‘hameçonnage (en anglais « phishing »), le déploiement de logiciels malveillants, les attaques de ransomware et l’envoi d’informations à la mauvaise adresse courriel.
Les « personnes concernées » sont les personnes physiques concernées par la collecte, l’utilisation, la conservation et la destruction des renseignements personnels par TCC.
3. Collecte, utilisation et divulgation des renseignements personnels
3.1 Renseignements collectés
La collecte de renseignements personnels est limitée à ce qui est raisonnablement nécessaire pour atteindre les fins pour lesquelles ces renseignements ont été recueillis.
TCC peut recueillir des renseignements personnels entre autres auprès de clients potentiels, de clients et d’employés. Les renseignements personnels recueillis par TCC dépendront de la relation de la personne concernée avec TCC.
Par exemple, TCC peut recueillir les renseignements suivants auprès de ses clients :
- Identificateurs personnels, y compris le nom, les coordonnées, le numéro de passeport, le numéro de permis de conduire, le numéro d’assurance médicale et la date de naissance;
- Informations commerciales, y compris le montant à investir, les actifs détenus par le client et les produits achetés;
- Informations collectées à des fins de blanchiment d’argent et de connaissance du client (en anglais « KYC »);
- Informations liées à l’emploi, telles que le titre professionnel et la profession.
TCC recueillera également ces renseignements auprès de ses employés lorsque ceux-ci investissent dans des fonds gérés par TCC.
Lorsque la collecte de renseignements personnels est limitée à des fins d’emploi, TCC ne recueillera que certains des renseignements énumérés ci-dessus.
Enfin, TCC peut recueillir des renseignements Web tels que les adresses de protocole Internet, le type d’appareil, les cookies et les activités de navigation des personnes qui ont consulté le site Web de TCC.
3.2 Moyens de collecte
TCC recueillera des renseignements personnels directement auprès des personnes concernées au moyen de formulaires liés à l’emploi, des conventions de souscription et d’autres documents similaires.
3.3 Consentement
TCC obtiendra le consentement explicite de toutes les personnes concernées pour la collecte, l’utilisation et la divulgation de leurs renseignements personnels sensibles. Ce consentement doit être écrit et documenté.
Les renseignements personnels recueillis par TCC peuvent être utilisés à des fins commerciales légitimes compatibles avec l’objectif initial de la collecte, des transactions commerciales et les activités de sous-traitance sans qu’il soit nécessaire pour TCC d’obtenir à nouveau le consentement de la personne concernée.
3.4 Utilisation des renseignements
Les renseignements personnels recueillis par TCC seront utilisés à des fins commerciales générales telles que :
- Fournir un produit ou un service;
- Gérer les activités commerciales de TCC;
- Traiter les demandes d’emploi;
- Prévenir et réduire les risques (c.-à-d. les risques liés au blanchiment d’argent); et
- Respecter les exigences, demandes et évaluations légales ou réglementaires.
TCC conserve les renseignements personnels à son bureau de Montréal. Certains de ses fournisseurs de services peuvent accéder, utiliser ou conserver des renseignements personnels à l’extérieur de la province de Québec. Les lois de ces emplacements s’appliqueront alors aux renseignements personnels, y compris les lois qui peuvent permettre ou exiger la divulgation des renseignements personnels aux gouvernements, aux tribunaux et aux organismes d’application de la loi.
3.5 Divulgation de renseignements personnels à des tiers
TCC peut partager des renseignements personnels avec des tiers tels que des organismes gouvernementaux, des organismes de réglementation et des fournisseurs de services, à diverses fins. Le but de cette divulgation sera toujours conforme à celui pour lequel les renseignements personnels ont été recueillis initialement.
Toutefois, TCC veillera à ce que tous les renseignements personnels qu’elle transfère à un tiers situé à l’extérieur de la province de Québec bénéficient d’un niveau de protection équivalent à celui requis au Québec.
Avant que TCC ne transfère des renseignements personnels vers une destination à l’extérieur du Québec, TCC doit informer les personnes concernées des éléments suivants :
- Leurs renseignements personnels peuvent être transférés à l’extérieur du Québec;
- La fin pour laquelle ces informations sont transférées;
- Leurs renseignements personnels peuvent être consultés par les autorités de la juridiction étrangère;
- Elles peuvent obtenir une copie de la politique sur la protection des renseignements personnels de TCC;
- Le responsable de la protection des renseignements personnels de TCC peut répondre à leurs questions concernant de tels transferts.
TCC doit tenir à jour une liste de fournisseurs de services qui peuvent conserver les renseignements personnels de certains clients dans des centres de données situés à l’extérieur du Québec.
En plus de ce qui précède, TCC doit également faire une revue de diligence raisonnable en effectuant sur un tiers une évaluation des facteurs relatifs à la vie privée avant que les renseignements personnels soient transférés à l’extérieur du Québec et s’assurer que le destinataire recevant les renseignements personnels maintient une protection équivalente à celle que TCC est tenue de maintenir en vertu des lois du Québec.
4. Rôles et responsabilités en matière de protection des renseignements personnels au sein de TCC
TCC a défini les rôles et les responsabilités en matière de protection des renseignements personnels au sein de la société. TCC a également élaboré et mis en œuvre des politiques pour protéger les renseignements personnels.
TCC a nommé un responsable de la protection des renseignements personnels qui est chargé, entre autres, d’effectuer des EFVP, d’analyser les risques à la suite d’une violation de données, de répondre aux demandes des personnes concernées, de traiter les plaintes relatives à la protection des renseignements personnels et de veiller à ce que TCC se conforme à la Loi québécoise sur la protection des renseignements personnels.
L’équipe des technologies de l’information de TCC (« équipe des TI ») assume également des responsabilités précises en matière de protection des renseignements personnels. L’équipe des TI est principalement responsable d’assurer la sécurité des renseignements personnels détenus par TCC en protégeant les réseaux de TCC.
5. Rétention et destruction des renseignements personnels
5.1 Rétention des renseignements personnels
TCC conservera tous les renseignements personnels pendant la période où ces renseignements sont nécessaires aux fins pour lesquelles ils ont été recueillis.
Dans le cas des renseignements personnels recueillis auprès des clients de TCC, ces renseignements seront conservés par TCC pendant une période d’au moins sept ans suivant leur collecte afin de satisfaire aux exigences réglementaires en matière de valeurs mobilières.
En ce qui concerne les renseignements personnels recueillis auprès des employés de TCC qui ne sont pas également souscrits aux fonds TCC, ces renseignements seront conservés pendant une période de six ans suivant une cessation d’emploi afin de satisfaire aux exigences du droit du travail.
5.2 Mesures de sécurité
TCC empêchera l’accès non autorisé, la perte, l’utilisation abusive, le partage ou la modification des renseignements personnels dont elle a la garde.
De plus, TCC s’efforcera de protéger les renseignements personnels en utilisant des mesures de protection appropriées pour se protéger contre la perte ou le vol, ainsi que contre l’accès, la divulgation, la copie, l’utilisation ou la modification non autorisés.
5.3 Destruction des renseignements personnels
TCC détruira tous les renseignements personnels après la fin des périodes décrites ci-dessus.
6. Plan d’intervention en cas de violation de données
TCC prendra des mesures raisonnables pour réduire le risque de préjudice et prévenir de nouveaux incidents lorsqu’elle a des raisons de croire qu’une violation de données impliquant des renseignements personnels s’est produite.
TCC évaluera chacune de ces violations de données afin de déterminer si l’atteinte présente un risque sérieux de préjudice en suivant un ensemble de critères d’évaluation prédéterminés, y compris la sensibilité des renseignements personnels affectés par la violation de données, les conséquences prévues de la violation de données et la probabilité que ces renseignements soient utilisés à des fins préjudiciables. Si la violation de données représente un risque de préjudice grave, TCC avisera rapidement la Commission d’accès à l’information (« CAI ») et toute personne concernée par la violation de données. Toutes ces communications seront documentées et enregistrées par TCC.
De plus, la Politique sur la sécurité de l’information de TCC et les procédures internes pertinentes de TCC comprennent des renseignements détaillés sur la façon dont une violation de données sera traitée par les équipes des TI et de la conformité.
7. Demandes des personnes concernées
7.1 Accès
Sur demande, les personnes concernées seront informées de l’existence, de l’utilisation et de la divulgation de leurs renseignements personnels et auront accès à ces renseignements.
7.2 Rectification
Les personnes concernées sont responsables de fournir et de maintenir des renseignements exacts et complets. À cet effet, les personnes concernées peuvent demander que leurs renseignements personnels soient rectifiés si ces renseignements sont inexacts, ambigus, conservés ou collectés, d’une manière non autorisée par la loi. TCC se réserve le droit de refuser de rectifier les renseignements personnels lorsque la demande n’est pas fondée, ou autrement soumise par une personne autre que la personne concernée. Dans ce cas, TCC communiquera le refus et les raisons de ce refus par écrit à la personne concernée. TCC informera également la personne concernée des recours possibles, y compris les appels à la CAI.
TCC transmettra les renseignements personnels rectifiés à des tiers ayant accès aux renseignements personnels faisant l’objet de la demande de rectification.
7.3 Retrait
Les personnes concernées peuvent également retirer leur consentement à l’utilisation et à la divulgation de leurs renseignements personnels par la TCC. Toutefois, lorsque ce droit est exercé par un client de TCC, il est possible que TCC ne soit plus en mesure de fournir à ce client les services pour lesquels elle a été engagée.
7.4 Autres généralités
Seules les personnes identifiées comme étant des personnes concernées, ou leurs représentants autorisés, peuvent exercer ces droits et soumettre ces demandes.
TCC doit répondre à toutes les demandes des personnes concernées par écrit dans les 30 jours suivant la réception de la demande. Toutes les demandes des personnes concernées et la documentation connexe seront documentées et conservées par TCC.
8. Plaintes relatives à la protection des renseignements personnels
Toutes les personnes concernées et leurs représentants légaux peuvent déposer une plainte relative à la protection des renseignements personnels auprès de TCC.
TCC est tenue d’adresser et de répondre à toutes les plaintes relatives à la protection des renseignements personnels.
Par conséquent, TCC doit répondre par écrit à toutes les plaintes dans les 5 jours ouvrables suivant la réception de la plainte avec une réponse initiale. De plus, toutes les plaintes relatives à la protection des renseignements personnels doivent être fermées dans les 90 jours suivant leur réception par TCC.
Le processus de traitement des plaintes relatives à la protection des renseignements personnels comprend les étapes suivantes :
- Les plaintes relatives à la protection des renseignements personnels seront soumises à TCC par écrit au moyen d’un formulaire de plainte en matière de protection des renseignements personnels disponible sur le site Web de TCC.
- Le responsable de la protection des renseignements personnels accusera réception de la plainte et communiquera avec le plaignant dans les 5 jours ouvrables suivant la réception de la plainte afin d’obtenir des renseignements supplémentaires et de déterminer le résultat recherché par le plaignant.
- Le responsable de la protection des renseignements personnels examinera la plainte et la conservera ainsi que tout document supplémentaire dans le registre des plaintes. Un dossier sera créé pour chaque nouvelle plainte, y compris la soumission du plaignant ainsi que tous les autres documents partagés par le plaignant, l’analyse de la plainte par TCC et la réponse écrite finale justifiée de TCC.
- Le responsable de la protection des renseignements personnels enquêtera et évaluera la plainte de façon impartiale en consultation avec les équipes concernées de TCC.
- Le processus d’enquête sera documenté de façon appropriée.
- Le responsable de la protection des renseignements personnels informera le plaignant par écrit des résultats de l’enquête et des mesures proposées par TCC pour régler l’incident soulevé par la plainte. Si l’enquête révèle que les renseignements personnels ont été mal traités, TCC mettra immédiatement en œuvre des mesures pour s’assurer que l’incident ne se reproduise plus.
- Le responsable de la protection des renseignements personnels fournira au plaignant les coordonnées de la CAI au cas où le plaignant serait insatisfait des résultats de l’enquête et désirerait déposer une plainte auprès de la CAI.
Les personnes qui souhaitent déposer une plainte concernant des incidents liés à la protection des renseignements personnels auprès de la CAI peuvent le faire en suivant les instructions fournies sur le site Web de la CAI. TCC interdit toute menace ou représailles réelles contre les personnes qui déposent une plainte auprès de la CAI de bonne foi ou qui collaborent à une enquête de la CAI.
9. Amendements à la politique
Cette politique fait l’objet d’une révision annuelle. TCC peut modifier la présente politique de temps à autre, à sa seule discrétion. Toute modification importante apportée à la présente politique entrera en vigueur lorsque la politique révisée sera communiquée aux employés de TCC et que les modifications seront affichées sur le site Web de TCC. TCC peut également contacter les personnes concernées pour les informer de tels changements importants lorsque la loi l’exige.
10. Coordonnées
Les personnes concernées peuvent communiquer avec le responsable de la protection des renseignements personnels de TCC pour toute plainte ou question relative à la présente politique en suivant les coordonnées indiquées ci-dessous. Le responsable de la protection des renseignements personnels de TCC est chargé de superviser la façon dont TCC utilise les renseignements personnels et de veiller au respect de la présente politique et aux lois applicables.
Courriel : privacy@transcanadacapital.com
Adresse : Responsable de la protection des renseignements personnels
Trans-Canada Capital Inc.
1800 McGill College, Suite 2000
Montreal, Quebec, H3A 3J6