- Objet général
La présente politique vise à vous informer des pratiques de Les Productions Horticoles Demers inc. (ci-après « PHD ») en matière de gouvernance et de confidentialité des renseignements personnels pour les candidats, les clients et les utilisateurs de son site Internet https://phdemers.com/ (ci-après le « site Internet »).
Elle vise également à assurer la sécurité et la protection des renseignements personnels collectés, détenus, utilisés, communiqués et conservés par PHD contre la consultation, l’utilisation ou la divulgation non autorisées de ceux-ci. Elle vise également la protection de ces renseignements contre toute atteinte à leur intégrité.
De plus, la présente politique a pour objet de déterminer les règles relatives à l’accès à ces renseignements, à leur communication, à leur utilisation, à leur conservation et à leur destruction ainsi qu’aux droits de rectification.
- Fondement
PHD est une entreprise privée assujettie notamment à la Loi sur la protection des renseignements personnels dans le secteur privé (L.R.Q. P-39.1), à la Loi concernant le cadre juridique des technologies de l’information (RLRQ, c. C-1.1), au Code civil du Québec (RLRQ, 1991, c. 64) et à la Loi sur les renseignements personnels (L.R.C. (1985), ch. P-21).
PHD est susceptible de recueillir des renseignements personnels, notamment à son kiosque situé à Lévis, par le biais de son site Internet ou par l’intermédiaire de tiers, tels que Jobillico.
PHD reconnaît l’importance de la protection de la vie privée, de la sécurité et de la protection des renseignements personnels. Elle s’engage ainsi à respecter les dispositions, les valeurs et les principes fondamentaux établis par l’ensemble de la législation applicable, incluant les mises à jour de celle-ci.
PHD s’assure de mettre en œuvre les mesures de sécurité physiques, informatiques et technologiques nécessaires pour garantir le respect de la confidentialité des renseignements personnels qui lui sont communiqués dans le cours de ses activités.
- Champ d’application
La présente politique s’applique à tous les employés, mandataires, fournisseurs et partenaires de PHD qui peuvent avoir accès, dans le cadre de l’exécution de leurs fonctions, à des renseignements personnels. Toutefois, elle ne s’applique pas à la protection des renseignements personnels des employés puisqu’une politique interne a été adoptée et portée à leur attention.
- Objectifs
La présente politique vise à définir le type de renseignements personnels que recueille PHD et par quels moyens PHD protège ces renseignements.
Elle précise également les normes de collecte, de conservation, d’utilisation, de communication, de destruction de ces renseignements ainsi que les droits d’accès et de rectification des renseignements personnels par l’entreprise ou par un tiers, et ce, quelle que soit la nature de leur support et quelle que soit la forme sous laquelle ils sont accessibles : écrite, graphique, sonore, visuelle, informatisée ou autre.
- Définition de renseignement personnel
Tout renseignement qui concerne une personne physique, qui permet de l’identifier directement ou indirectement et qui n’a pas un caractère public en vertu d’une loi.
Toutefois, les sections I et II de la Loi sur la protection des renseignements personnels dans le secteur privé qui concernent la collecte, la détention, l’utilisation, la communication, la conservation et la destruction ne s’appliquent pas aux renseignements personnels qui concernent l’exercice par la personne concernée d’une fonction au sein d’une entreprise, tels que son nom, et sa fonction, de même que l’adresse, l’adresse de courrier électronique et le numéro de téléphone de son lieu de travail.
- Principes généraux
PHD prend les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support, notamment en s’assurant des éléments suivants :
- L’intégrité des renseignements, de manière à ce que ceux-ci ne soient pas détruits ou altérés, de quelque façon, sans autorisation et en respect des lois applicables, et que le support de ces renseignements leur procure la stabilité et la pérennité voulues;
- La confidentialité des renseignements personnels, en limitant leur divulgation aux seules personnes autorisées à en prendre connaissance;
- L’identification et l’authentification, de façon à confirmer, lorsque requis, l’identité d’une personne ou l’identification d’un document ou d’un dispositif;
- La conformité aux exigences légales, règlementaires ou d’affaires auxquelles PHD est assujettie.
- Collecte des renseignements personnels
PHD est une compagnie qui cultive et vend des fruits et légumes. Dans le cadre de ses activités, PHD recueille des renseignements personnels sur ses clients ainsi que sur les utilisateurs de son site Internet. PHD utilise aussi des renseignements personnels de candidats (ci-après « candidats ») qui postulent pour un emploi chez PHD, collectés par un tiers, soit Jobillico. PHD pourrait donc notamment recueillir auprès du candidat, du client ou de l’utilisateur de son site Internet ou d’un tiers les renseignements suivants :
- Des coordonnées, comme un nom et un prénom, une adresse postale, une adresse électronique, une adresse IP, un numéro de téléphone;
- Des renseignements relatifs à la facturation, comme une adresse de facturation, des informations bancaires, des coordonnées de carte de crédit ou des données de système de paiement;
- Des renseignements relatifs à l’utilisation des services de PHD, incluant des renseignements techniques sur les visites ou tout autre renseignement collecté à travers des témoins ou d’autres outils similaires;
- Tout autre renseignement personnel demandé et fourni.
- Consentement à la collecte
La collecte de renseignements personnels par PHD s’effectue en toute transparence et avec le consentement préalable, libre et éclairé du candidat, du client ou de l’utilisateur de son site Internet, lequel est obtenu notamment par le biais d’un ou de plusieurs formulaires de consentement détaillés en termes simples et clairs.
En respect des lois applicables, lorsque PHD recueille des renseignements personnels, elle requiert le consentement du candidat, du client ou de l’utilisateur de son site Internet en divulguant à l’avance les fins pour lesquelles ces renseignements sont recueillis et seront utilisés.
PHD verra à obtenir un nouveau consentement distinct avant d’utiliser les renseignements personnels détenus à des fins qui ne sont pas compatibles avec celles pour lesquelles ils ont été initialement recueillis.
- Mode de collecte
La collecte de renseignements personnels peut s’effectuer notamment auprès du candidat, du client ou de l’utilisateur de son site Internet ou d’un tiers, en personne, par courriel, par l’entremise de formulaires, d’entretiens téléphoniques, de questionnaires, des réseaux sociaux, de messages texte ou de façon électronique par le biais du site Internet.
PHD recueille des renseignements personnels auprès des candidats, des clients ou des utilisateurs de son site Internet avec leur consentement au préalable et fournit d’emblée et en termes simples et clairs notamment les informations suivantes lors de la collecte et par la suite sur demande :
- Le nom de PHD;
- Les fins pour lesquelles ces renseignements sont recueillis;
- Les moyens par lesquels les renseignements sont recueillis;
- Les droits d’accès et de rectification prévus par la loi;
- Le droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis;
- Le nom du tiers pour qui la collecte est réalisée, le cas échéant;
- Le nom des tiers à qui il sera nécessaire de communiquer les renseignements personnels;
- La possibilité que les renseignements personnels soient communiqués hors Québec.
Sur demande, PHD informera les candidats, les clients et les utilisateurs de son site Internet des renseignements personnels recueillis auprès d’eux, des catégories de personnes qui ont accès à ces renseignements au sein de l’entreprise, de la durée de conservation de ces renseignements, ainsi que des coordonnées du responsable de la protection des renseignements personnels.
- Utilisation
PHD recueille, utilise et conserve les renseignements personnels des candidats, des clients et des utilisateurs de son site Internet afin notamment de :
- Vérifier leur identité;
- Communiquer avec eux;
- Effectuer les entretiens d’embauche auprès des candidats;
- Obtenir le paiement pour les produits choisis;
- Générer des factures;
- Partager des renseignements personnels à des tiers afin de les conserver;
- Établir des données statistiques;
- Conserver l’historique du parcours d’un utilisateur du site Internet afin que son dossier soit à jour et exact;
- Améliorer, personnaliser et développer son site Internet;
- Développer de nouveaux produits et services;
- Assurer un service client sur son site Internet;
- Fournir des mises à jour et d’autres informations relativement à son site Internet;
- Toute autre fin compatible;
- Effectuer du profilage;
- Tel que cela est permis ou exigé, pour toute obligation ou disposition légale ou réglementaire applicable;
- Faire valoir ses droits, le cas échéant.
PHD utilise les renseignements recueillis et détenus uniquement pour les fins pour lesquelles le consentement a été obtenu. Ainsi, sauf consentement spécifique, PHD ne communique, vend, loue, donne, échange, partage ou divulgue à des tiers quelque renseignement personnel détenu.
Ces renseignements sont accessibles uniquement aux employés, fournisseurs ou mandataires de PHD qui en ont nécessairement besoin pour l’exercice de leurs fonctions et ces derniers sont tenus de respecter le caractère confidentiel de ces renseignements.
- Conservation et sécurité des renseignements personnels
Tous les renseignements personnels collectés, quel que soit leur support, sont conservés dans un environnement sécurisé contre l’accès, la divulgation, la copie, l’utilisation ou la modification non autorisés ainsi que contre la perte ou le vol. Ces mesures de sécurité incluent, le cas échéant, l’utilisation de pare-feu et de serveurs sécurisés, l’encryptage, le déploiement de systèmes et procédés de gestion des droits d’accès appropriés, une formation suffisante du personnel de PHD ayant accès aux renseignements personnels dans le cadre de leurs fonctions, ainsi que d’autres mesures indispensables afin d’assurer une protection appropriée des renseignements personnels contre toute utilisation ou diffusion non autorisée. PHD utilise les technologies de l’information pour supporter ses processus d’affaires afin d’offrir une meilleure prestation de services et la sécurité appropriée aux renseignements qu’elle détient.
PHD met en place des mesures de sécurité et de gestion des accès adéquates pour assurer la confidentialité, l’intégrité et la disponibilité des renseignements personnels et confidentiels qu’elle détient en fonction de la sensibilité de ces renseignements, des risques auxquels ils sont exposés et des obligations auxquelles PHD est soumise.
- Communication des renseignements personnels aux tiers
PHD requiert le consentement des candidats, des clients et des utilisateurs de son site Internet avant de communiquer à un tiers un renseignement personnel le concernant, à moins que les lois applicables en autorisent la communication sans ce consentement.
PHD peut, dans le cadre des services offerts, communiquer, dans le respect des exigences légales applicables, des renseignements personnels à ses fournisseurs externes qui sont situés au Québec et hors Québec. Ces fournisseurs sont notamment Jobillico qui permet la gestion des candidatures des futurs employés, Verisoft qui entrepose pour PHD les serveurs informatiques ainsi que Global Payments et Desjardins qui administrent les paiements. Dans ce cas, les fournisseurs de services externes de PHD sont soumis à des accords de confidentialité et à des restrictions légales interdisant l’utilisation des informations communiquées à des fins autres que celles pour lesquelles PHD les a recueillies. PHD pourra également convenir d’entente de services avec ses fournisseurs externes, conforme à la loi, afin de faciliter la communication de renseignements personnels entre eux et avec d’autres intervenants.
PHD et ses fournisseurs pourraient être tenus de fournir des renseignements personnels détenus en raison d’ordonnance d’un tribunal, d’une enquête administrative ou autre situation prévue par la loi.
Dans le cadre d’une vente, d’un rachat, d’une acquisition ou de toute autre restructuration des activités de PHD, cette dernière pourrait être amenée à divulguer des données à caractère personnel, pouvant être assimilées à des renseignements personnels, à des acquéreurs potentiels ou existants et à leurs conseillers aux fins de ladite transaction. PHD veillera à respecter les exigences des lois applicables avant toute communication.
- Droits d’accès, de rectification ou de retrait
Toute personne qui en fait la demande a droit d’accès aux renseignements personnels qui la concernent et qui sont détenus par PHD, à moins d’exceptions prévues aux lois applicables. Il est possible de faire la demande via le responsable de la protection des renseignements personnels.
Une personne peut demander que ses renseignements personnels soient corrigés, rectifiés, détruits ou qu’ils ne soient plus utilisés pour les fins pour lesquelles ils ont été recueillis.
Toute personne concernée peut également, en tout temps, retirer son consentement au traitement de ses renseignements personnels en contactant le responsable de la protection des renseignements personnels. Ce retrait du consentement n’aura d’effet que pour l’avenir, et ce, dès réception par PHD. À la réception de l’avis de retrait du consentement, PHD s’engage à cesser tout traitement des renseignements personnels visés et à procéder à leur destruction, sous réserve d’une obligation légale ou règlementaire relative à leur conservation.
PHD avisera également toute personne ou entité à qui ces renseignements personnels auraient été divulgués conformément au consentement obtenu afin que ces personnes ou entités procèdent également à la cessation de leur traitement ainsi qu’à leur destruction, le cas échéant.
Toutefois, il est possible que PHD ne puisse pas honorer ses obligations en cas de demande de retrait du consentement ou de destruction hâtive. Dans ce cas, PHD ne pourra être tenue responsable des préjudices subis par la personne concernée.
- Destruction
Les renseignements personnels sont conservés pour la période nécessaire à la réalisation des fins prévues par leur collecte et par la suite sont détruits. Les renseignements personnels peuvent être conservés au-delà de la réalisation des fins prévues par leur collecte lorsqu’un autre délai de conservation prévu par une autre loi s’applique. Ils seront détruits conformément aux lois applicables.
- Responsabilité de l’utilisateur
Toute personne qui achemine des renseignements à PHD est responsable de l’exactitude de ceux-ci.
Toute personne qui achemine des renseignements à PHD doit également s’assurer que le système ou l’équipement avec lequel il transmet ou reçoit de l’information de PHD est suffisamment sécuritaire et faire preuve de vigilance. PHD ne peut être tenue responsable d’un accès non autorisé à des renseignements découlant d’une négligence ou des vulnérabilités présentes sur l’équipement ou le système d’un utilisateur.
Dans l’éventualité où la confidentialité de ses renseignements venait à être compromise ou son identité usurpée, l’utilisateur est tenu d’en aviser PHD le plus rapidement possible en contactant le responsable de la protection des renseignements personnels identifié ci-dessous.
- Incidents de confidentialité et mesures à prendre
Un incident de confidentialité vise l’accès non autorisé par la loi à un renseignement personnel, l’utilisation non autorisée par la loi d’un renseignement personnel, la communication non autorisée par la loi d’un renseignement personnel ou la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement. Lors d’un incident de confidentialité, PHD prendra rapidement les mesures requises pour diminuer les risques de préjudice à la personne concernée et afin d’éviter que de nouveaux incidents de même nature se produisent. En cas de risque de préjudices sérieux pour la personne concernée, PHD informera cette dernière ainsi que la Commission d’accès à l’information.
- Tenue du registre des incidents
PHD tient un registre de l’ensemble des incidents de confidentialité dont elle a fait l’objet le cas échéant, même ceux qui ne présentent pas de risque de préjudice sérieux pour la personne.
PHD permettra la consultation de ce registre à la Commission d’accès à l’information et pourra lui en fournir une copie à sa demande.
- Données témoins et paramètres de confidentialité
Pour être en mesure d’offrir certains de ses services, PHD, par le biais de son site Internet, peut aussi collecter les renseignements personnels en ayant recours aux technologies suivantes :
- Témoins (cookies) : Lorsqu’un utilisateur visite son site Internet, ce dernier transmet un ou plusieurs témoins à son ordinateur ainsi que des témoins de services connexes tels que de Google Analytics, Google Adwords, Google Adsense ou Facebook. Ces témoins contiennent des renseignements d’identification qui permettent à PHD de savoir comment les utilisateurs interagissent avec les services, de cibler les utilisateurs avec des offres pertinentes, leur historique de navigation sur le site, ainsi que de synthétiser leur expérience d’utilisation des services.
- Journaux de connexion : À chaque fois qu’un utilisateur fait appel aux services de PHD par l’entremise de son site Internet, les serveurs enregistrent automatiquement les informations de connexion que son navigateur envoie lors de sa connexion à un site Internet. Ces journaux de connexion du serveur peuvent contenir des informations telles que sa recherche Internet, son adresse IP, le type et la langue de son navigateur, le fournisseur de services Internet, la date et l’heure de sa connexion, les pages qu’il a visitées, un ou plusieurs témoins permettant d’identifier son navigateur et le nombre de clics.
Dans la mesure requise, les informations fournies par un utilisateur dans le cadre de son utilisation peuvent être combinées avec celles issues d’autres services de PHD ou de tierces parties telles que Google Analytics, Google Adwords, Google Adsense ou Facebook, dans le but d’améliorer la qualité des services. Pour certains services, l’utilisateur peut choisir d’autoriser ou non la combinaison de ces informations.
Si un utilisateur désire désactiver les fonctionnalités publicitaires Google Analytics, Google Adwords, Google Adsense ou Facebook, y compris via les paramètres des annonces, les paramètres des annonces pour applications mobiles ou tout autre moyen disponible, il peut consulter Internet pour accéder au module complémentaire de désactivation de Google Analytics pour l’Internet. L’utilisateur peut aussi consulter une des ressources suivantes pour en connaître davantage sur l’utilisation des témoins par de tierces parties et savoir comment en désactiver l’utilisation : Publicité et confidentialité de Google, Paramètres des annonces Google, Page de DAA.
Un bandeau de consentement est automatiquement affiché à l’arrivée sur le site Internet afin de permettre à l’utilisateur d’activer les témoins. L’efficacité de certains services offerts par le site Internet peut être affectée si l’utilisateur refuse l’activation des témoins. Les témoins utilisés se répartissent en quatre (4) catégories distinctes :
- Les témoins nécessaires;
- Les témoins de fonctionnalité;
- Les témoins de performance et de sécurité;
- Les témoins de suivi.
Toute personne qui fournit des renseignements personnels suivant le présent article consent à leur utilisation et à leur communication aux fins pour lesquelles ces renseignements ont été recueillis.
- Sites affiliés
Certains des services de PHD pourraient être proposés en relation avec d’autres sites Internet. Les informations personnelles qu’une personne communique à ces sites sont susceptibles d’être envoyées à PHD pour que le service soit assuré. Ces informations sont traitées conformément à la présente politique. Les sites affiliés peuvent avoir des pratiques de confidentialité différentes, c’est pourquoi PHD recommande de prendre connaissance de leurs politiques et pratiques applicables.
- Liens
Il se peut que PHD affiche des liens dans un format lui permettant de déterminer si ces liens ont été suivis. Ces informations sont utilisées pour améliorer la qualité des contenus et des annonces personnalisés.
- Gestion des plaintes
Toute personne qui désire déposer une plainte concernant la collecte, la conservation, l’utilisation, la communication, la destruction ou les droits d’accès ou de rectification à ses renseignements personnels par PHD doit adresser celle-ci au responsable de la protection des renseignements personnels de PHD. Le responsable de la protection des renseignements personnels procédera à l’analyse de celle-ci et produira une réponse dans les 30 jours de la réception de la plainte.
- Diffusion de la présente politique
PHD publie la présente politique sur son site Internet et la diffuse par tout moyen propre à atteindre les personnes concernées. PHD fait de même pour l’avis dont toute modification à cette politique doit faire l’objet.
- Responsable de la protection des renseignements personnels
Monsieur François Simard, Directeur culture et expérience employé de PHD, est le responsable de la protection des renseignements personnels. Monsieur François Simard est joignable à l’adresse suivante fsimard@phdemers.com et par téléphone au 418-831-2489, poste 233.
Date d’entrée en vigueur
Le 5 février 2024