Politique de confidentialité

La présente politique :

• énonce le cadre de gouvernance applicable aux renseignements personnels détenus par N&V légal s.e.n.c.r.l.

• énonce les principes et les règles de gouvernance de N&V légal s.e.n.c.r.l. à l’égard des renseignements personnels tout au long de leur cycle de vie ;

• encadre l’exercice des droits des personnes concernées ;

• prévoit le processus de traitement des plaintes relatives à la protection des renseignements personnels ;

• définit les rôles et responsabilités des parties prenantes en matière de protection des renseignements personnels de N&V légal s.e.n.c.r.l. ;

• décrit les activités de formation et de sensibilisation que N&V légal s.e.n.c.r.l. offre à son personnel.

La présente politique s’applique aux renseignements personnels recueillis ou détenus par N&V légal s.e.n.c.r.l. dans le cadre de ses activités. Elle s’applique à toute personne qui traite des renseignements personnels pour N&V légal s.e.n.c.r.l.

La conformité à cette politique est obligatoire et N&V légal s.e.n.c.r.l. s’engage à la respecter.

Cette politique est le document de référence du programme de conformité en matière de protection des renseignements personnels de N&V légal s.e.n.c.r.l. dont pourront découler des politiques, directives, procédures ou tout autre document couvrant des sujets comme :

• l’obtention de consentements valides

• la réalisation d’évaluations des facteurs relatifs à la vie privée et la réglementation applicable en matière de protection de la vie privée

• la communication à des tiers sans consentement
  

• la communication de renseignements personnels à l’extérieur du Québec

• l’exercice des droits des personnes concernées

• la conservation, l’archivage et la destruction

• le traitement des plaintes des personnes concernées

Aux fins de la présente politique, les termes suivants signifient :

« avis juste à temps » désigne l’avis de transparence donné à une personne concernée au moment où il lui est demandé de fournir ses renseignements personnels.

« cadre de gouvernance » désigne l’ensemble des documents d’encadrement juridique adoptés conformément à la présente politique pour mettre en œuvre le programme de protection des renseignements personnels au sein de N&V légal s.e.n.c.r.l.

« CAI » désigne la Commission d’accès à l’information du Québec.

« coordonnées professionnelles » désigne les renseignements personnels qui concernent l’exercice d’une fonction au sein d’une entreprise, tel que le nom, le titre et la fonction, de même que l’adresse postale, électronique et le numéro de téléphone du lieu de travail.

« cycle de vie » désigne l’ensemble des étapes visant le traitement d’un renseignement personnel soit la collecte, l’utilisation, la communication, la conservation et la destruction.

« évaluation des facteurs relatifs à la vie privée » ou « ÉFVP » désigne la démarche visant à protéger les renseignements personnels et à respecter la vie privée des personnes physiques. Il s’agit d’une forme d’analyse d’impact. Elle est évolutive et doit être revue tout au long d’un projet.

« incident de confidentialité » désigne toute consultation, utilisation ou communication non autorisées par la loi d’un renseignement personnel, ou toute perte ou autre atteinte à la protection de ce renseignement.

« loi » désigne la Loi sur la protection des renseignements personnels dans le secteur privé et tout règlement qui en découle.

« personne concernée » désigne une personne physique à qui se rapportent les renseignements personnels.

« profilage » désigne la collecte et l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.

« renseignement personnel » désigne toute information qui concerne une personne physique et qui permet de l’identifier directement — soit par le recours à cette seule information — ou indirectement — c’est-à-dire par combinaison avec d’autres informations. 

« renseignement personnel à caractère public » désigne un renseignement personnel auquel la loi confère un caractère public.

« renseignement personnel sensible » désigne tout renseignement personnel qui — de par sa nature, notamment médicale, biométrique ou autrement intime, ou en raison de la manière dont il est utilisé ou communiqué — suscite un haut degré d’attente raisonnable en matière de vie privée. Plusieurs des renseignements personnels que détient N&V légal s.e.n.c.r.l. sont de nature sensible en raison du contexte de leur utilisation, notamment, les renseignements concernant le règlement d’une succession.

« responsable de la protection des renseignements personnels » ou « RPRP » désigne la personne qui, au sein de N&V légal s.e.n.c.r.l., veille à y assurer le respect et la mise en œuvre de la loi.

La présente politique s’applique aux renseignements personnels détenus par N&V légal s.e.n.c.r.l. et à toute personne qui traite des renseignements personnels.  pour N&V légal s.e.n.c.r.l., par exemple des fournisseurs de services ou sous-traitants.

La protection des renseignements personnels est assurée tout au long de leur cycle de vie dans le respect des principes suivants, et tenant compte des exceptions prévues par la loi. Les coordonnées professionnelles et les renseignements personnels à caractère public ne sont pas soumis aux principes directeurs.

COLLECTE

N&V légal s.e.n.c.r.l. ne recueille que les renseignements personnels nécessaires à la réalisation de ses activités. Avant de recueillir des renseignements personnels, N&V légal s.e.n.c.r.l. détermine les fins de leur traitement.

Au moment de la collecte, et par la suite sur demande, N&V légal s.e.n.c.r.l. informe les personnes concernées du contenu obligatoire prévu par loi, notamment :

• des finalités de la collecte ;

• du droit de rectification prévus par la loi ;

• de leur droit de retirer leur consentement à l’utilisation ou la communication de renseignements personnels recueillis ;

• lorsqu’applicable, du nom du tiers pour qui la collecte est faite ;

• lorsqu’applicable, du nom des tiers ou des catégories de tiers à qui il est nécessaire de communiquer les renseignements aux fins déclarées ; 

• lorsqu’applicable, de la possibilité que les renseignements soient communiqués à l’extérieur du Québec ;

• lorsqu’applicable, du recours à une technologie comprenant des fonctions permettant de l’identifier ou d’effectuer du profilage de celle-ci ;

• des moyens offerts pour activer les fonctions permettant de les identifier, de les localiser ou d’effectuer leur profilage.

L’information prévue au paragraphe ci-dessus est donnée en termes simples et clairs, au moyen d’une politique de confidentialité ou d’un avis « juste à temps », et lapersonne concernée qui fournit ses renseignements personnels après avoir reçu l’information au paragraphe ci-dessus est présumée consentir à l’utilisation et à la communication aux fins déclarées. 

UTILISATION

N&V légal s.e.n.c.r.l. n’utilise les renseignements personnels qu’aux fins pour lesquelles ces renseignements ont été recueillis. Cependant, N&V légal s.e.n.c.r.l. peut modifier ces fins si la personne concernée y consent.

Elle peut également les utiliser à d’autres fins sans le consentement de la personne concernée, dans les seuls cas où l’utilisation projetée est permise par la loi.

COMMUNICATION

Sous réserve des exceptions prévues par la loi, N&V légal s.e.n.c.r.l. ne peut communiquer des renseignements personnels sans le consentement de la personne concernée.

Lorsque les renseignements personnels sont communiqués à l’extérieur du Québec, N&V légal s.e.n.c.r.l. procède à une ÉFVP conformément à la section "PRINCIPES DIRECTEURS" des présentes.

REGISTRE DES COMMUNICATIONS

N&V légal s.e.n.c.r.l. tient à jour un registre de certaines communications de renseignements personnels sans consentement. Un tel registre détaille les communications visées par la loi, notamment les suivantes  :

• à une personne ou à un organisme ayant le pouvoir de contraindre N&V légal s.e.n.c.r.l. à lui communiquer des renseignements personnels et qui les requiert dans l’exercice de ses fonctions ;

• à une personne à qui cette communication doit être faite en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée  ou à qui N&V légal s.e.n.c.r.l. peut les communiquer en vue de prévenir un acte de violence, dont un suicide, en cas de risque sérieux de mort ou de blessures graves pour une personne ou un groupe de personnes identifiable ;

• à un service d’archives ou à toute personne, dans ce deuxième cas, si le document est vieux de plus de 100 ans ou si la personne concernée est décédée depuis plus de 30 ans ;

• à une personne ou à un organisme pour les fins d’un mandat ou d’un contrat de services ou d’entreprise ;

• ·        à l’autre partie à une transaction commerciale, si la communication est nécessaire aux fins de la conclusion de la transaction ;

• à une personne qui peut les utiliser à des fins d’étude, de recherche ou de statistique ou à une personne que la CAI a autorisée à les utiliser ;

• à une personne que la loi autorise à recouvrer des créances pour autrui et qui le requiert à cette fin dans l’exercice de ses fonctions ;

• à une personne si le renseignement est nécessaire aux fins de recouvrer une créance de N&V légal s.e.n.c.r.l.

CONSERVATION

N&V légal s.e.n.c.r.l. prend toutes les mesures raisonnables afin que les renseignements personnels qu’elle détient soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis ou utilisés.

N&V légal s.e.n.c.r.l. conserve les renseignements personnels aussi longtemps que nécessaire pour réaliser les finalités pour lesquelles ils ont été recueillis, sous réserve d’obligations de conservation qui pourraient s’appliquer, conformément à son calendrier de conservation.

DESTRUCTION ET ANONYMISATION

Sous réserve des obligations professionnelles applicables, lorsque les finalités pour lesquelles les renseignements personnels recueillis sont atteintes, ces renseignements sont détruits ou, dans certains cas, anonymisés suivant les délais prévus au calendrier de conservation et, le cas échéant, selon le cadre de gouvernance de N&V légal s.e.n.c.r.l.

La réalisation d’une ÉFVP sert à démontrer que N&V légal s.e.n.c.r.l. a respecté toutes les obligations en matière de protection des renseignements personnels et que toutes les mesures ont été prises afin de protéger efficacement ces renseignements.

N&V légal s.e.n.c.r.l. réalise une ÉFVP notamment dans les situations suivantes :

• avant d’entreprendre un projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services qui implique des renseignements personnels ; 

• avant de communiquer des renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques ;

• avant de communiquer des renseignements personnels à l’extérieur du Québec.

En effectuant une ÉFVP, N&V légal s.e.n.c.r.l. tient compte de la sensibilité des renseignements à être traités, des fins de leur utilisation, de leur quantité, de leur distribution et de leur support, ainsi que de la proportionnalité des mesures proposées pour protéger les renseignements personnels. N&V légal s.e.n.c.r.l. tient également compte des critères déterminés par la loi pour chaque ÉFVP.

Toute ÉFVP est réalisée conformément au cadre de gouvernance de N&V légal s.e.n.c.r.l.

À la demande d’une personne concernée, N&V légal s.e.n.c.r.l. doit l’informer de ce qui suit :

• les renseignements personnels recueillis auprès d’elle ;

• les catégories de personnes qui ont accès à ces renseignements au sein de N&V légal s.e.n.c.r.l.  ;

• la durée de conservation de ces renseignements ;

• les coordonnées du RPRP de N&V légal s.e.n.c.r.l. ;

• Lorsqu’applicable dans les circonstances, une personne concernée a les droits suivants : informé, le cas échéant, que des renseignements personnels sont utilisés pour prendre une décision fondée sur un traitement exclusivement automatisé ;

• le droit de retirer son consentement à l’utilisation et à la communication de renseignements personnels recueillis par N&V légal s.e.n.c.r.l.

Dans la mesure prévue par la loi, toute personne concernée à propos de laquelle N&V légal s.e.n.c.r.l. détient des renseignements personnels dispose des droits suivants :

• le droit d’accéder aux renseignements personnels détenus par N&V légal s.e.n.c.r.l. et d’en obtenir une copie, en format électronique ou autre. À moins que cela ne soulève des difficultés pratiques sérieuses, à la demande d’une personne concernée, N&V légal s.e.n.c.r.l. communique les renseignements personnels informatisés recueillis auprès d’elle dans un format technologique structuré et couramment utilisé à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement ;

• le droit de faire rectifier tout renseignement personnel incomplet ou inexact détenu par N&V légal s.e.n.c.r.l. ;

• le droit de demander la suppression d’un renseignement périmé ou non justifié, ou de formuler par écrit des commentaires à N&V légal s.e.n.c.r.l. ;

• le droit de demander à N&V légal s.e.n.c.r.l. de cesser de diffuser un renseignement ou de désindexer tout hyperlien rattaché à son nom, à certaines conditions.

Le RPRP répond par écrit aux demandes d’exercices des droits prévues au paragraphe 9.2, avec diligence et au plus tard dans les 30 jours de la date de réception de la demande, et conformément à la Directive sur l’exercice des droits des personnes concernées. 

Toute plainte ou demande d’exercice des droits est prise en charge conformément au cadre de gouvernance de N&V légal s.e.n.c.r.l.

N&V légal s.e.n.c.r.l. met en place des mesures de sécurité raisonnables afin d’assurer la confidentialité, l’intégrité et la disponibilité des renseignements personnels recueillis, utilisés, communiqués, conservés ou détruits. Ces mesures tiennent notamment en compte du degré de sensibilité des renseignements personnels, de la finalité de leur collecte, de leur quantité, de leur localisation et de leur support.

N&V légal s.e.n.c.r.l. gère les droits d’accès des membres son personnel afin que seuls ceux soumis à un engagement de confidentialité, eu égard aux règles encadrant le secret professionnel, et ayant besoin d’y accéder dans le cadre de leurs fonctions aient accès aux renseignements personnels. 

Tout incident de confidentialité est pris en charge conformément au Plan de réponse aux incidents de confidentialité de N&V légal s.e.n.c.r.l.

Conformément à la loi, N&V légal s.e.n.c.r.l. tient un registre des incidents de confidentialité dont le contenu suit celui prescrit par la loi. Les renseignements relatifs à chaque incident sont conservés pendant une durée d’au plus cinq ans.

N&V légal s.e.n.c.r.l. offre des activités de formation et de sensibilisation à son personnel en matière de protection des renseignements personnels.

Le défaut de suivre les activités de formation et de sensibilisation obligatoires contrevient au cadre de gouvernance de N&V légal s.e.n.c.r.l. et la personne concernée s’expose, selon la nature et la gravité de la faute, à des sanctions.

La protection des renseignements personnels que N&V légal s.e.n.c.r.l. détient repose sur l’engagement de tous ceux qui traitent ces renseignements et plus particulièrement des parties prenantes qui suivent. Les représentants dûment nommés par les sociétés étant les associés au capital de l’étude :

• veille à assurer la mise en œuvre de la loi

• facilite l’exercice des fonctions du RPRP, notamment en s’assurant qu’il dispose des ressources appropriées pour la réalisation de son mandat et la mise en œuvre du programme de protection des renseignements personnels de N&V légal s.e.n.c.r.l.

Le comité sur la conformité de N&V légal s.e.n.c.r.l. :

• prennent acte de la présente politique, ainsi que toute modification importante à celle-ci, sur recommandation du comité sur la conformité de N&V légal s.e.n.c.r.l.;

• reçoivent et analysent le rapport du RPRP, sur recommandation du comité sur la conformité de N&V légal s.e.n.c.r.l.;

• se tient informé des activités en protection des renseignements personnels de N&V légal s.e.n.c.r.l. et fait les interventions qu’il juge appropriées pour maintenir un niveau de risque acceptable pour N&V légal s.e.n.c.r.l.

Le(la) RPRP :

• est désigné(e) de temps à autre par écrit par la personne exerçant la plus haute autorité au sein de N&V légal s.e.n.c.r.l.;

• veille à assurer le respect et la mise en œuvre de la loi pour N&V légal s.e.n.c.r.l.;

• est responsable de l’application et la mise en œuvre de la présente politique et des autres documents formant le cadre de gouvernance de N&V légal s.e.n.c.r.l.

• conçoit le cadre de gouvernance de N&V légal s.e.n.c.r.l. et effectue toute mise à jour appropriée;

• au besoin, produit un rapport des activités liées au programme de protection des renseignements personnels de N&V légal s.e.n.c.r.l. et le soumet au comité sur la conformité de N&V légal s.e.n.c.r.l.;

• supervise la coordination de la réponse à un incident de confidentialité et la tenue du registre des incidents de confidentialité;

• supervise la tenue du registre prévu à la présente politique.

• collabore avec les autorités gouvernementales compétentes et les parties prenantes concernées en cas d’incident de confidentialité;

• le cas échéant, effectue des vérifications des obligations de confidentialité en lien avec la communication de renseignements personnels dans le cadre de mandats ou de contrats de services;

• reçoit les demandes écrites d’exercice de droits des personnes concernées et s’assure d’y répondre conformément au cadre de gouvernance de N&V légal s.e.n.c.r.l.;

• rend des comptes annuellement au comité sur la conformité de N&V légal s.e.n.c.r.l. aux exigences de la loi dont il veille à assurer le respect et la mise en œuvre;

• est consulté, dès le début d’une ÉFVP, et peut suggérer des mesures de protection des renseignements personnels pour atténuer les risques.

Toute personne qui traite des renseignements personnels que N&V légal s.e.n.c.r.l. détient :

• agit avec précaution et intègre les principes et lignes de conduite énoncés au cadre de gouvernance à ses activités; 

• lorsqu’elle recueille des renseignements personnels auprès des personnes concernées, s’assure d’obtenir un consentement valide et de le documenter conformément au cadre de gouvernance ;

• n’accède qu’aux renseignements nécessaires à l’exercice de ses fonctions ;

• conserve ses dossiers de manière à ce que seules les personnes autorisées y aient accès ;

• s’abstient de communiquer les renseignements personnels dont elle prend connaissance dans l’exercice de ses fonctions, à moins d’être dûment autorisée à le faire ;

• ne conserve pas, à la fin de son emploi ou de son contrat, les renseignements personnels obtenus ou recueillis dans le cadre de ses fonctions et maintient ses obligations de confidentialité ;

• conserve et détruit tout renseignement personnel conformément au cadre de gouvernance de N&V légal s.e.n.c.r.l. ;

• participe aux activités de sensibilisation et de formation en matière de protection des renseignements personnels qui lui sont destinées ; 

• détecte les situations qui nécessitent de réaliser une ÉFVP et complète les documents appropriés du cadre de gouvernance ;

• signale sans délai tout manquement, incident de confidentialité ou toute autre situation ou irrégularité qui pourrait compromettre de quelque façon que ce soit la sécurité, l’intégrité ou la confidentialité de renseignements personnels au RPRP ;

• réfère sans délai toute personne qui soumet une demande d’exercice des droits ou toute plainte relative aux pratiques de protection des renseignements personnels à la procédure établie par N&V légal s.e.n.c.r.l.

La conformité à la présente politique tout autre document formant le cadre de gouvernance est obligatoire pour l’ensemble de N&V légal s.e.n.c.r.l. Le personnel qui ne s’y conforme pas s’expose à des mesures disciplinaires pouvant aller de l’avis disciplinaire au congédiement ou aux mesures et pénalités contractuelles prévues pour les consultants, lesquelles peuvent notamment prévoir la résiliation du contrat et la réclamation de dommages-intérêts. De la formation et de la sensibilisation supplémentaire peuvent également être offertes en cas de défaut de respecter la politique.

De manière à suivre l’évolution des lois applicables en matière de protection des renseignements personnels et à améliorer le programme de protection des renseignements personnels de N&V légal s.e.n.c.r.l., la présente politique pourra être mise à jour au besoin.

La présente politique relève du(de la) RPRP.  

La présente politique de confidentialité est entrée en vigueur lors de son adoption par le comité sur la conformité de N&V légal s.e.n.c.r.l. le 6 mai 2024.