Livraison gratuite à partir de 100$ d'achat en boutique!
Livraison gratuite à partir de 100$ d'achat en boutique!
Politiques et pratiques encadrant la gouvernance de
9179-0337 Québec inc.
Microbrasserie du Lac Saint-Jean
relativement aux renseignements personnels
Les présentes politiques et pratiques encadrent la gouvernance de 9179-0337 Québec inc. faisant affaire sous la dénomination sociale Microbrasserie du Lac Saint-Jean (ci-après : l’« Entreprise ») dans la collecte, l’utilisation, la communication, la conservation et la destruction des renseignements personnels (ci-après : les « RP ») par l’Entreprise et ses employés. Les présentes politiques et pratiques de gouvernance visent donc notamment à établir les rôles et responsabilités des employés de l’Entreprise.
Aux fins des présentes politiques et pratiques est un RP, tout renseignement qui concerne une personne physique et permet directement ou indirectement de l’identifier tel que l’indique la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après : la « Loi »). Sont exclus de cette définition les RP qui concernent la fonction de la personne concernée au sein d’une entreprise.
Les présentes politiques et pratiques concernant également le traitement des plaintes, des demandes d’accès et des incidents de confidentialité en lien avec les RP au sens de la Loi.
Dans le cadre des activités de l’Entreprise les RP suivants sont collectés, et ce, selon la nécessité de leur collecte :
Si l’Entreprise souhaite collecter de nouveaux RP, elle doit consulter son responsable des RP afin que celui-ci s’assure du respect des présentes politiques et pratiques ainsi que de la Loi.
Les RP recueillis par l’Entreprise de nature sensible sont ceux envers lesquels la personne physique a un haut degré d’attente raisonnable en matière de vie privée, et sont notamment ceux mentionnés ci-dessous, l’Entreprise s’engage donc à collecter les RP en obtenant un consentement express de la personne physique par le biais d’une lettre écrite :
L’Entreprise collecte les RP de manière écrite par l’entremise du site Web de l’Entreprise, par courriel, par l’utilisation de formulaires papiers. À cet effet, l’Entreprise doit obtenir le consentement de la personne physique concernée par les RP. L’Entreprise a donc mis au point un formulaire de consentement sur un document distinct lorsqu’elle demande des RP plus spécifiques que ceux nécessaires à l’embauche. Concernant les ventes en ligne l’Entreprise a donc mis en place une case dans le formulaire sur son site Web permettant de donner son consentement après la lecture obligatoire de la politique de confidentialité. Les RP requis pour le service de la paie, pour les assurances collectives, pour conduire le véhicule de l’entreprise et pour le commerce en ligne sont collectés directement auprès de la personne physique concernée par les RP de manière écrite.
L’Entreprise devra lors de l’obtention de nouveaux RP, obtenir le consentement de la personne physique concernée par l’utilisation des moyens mis en place pour la collecte initiale.
L’Entreprise prête assistance à la personne physique qui lui demande de l’aide pour comprendre la portée du consentement exigé. Pour ce faire, l’employé qui reçoit la demande doit la transférer au responsable des RP.
L’Entreprise collecte des RP sur des mineurs de plus de 14 ans auprès de ceux-ci suivant l’obtention de leur consentement ou celui du titulaire de l’autorité parentale ou du tuteur. Dans le cas d’un mineur de moins de 14 ans, l’Entreprise obtient le consentement écrit du titulaire de l’autorité parentale ou du tuteur. L’Entreprise confirme l’âge de la personne physique concernée par les RP au moment de la collecte des informations en consultant une pièce d’identité, l’inscrit au dossier et obtient de manière express le consentement requis selon le cas.
Les RP sont collectés pour l’Entreprise aux fins identifiées par celle-ci.
Dans le cadre de l’exploitation de l’Entreprise les RP collectés le sont aux fins suivantes :
| | RP utilisés |
| Procéder à l’adhésion de l’assurance collective | Nom et prénom Date de naissance Adresse courriel |
| Offrir les produits et services en ligne souhaités ainsi qu’effectuer le suivi du dossier; | Adresse courriel Carte de crédit Adresse du domicile |
| Communiquer avec la personne; | Numéro de téléphone Adresse courriel |
| Communiquer avec la personne au sujet de tout changement apporté à nos programmes et à leur fonctionnement ainsi qu’à nos politiques; | Adresse courriel |
| Tenir au courant des promotions / Infolettre / Inviter à des événements | Adresse courriel |
| Assurer le suivi de la garantie retour de produit; | Adresse courriel Adresse domicile |
| Marketing et développement des affaires; | Adresse courriel |
| Recevoir et traiter des demandes d’emploi; | Nom et prénom Adresse courriel Numéro de téléphone Renseignements scolaires |
| Gestion des dossiers clients | Nom et prénom Adresse Numéro de téléphone |
| Gestion du dossier des employés de l’Entreprise; | Nom et prénom Date de naissance Numéro d’assurance sociale Adresse domicile Numéro de téléphone Adresse courriel Emploi Salaire Renseignements scolaires et académiques Formation de secouriste Numéro de compte bancaire Allergies Permis de conduire |
| Émission d’une carte de crédit | Nom et prénom Date de naissance |
Si l’Entreprise souhaite collecter des RP à de nouvelles fins, elle doit consulter son responsable des RP afin que celui-ci s’assure du respect des présentes politiques et pratiques ainsi que de la Loi.
Lors de la collecte des RP, l’Entreprise informe la personne physique des fins auxquelles les RP sont collectés, des moyens par lesquels les RP sont recueillis, des droits accès et de rectification prévue par la Loi et le droit de la personne physique de retirer son consentement à la communication ou à l’utilisation des RP. L’Entreprise informe également, , le nom ou catégorie de tiers à qui il est nécessaire de communiquer les RP pour la réalisation des fins de la collecte y incluant les logiciels
L’Entreprise effectue la collecte de RP par le biais de moyens technologiques, dont son site Internet et par courriel, en conséquence, celle-ci publie sur le site Web de l’Entreprise une politique de confidentialité rédigée en termes simples et clairs. Cette politique comprend des éléments informatifs relativement à la collecte, l’utilisation, la communication, la conservation et la destruction des RP par l’Entreprise, les droits d’accès, de rectification et du retrait du consentement des personnes physiques.
L’Entreprise collecte des RP en utilisant une technologie comprenant des fonctions permettant d’identifier, de localiser ou d’effectuer un profilage de la personne. Le profilage s’entend de la collecte et l’utilisation de RP afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse des préférences personnelles, des intérêts ou du comportement d’une personne. L’Entreprise informe donc les personnes du recours à cette technologie, avant d’utiliser cette technologie, au moyen d’un avertissement qui s’affiche dans un encadré distinct nécessitant une réponse pour continuer à naviguer sur le site Web, et indique la marche à suivre pour activer et désactiver les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage par le biais lors de chaque connexion au site Web de l’Entreprise.
Si l’Entreprise souhaite collecter les RP par de nouveaux moyens, elle doit consulter son responsable des RP afin que celui-ci s’assure du respect des présentes politiques et pratiques ainsi que de la Loi.
L’Entreprise s’assure lorsqu’elle utilise et communique des RP pour prendre une décision relative à la personne physique concernée que ceux-ci sont à jour. L’Entreprise vérifie donc annuellement les RP contenus dans les dossiers de ses employés lors de leur évaluation annuelle.
L’Entreprise conserve les RP des clients effectuant des commandes en ligne 6 mois après leur commande par la suite ils sont effacés.
Avant de transmettre toute information sensible ou confidentielle, l’Entreprise s’assure de communiquer verbalement avec la personne pour confirmer l’adresse de destination.
Conformément à la Loi, en cas de refus par la personne physique concernée de divulguer les RP demandés par l’Entreprise, l’Entreprise doit évaluer si elle se trouve dans l’une des circonstances suivantes afin de pouvoir refuser la demande de bien, de services ou d’emploi :
Le responsable des RP de l’entreprise doit être consulté et prendre en note les circonstances du refus par l’Entreprise, le cas échéant.
Si l’Entreprise souhaite utiliser les RP pour des fins autres que celles initialement visées, elle demande le consentement de la personne physique visée par le biais d’un consentement écrit, sauf s’il s’agit de l’une des situations suivantes prévues à la Loi :
Le responsable des RP de l’Entreprise doit être consulté et prendre en note les raisons pour lesquelles le consentement est ou n’est pas requis pour les nouvelles fins visées.
L’Entreprise communique les RP uniquement aux employés dont la connaissance est nécessaire pour effectuer leurs fonctions.
L’Entreprise communique les RP uniquement aux tiers identifiés lors de la collecte des RP et pour lesquels la personne physique concernée a donné son consentement. Si l’Entreprise souhaite communiquer les RP à d’autres tiers que ceux identifiés elle obtient le consentement de la personne physique concernée par le biais d’un consentement écrit, sauf si la Loi prévoit une exception à ce consentement. Le responsable des RP de l’Entreprise doit être consulté et prendre en note les raisons pour lesquelles le consentement est ou n’est pas requis.
L’Entreprise a établi différentes catégories de personnes au sein de ses employés et chacune des catégories peut accéder uniquement aux RP qui sont nécessaires à la réalisation de ses fonctions :
L’Entreprise a établi que les RP doivent être communiqués aux catégories suivantes :
| RP concernées | Catégories d'employés ayant accès |
| Nom et prénom Date de naissance NAS Adresse du domicile Adresse courriel Numéro de téléphone Spécimen de chèque Permis de conduire Allergies Emploi Salaire Renseignements scolaires et académiques Formation de secouriste | Administration Direction Gérant.e |
Les RP étant communiqués et conservés à l’extérieur du Québec, l’Entreprise a effectué une évaluation des facteurs relatifs à la vie privée selon la grille mise en place par l’Entreprise. L’Entreprise a conclu une entente écrite avec le tiers à qui elle communique les RP hors du Québec et à qui elle demande de conserver les RP en dehors du Québec.
L’Entreprise répertorie tous les emplacements, les supports et les lieux où sont conservés les RP au sein de l’Entreprise et utilise un système de classification des documents barrés. Pour les RP contenus dans les supports numériques, ils demeurent accessibles aux employés de l’administration afin qu’il puissent procéder aux paies et aux remises gouvernementales exigés par les lois.
L’Entreprise s’assure que les RP sont conservés de manière sécuritaire et selon leur degré de sensibilité en fonction du système de classification des documents établis. Pour se faire, les RP sur support numérique sont protégés par des codes d’accès, des mots de passe et sont rangés dans des classeurs barrés aux seules personnes devant avoir accès aux RP selon leurs fonctions au sein de l’Entreprise.
L’Entreprise donne comme directive à ses employés de ne pas se transmettre de RP par courriel ou teams.
L’Entreprise a mis en place l’obligation pour ses employés de changer leurs codes d’accès et mots de passe tous les trois (6) mois.
L’Entreprise exige que tous les cellulaires de ses employés ayant des accès aux RP détenus par l’Entreprise soient protégés par un code d’au moins 6 chiffres.
L’Entreprise a mis en place une politique de télétravail permettant de respecter la confidentialité des RP et pour veiller à leur protection.
L’Entreprise s’assure qu’il n’y ait pas de mots de passe ou de codes d’accès identiques ou partagés entre les employés.
L’Entreprise a mis en place des mesures contre la cybercriminalité par le biais de son fournisseur informatique, à savoir des logiciels Anti Virus sur tous les ordinateurs de l’Entreprise.
Les RP sont conservés pendant les délais suivants :
| RP concernées | Délai de conservation |
|---|---|
| Vente en ligne | 6 mois après la vente |
| Communiquer avec la personne au sujet de tout changement apporté à nos programmes et à leur fonctionnement ainsi qu’à nos politiques; | |
| Factures et registres comptables | 8 ans après l’exercice financier concerné par la facture ou le registre comptable |
| Tenir au courant des promotions / Infolettre / Inviter à des événements | |
| Marketing et développement des affaires; | |
| Recevoir et traiter des demandes d’emploi; | 1 an après la réception du curriculum vitae |
Dossier des employés et assurance collective | 8 ans après l’exercice financier pendant lequel l’employé à quitté |
| Émission d’une carte de crédit | |
| Permis de conduire | Dès que l’employé ne conduit plus pour l’Entreprise |
| Dossier employés utilisés pour prendre une décision relativement à la personne | 1 an de la décision |
| En cas de demande d’accès par la personne | 1 an après la fin du dernier délai applicable dans le processus d’une demande accès |
L’Entreprise met à disposition de ses employés une déchiqueteuse afin que les documents contenant des RP y soient détruit.
L’Entreprise a mis en place un calendrier de destruction des RP selon les délais de conservation fixés.
L’Entreprise procède à la destruction des RP selon le calendrier de destruction, et ce, conformément aux moyens et procédures suggérés sur le site Web de la Commission d’accès à l’information, c’est-à-dire soit par le biais d’une déchiqueteuse à papier ou la suppression informatique.
Lorsque l’Entreprise a des motifs de croire qu’un incident de confidentialité s’est produit elle prend les mesures raisonnables selon les circonstances de l’incident pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent. L’Entreprise consulte son responsable des RP afin de mettre en place les mesures requises.
L’Entreprise a mis en place une procédure en cas de cyberattaque, laquelle prévoit notamment la communication rapide de la situation à tous les employés, l’obligation de communiquer avec le fournisseur informatique afin de protéger le risque de futur fraude.
L’Entreprise consulte son responsable RP et évalue si le potentiel incident de confidentialité représente un préjudice sérieux en évaluant notamment i) la sensibilité des RP concernés, ii) les conséquences appréhendées de leur utilisation, iii) la probabilité qu’ils soient utilisés à des fins préjudiciables. Le responsable des RP conserve les notes sur l’évaluation du préjudice.
L’Entreprise avise sans consentement toute personne ou organisme susceptibles de diminuer le préjudice en communiquant uniquement les RP nécessaires. Le responsable des RP doit noter les informations pertinentes en lien avec cette communication.
En cas de risque de préjudice sérieux, l’Entreprise avise avec diligence la Commission d’accès à l’information en utilisant le formulaire disponible sur le site Web de la Commission d’accès à l’information.
L’Entreprise avise également les personnes physiques concernées par le potentiel incident de confidentialité s’il existe un risque de préjudice sérieux au moyen d’un avis conforme au modèle établi par l’Entreprise comprenant les éléments ci-dessus, sauf si cela est susceptible d’entraver une enquête par une personne ou un organisme chargé de prévenir, détecter le crime ou les infractions aux lois, exception que le responsable des RP prend en note :
L’Entreprise utilise un avis public informant de l’incident de confidentialité uniquement si cela est conforme au Règlement sur les incidents de confidentialité.
L’Entreprise a créé un registre des incidents de confidentialité conforme au Règlement sur les incidents de confidentialité. Le registre doit être tenu à jour par le responsable des RP. Les renseignements contenus dans le registre sont conservés pour une période de 5 ans.
L’Entreprise a mis en place une boite courriel attitrée au responsable des RP et un accusé réception automatique est envoyé lors de la réception de courriels dans celle-ci. Cet accusé réception confirme que l’Entreprise a bien reçu le courriel, que la demande sera traitée dans les 30 jours de sa réception et invite la personne à consulter la politique de confidentialité de l’Entreprise sur son site Web ainsi que le site Web de la Commission d’accès à l’information pour connaître ses droits et obligations.
Sur demande de la personne physique concernée, l’Entreprise cesse la diffusion d’un RP si cette diffusion contrevient à la loi ou à une ordonnance judiciaire. Il revient au responsable des RP de vérifier la validité de la demande.
Sur demande conforme de la personne physique concernée, l’Entreprise l’informe en termes simples et clairs des RP recueillis auprès d’elle, des fins pour lesquelles les RP ont été collectés, les moyens par lesquels les RP sont collectés, de ses droits accès, de rectification et de retrait de son consentement à l’utilisation et la communication de ses RP, les catégories de personnes qui ont accès au RP au sein de l’Entreprise, et les tiers à qui les RP sont communiqués, la durée et du lieu de conservation des RP ainsi que les coordonnées du responsable de la protection des RP. Toute demande de cette nature doit être transférée au responsable des RP qui doit accuser réception de la demande dans les 5 jours ouvrables et y donner suite dans les 30 jours de la réception de la demande.
Lorsque l’Entreprise reçoit une demande d’accès ou de rectification, elle transfère celle-ci au responsable des RP. Le responsable des RP accuse réception de la demande dans les 5 jours ouvrables et informe la personne qu’une réponse lui sera communiquée par écrit dans les 30 jours de la réception de sa demande.
Le responsable RP analyse la demande d’accès ou de rectification et utilise le modèle mis en place par l’Entreprise pour donner suite à la demande.
Une demande d’accès ou de rectification doit être faite par écrit au responsable des RP par une personne justifiant sa qualité pour effectuer une telle demande. À défaut, l’Entreprise lui indique que sa demande n’est pas conforme aux exigences de la Loi.
Lorsque la demande d’accès ou de rectification n’est pas suffisamment précise, ou sur demande, le responsable des RP prête assistance pour identifier les RP recherchés.
Le responsable des RP répond à la demande d’accès ou de rectification par écrit dans les 30 jours de la réception de la demande.
Si la demande d’accès est fondée, l’Entreprise donne accès gratuitement aux RP.
Si la demande de rectification est fondée, le responsable des RP délivre sans frais une copie au demandeur tout RP modifié, ajouté ou une attestation de suppression du RP, selon le cas. Le cas échéant, la rectification est notifiée, sans délai, à toute personne qui a reçu les renseignements dans les six mois précédents et, le cas échéant, à la personne de qui elle les tient.
Si la demande d’accès ou de rectification est infondée, le responsable des RP avise par écrit des motifs du refus de donner suite à la demande. Le responsable doit également inscrire la disposition de la Loi sur laquelle le refus est fondé ainsi que les recours qui s’offrent au demandeur et le délai dans lequel ils doivent être exercés. Sur demande, le responsable des RP prête assistance au demandeur pour l’aider à comprendre le refus. Le cas échéant, le refus de la rectification est notifié, sans délai, à toute personne qui a reçu les renseignements dans les six mois précédents et, le cas échéant, à la personne de qui elle les tient.
Si l’Entreprise reçoit une plainte relativement aux RP qu’elle détient ou suivant une demande d’accès ou de rectification par la personne physique concernée, ou une personne détenant la qualité nécessaire pour effectuer telle plainte, elle la réfère au responsable des RP.
Le responsable des RP accuse réception par écrit de la demande le jour ouvrable suivant sa réception par l’Entreprise. Il informe le plaignant lors de cet accusé réception de communiquer avec lui afin de fixer un rendez-vous téléphonique dans les 10 jours ouvrables pour discuter du dossier et de l’informer du processus de traitement des plaintes à l’interne de l’Entreprise. L’accusé réception avise le plaignant de communiquer s’il le souhaite avec la Commission d’accès à l’information afin d’en connaître davantage sur ses droits et les délais légaux notamment pour déposer une plainte.
Le responsable des RP collecte lors de cet entretien téléphonique les renseignements pertinents au traitement de la plainte et fixe une rencontre de négociation.
Le responsable des RP doit obtenir le consentement du conseil d’administration de l’Entreprise afin de conclure toute entente avec le plaignant.
L’entente conclue avec le plaignant doit être écrite et signée par les parties et prévoir que celle-ci est confidentielle.
Si la séance de négociation échoue, le responsable des RP doit, s’il le juge opportun, proposer au plaignant de participer à une séance de médiation dans les 30 jours ouvrables de la négociation ayant échouée. Le responsable des RP doit avant d’effectuer la proposition faire approuver la démarche par le conseil d’administration de l’Entreprise.
Sur acceptation du conseil d’administration de l’Entreprise, le responsable des RP propose par écrit au plaignant une séance de médiation et le nom d’un médiateur qu’il propose dont les frais seront payés en parts égales.
L’Entreprise nomme un responsable des RP, son titre et ses coordonnées sont affichés sur le site Web de l’Entreprise.
L’Entreprise s’assure de fournir les outils et les formations requises au responsable des RP pour l’exécution de ses tâches. Si besoin, l’Entreprise permet au responsable des RP de consulter des professionnels afin de le conseiller dans l’application des présentes politiques et pratiques, les politiques et documents modèles mis en place par l’Entreprise et de la Loi.
Les employés de l’Entreprise sont informés de qui est le responsable RP et de communiquer avec lui pour toute question relative à la collecte, l’utilisation, la communication, la conservation et la destruction des RP détenus par l’Entreprise.
Les employés de l’Entreprise sont avisés qu’ils doivent référer tous les clients ayant des questions relativement aux RP et aux politiques de l’Entreprise à la politique de confidentialité de l’Entreprise et au responsable des RP.
L’Entreprise informe le responsable des RP qu’il doit notamment effectuer les tâches suivantes :
L’Entreprise a mis en place les présentes politiques et pratiques de gouvernance et les révise annuellement notamment afin de vérifier leur conformité à la Loi. Les présentes politiques et pratiques de gouvernance sont également révisées au courant de l’année s’il y a des changements dans les processus internes de l’Entreprise en lien avec les RP ou dans la manière de collecter, utiliser, communiquer, conserver ou détruire les RP.
Toutes les mises à jour des présentes politiques et pratiques seront communiquées par avis sur le site Web de l’Entreprise.
L’Entreprise a mis en place une politique de confidentialité et la révise annuellement notamment afin de vérifier sa conformité à la Loi. Toutes les mises à jour de la politique de confidentialité seront communiquées par avis sur le site Web de l’Entreprise.
L’Entreprise a mis en place une politique de gestion des témoins (cookies) sur son site Web. Cette politique permet à l’utilisateur de déterminer quels témoins seront actifs pendant qu’il visite le site Web de l’Entreprise.
L’Entreprise a mis en place une procédure et une grille d’analyse afin d’effectuer une évaluation des facteurs relatifs à la vie privée (EFVP) lorsque cela est requis par la Loi, notamment i) si des RP sont communiqués ou conservés à l’extérieur du Québec, ii) pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de RP et iii) si les RP sont communiqués aux fins d’études, de recherches ou statistiques.
L’Entreprise a mis en place un système afin que soient annotées les démarches, décisions et événements en lien avec les RP.
L’Entreprise s’assure que le mot de passe du wifi invité ne soit pas à la vue de tous, mais uniquement disponible sur demande et suivant la confirmation de l’identité de la personne par un employé de l’Entreprise par un consentement verbal.
L’Entreprise a recours aux experts pertinents afin de s’assurer du respect de la Loi notamment auprès de son fournisseur informatique et de son conseiller juridique.
L’Entreprise effectue des séances de sensibilisation auprès de ses employés relativement à la protection des RP lors de leur embauche et également une fois par année.
L’Entreprise prend les moyens raisonnables afin que ses locaux permettent d’effectuer en toute confidentialité la collecte, l’utilisation, la communication, la conservation et la destruction des RP, et ce, par la mise en place de bureaux fermés. L’Entreprise sensibilise tous ses employés afin que la même confidentialité soit appliquée à l’extérieur de ses locaux.
L’Entreprise a mis en place une procédure en cas de départ d’un employé prévoyant notamment le retrait des applications et le nettoyage des RP des appareils technologiques qu’il conserve et le changement de ses codes accès et mots de passe auxquels il avait accès.
L’Entreprise s’assure que tous les employés aient lu, compris et respectent les présentes politiques et pratiques.
L’Entreprise fait signer un engagement de confidentialité à ses employés en lien avec les RP détenus par l’Entreprise.
Les présentes politiques et pratiques ont été adoptées par l’Entreprise en date du 2 décembre 2024 et approuvées par le responsable des RP.
Annie St-Hilaire
Responsable des renseignements personnels