Podcast
Prendre un rendez-vous

Politique de gouverance

1. Objet de la politique 

1.1 La protection des renseignements personnels  

Il s’agit d’une priorité pour Strateginc, (ci-après la « Compagnie »). La présente Politique sur la gestion des renseignements personnels (ci-après la « Politique ») précise le cadre de gouvernance concernant la gestion des renseignements personnels.    

 

1.2 Règles et responsabilités en matière de renseignements personnels 

Elle énonce les règles qui guident les pratiques Strateginc dans la gestion des renseignements personnels qu’elle détient. Elle définit les rôles et les responsabilités du personnel de Strateginc à l’égard des renseignements personnels tout au long du cycle de vie des renseignements, de leur collecte à leur destruction.   

 

2. Champ d’application   

2.1 Public cible 

La Politique s’adresse à tout le personnel de Strateginc, y compris les étudiants, les stagiaires et les contractuels.   

 

2.2 Champ d’application 

Elle s’applique à tous les renseignements personnels détenus par Strateginc, incluant ceux dont la conservation est assurée par un tiers, quel que soit le support sur lequel ils sont conservés, et ce, de leur collecte à leur destruction. Tout renseignement qui concerne une personne physique et permet de l’identifier directement ou indirectement est un renseignement personnel.   

 

2.3 Application aux tiers 

Elle s’applique également à toute personne à qui Strateginc confie des renseignements personnels dans le cadre de l’exécution d’un mandat ou d’un contrat de service.  

 

3. Cadre législatif, règlementaire et administratif 

3.1 Références légales 

La présente politique prend appui sur les textes suivants :    

  • Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé (Loi 25);  
  • Loi concernant le cadre juridique des technologies de l’information (C-1.1);   
  • Loi sur les archives (A-21.1).  

 

4. Principes directeurs   

Dans l’exercice de ses activités, Strateginc recueille et traite des renseignements personnels. Strateginc est assujettie à la Loi sur l’accès et doit protéger les renseignements personnels qu’elle détient. Pour ce faire, elle s’engage à prendre les mesures propres à assurer la protection de ces renseignements personnels. Ses pratiques en matière de protection des renseignements personnels reposent sur les principes suivants :   

 

4.1 Responsabilité  

Strateginc est responsable des renseignements personnels qu’elle détient. Pour ce faire, elle :   

  • Met en œuvre des politiques et des pratiques pour respecter ses obligations en matière de protection des renseignements personnels et pouvoir le démontrer;   
  • Évalue les impacts sur la vie privée d’un projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services impliquant des renseignements personnels, dès les premières étapes de conception;   
  • Sensibilise de manière régulière et offre à son personnel des formations relatives à la protection des renseignements personnels. Ces activités revêtent différentes formes, selon le contexte et l’objectif voulus : formation d’accueil lors de l’entrée en poste d’un nouvel employé, formations d’appoints et activités de sensibilisation diverses sous forme de présentations, webinaires, capsules d’information, infolettre, ateliers et rencontres d’équipe, etc.;  
  • Met en place une procédure pour traiter les plaintes liées à la gestion des renseignements personnels qu’elle détient.  

 

4.2 Nécessité  

Strateginc ne recueille que les renseignements personnels nécessaires à l’exercice de ses fonctions ou à la mise en œuvre de programmes dont elle a la responsabilité. Le personnel de Strateginc n’accède qu’aux renseignements personnels auxquels il a besoin pour s’acquitter de ses tâches. 

 

4.3 Consentement

Chaque fois que la Loi sur l’accès l’exige, Strateginc s’assure d’obtenir un consentement valide de la personne concernée par les renseignements personnels, par exemple, pour les utiliser à une autre fin que celles de leur collecte ou pour les communiquer à des tiers. Un consentement valide est manifeste, libre, éclairé et donné à des fins spécifiques. Il est demandé pour chacune de ces fins en des termes simples et clairs permettant ainsi à la personne concernée de comprendre la portée de ce qui lui est demandé. S’il s’agit de renseignements sensibles, le consentement doit être donné de manière expresse.   

 

4.4 Confidentialité   

Strateginc assure la confidentialité des renseignements personnels qu’elle détient. Elle prend les mesures de sécurité nécessaires pour protéger les renseignements personnels, de leur collecte à leur destruction. Ces mesures tiennent compte de la sensibilité, de la finalité, de la quantité, de la répartition et du support des renseignements personnels. Elle met en place les mesures nécessaires afin de limiter l’utilisation et la communication de ces renseignements.   

 

4.5 Exactitude  

Strateginc s’assure que les renseignements personnels qu’elle détient sont à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis.   

 

4.6 Droit d’accès et de rectification   

Toute personne peut demander de consulter ou d’obtenir copie des renseignements personnels que Strateginc détient à son sujet et de les faire rectifier, dans la mesure prévue par la Loi sur l’accès. 

 

4.6.1 Destruction  

Strateginc s’assure de détruire les renseignements personnels qu’elle détient lorsque les finalités sont accomplies, sous réserve des délais prévus à son calendrier de conservation. 

 

4.7 Transparence 

Strateginc fait preuve de transparence dans la gestion des renseignements personnels qu’elle détient. Lors de leur collecte, elle informe la personne concernée des buts poursuivis par cette collecte, de l’utilisation qui en sera faite et de plusieurs autres éléments requis par la loi. En cas de collecte par un moyen technologique, ces informations sont incluses dans ses politiques de confidentialité diffusées sur son site Web. Strateginc diffuse également ses règles de gouvernance en matière de protection des renseignements personnels.   

 

4.8 Traitement des renseignements personnels   

La protection des renseignements personnels est assurée tout au long de leur cycle de vie. Les renseignements personnels détenus par Strateginc sont confidentiels et soumis aux règles de protection prévues par la Loi sur l’accès. Toutefois, celle-ci prévoit certaines situations dans lesquelles ces renseignements ne sont pas confidentiels. Strateginc pourraient partager vos informations dans le cadre de ces situations précises. 

 

4.9 Collecte des renseignements personnels   

Le personnel de Strateginc ne recueille que les renseignements personnels qui sont nécessaires à l’exercice de ses fonctions, notamment la prestation de ses services ainsi que de l’embauche et de la gestion de son personnel. 

4.10.Gestion des ressources humaines   
4.10.1 Embauche 

Aux fins de l’embauche du personnel, le personnel des ressources humaines de Strateginc ne recueille que les renseignements personnels nécessaires au traitement de l’évaluation des candidatures. Il s’agit généralement des renseignements transmis par les candidats.   

4.10.2 Gestion du personnel. 

Le personnel des ressources humaines recueille les renseignements nécessaires à la gestion du dossier du personnel de Strateginc, notamment :   

  • Les informations relatives à son emploi;   
  • Ses coordonnées;   
  • Son assiduité;   
  • Les événements liés à la formation et au développement professionnel, à la santé et sécurité au travail, à sa performance et à sa rémunération.   

 

4.11 Conservation des renseignements personnels   
4.11.1 Confidentialité — obligations 

Le personnel de Strateginc assure la confidentialité des renseignements personnels dans l’exercice de ses fonctions. Pour ce faire, il :  

  • Respecte les politiques, directives et procédures de Strateginc visant la protection des renseignements personnels;   
  • Ne révèle aucun renseignement personnel dont il a pris connaissance dans l’exercice de ses fonctions sans y être autorisé;   
  • Participe aux activités de formation et de sensibilisation offertes par Strateginc Accède seulement aux renseignements personnels nécessaires à l’exercice de ses fonctions;   
  • S’assure que les renseignements personnels qu’il utilise sont complets, à jour et exacts pour servir aux fins pour lesquelles Strateginc les recueille ou les utilise;   
  • Ne conserve, sur un support physique (papier) ou électronique autre que celui de Strateginc, aucun renseignement personnel porté à sa connaissance dans le cadre de l’exercice de ses fonctions et continue d’en préserver la confidentialité.  

 

4.12.1 Questions et responsabilités en matière de confidentialité 

En cas de doute quant à la confidentialité d’un renseignement ou de question au sujet de la gestion des renseignements personnels, il s’adresse à son gestionnaire ou au responsable de la protection des renseignements personnels. 

 

4.12.2 Mesures de sécurité de l’information et cybersécurité 

Strateginc applique des mesures de sécurité organisationnelles, technologiques et physiques adaptées à la sensibilité des renseignements personnels qu’elle détient. À ce titre, elle : 

  • Protège les données en transit et au repos au moyen de mécanismes de chiffrement reconnus. 
  • Utilise une authentification multifacteur pour l’accès aux systèmes contenant des renseignements sensibles. 
  • Met en place des plans de continuité des affaires et de reprise après sinistre pour assurer la disponibilité des données en cas d’incident. 
  • Procède régulièrement à des mises à jour de sécurité et à des tests de vulnérabilité de ses systèmes. 
  • Forme son personnel aux bonnes pratiques de cybersécurité, incluant la détection des tentatives d’hameçonnage et autres cybermenaces.  

   

4.13 Utilisation des renseignements personnels   
4.13.1 Utilisation autorisée seulement 

Le personnel de Strateginc n’utilise les renseignements personnels qu’aux fins pour lesquelles ils ont été recueillis. Toute autre utilisation doit être préalablement autorisée par le gestionnaire ou le responsable de l’accès. Ces derniers s’assurent que cette nouvelle utilisation est conforme à la Loi (autorisée par la loi ou requiert le consentement de la personne concernée).   

 

4.13.2 Devoirs du personnel 

Les membres du personnel de Strateginc qui utilisent des renseignements personnels dans le cadre de leurs fonctions doivent :   

  • Limiter l’utilisation qu’ils en font aux fins de l’exercice de leurs fonctions;   
  • S’assurer d’en préserver la confidentialité en toutes circonstances;   
  • Informer sans délai leur supérieur immédiat et le responsable de l’accès de toute situation où la confidentialité de renseignements personnels pourrait avoir été compromise.   

 

4.14 Utilisation de renseignements à des fins de sondage   

L’utilisation de renseignements personnels aux fins de réaliser un sondage doit respecter la Directive sur les sondages réalisés par la Commission d’accès à l’information.   

 

4.15 Communication des renseignements personnels   
4.15.1 Communication à des tiers 

Le personnel de Strateginc ne peut communiquer un renseignement personnel confidentiel à un tiers sans le consentement de la personne concernée. La loi prévoit certaines exceptions, notamment :   

  • En cas d’urgence ou en vue de prévenir un acte de violence;   
  • Permettre l’exercice d’un mandat ou l’exécution d’une entente de service avec un tiers;   
  • Lorsqu’une personne ou un organisme soumet une demande écrite afin d’utiliser les renseignements personnels à des fins de recherche, d’étude ou de production de statistiques;   
  • En cas d’incident de confidentialité pour aviser une personne ou un organisme susceptible de diminuer le risque de préjudice sérieux. La procédure de gestion des incidents de confidentialité s’applique.   

 

4.15.2 Validation préalable 

Avant de communiquer un renseignement personnel confidentiel à un tiers, le personnel de Strateginc doit s’assurer de consulter le gestionnaire de sa direction. Le gestionnaire peut consulter le responsable de l’accès au besoin.   

 

4.15.3 Ententes de service 

Certains renseignements sont communiqués à des tiers en vertu d’ententes de service que Strateginc conclut avec des tiers pour l’accomplissement des mandats octroyer par ses clients.   

 

4.15.4 Obligations contractuelles et sous-traitance 

Lorsque Strateginc confie la conservation, le traitement ou l’hébergement de renseignements personnels à un tiers fournisseur ou partenaire : 

  • Des clauses contractuelles précises encadrent la collecte, l’utilisation, la communication, la conservation et la destruction des renseignements. 
  • Le tiers doit offrir des garanties équivalentes ou supérieures en matière de protection des renseignements personnels. 
  • Les transferts de renseignements personnels à l’extérieur du Québec ne sont permis qu’à la suite d’une évaluation des facteurs relatifs à la vie privée confirmant que le niveau de protection est adéquat. 
  • Strateginc se réserve le droit de réaliser des vérifications de conformité auprès de ses fournisseurs et partenaires stratégiques. 

 

4.16 Destruction des renseignements personnels   

Le personnel de Strateginc détruit de façon sécuritaire les renseignements personnels lorsque les fins pour lesquelles ils ont été recueillis sont accomplies, suivant les délais prévus au calendrier de conservation et aux règles de gestion des documents.    

 

4.17 Droits de la personne concernée par un renseignement personnel   
4.17.1 Accès   

Les personnes concernées par les renseignements personnels détenus par Strateginc ont le droit d’être informées de l’existence de ces renseignements les concernant et d’en recevoir communication, dans les limites et aux conditions prévues par la Loi. 

 

4.17.2 Portabilité   

Une personne peut demander l’accès à ses renseignements personnels informatisés qu’elle a fournis directement à Strateginc dans un format technologique structuré et couramment utilisé. Les renseignements personnels recueillis en format papier ne sont pas visés.   

 

4.17.3 Rectification   

Une personne concernée par un renseignement personnel inexact, incomplet ou équivoque, ou dont la collecte, la communication ou la conservation ne sont pas autorisées par la Loi, peut exiger la rectification de ce renseignement, dans les limites et aux conditions prévues par la Loi.   

 

4.17.4 Demandes d’accès ou de rectification   

Toute demande d’accès ou de rectification aux renseignements personnels doit être adressée au responsable de l’accès et de la protection des renseignements personnels : confidentialite@strateginc.com 

 

Une demande d’accès ou de rectification reçue par une autre direction doit lui être transmise dès sa réception.   

 

5. Rôles et responsabilité

5.1 Le président
  • Veille à assurer le respect et la mise en œuvre des dispositions de la Loi sur l’accès au sein de la Strateginc;   
  • Peut déléguer par écrit à une ou un membre du personnel de direction de Strateginc la responsabilité de l’accès aux documents et de la protection des renseignements personnels;   
  • Facilite l’exercice des fonctions de responsable de la protection des renseignements personnels;   
  • Approuve la présente politique ainsi que les moyens de son application;   
  • Soutient la mise en œuvre et la diffusion de la présente politique.   
5.2 Responsable de l’accès 

La ou le responsable de l’accès aux documents et de la protection des renseignements personnels :   

  • Assure le respect et la mise en œuvre des dispositions de la Loi sur l’accès au sein de la compagnie;   
  • Veille au respect de la présente politique ainsi que des obligations légales, règlementaires et administratives relatives à l’accès aux documents et à la protection des renseignements personnels;   
  • Coordonne l’action de Strateginc en matière d’accès aux documents et de protection des renseignements personnels;   
  • Coordonne les travaux du groupe de travail sur l’accès aux documents et sur la protection des renseignements personnels de Strateginc;   
  • Soutient les gestionnaires et assume un rôle conseil, de soutien et d’accompagnement auprès du personnel de l’organisation;   
  • Propose les outils nécessaires à la mise en œuvre de la présente politique;   
  • Collabore avec les responsables partenaires de la sécurité informatique et de la gestion documentaire dans la mise en place de mesures visant une protection optimale des renseignements personnels;   
  • Traite les plaintes relatives à la protection des renseignements personnels conformément à la Loi sur l’accès et les consigne au registre des plaintes sur la gestion des renseignements personnels;   
  • Traite les demandes d’accès aux documents et aux renseignements personnels, ainsi que les demandes de rectification conformément à la Loi sur l’accès;   
  • Procède à l’évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels, et ce, dès le début du projet;   
  • Procède à l’évaluation des facteurs relatifs à la vie privée pour toute communication de renseignements personnels à l’extérieur du Québec et détermine si la communication bénéficie d’une protection adéquate.   

 

5.3 Les gestionnaires  et conseillers

Les gestionnaires et conseillers sont les détenteurs des renseignements personnels sous leur responsabilité. À ce titre, ils sont responsables de la gestion et de la protection des renseignements personnels détenus par le personnel de leur unité administrative. Plus particulièrement, ils :   

  • S’assurent du respect de la présente politique et des procédures ou directives qui en découlent au sein de leur unité administrative;   
  • Veillent à ce que le personnel sous leur responsabilité utilise des moyens sécuritaires pour recueillir, utiliser, conserver, communiquer ou détruire les renseignements personnels;   
  • Collaborent avec le responsable de l’accès aux documents et de la protection des renseignements personnels et avec le groupe de travail visant la conformité de la Commission aux obligations législatives, règlementaires et administratives en matière de protection des renseignements personnels;   
  • Prennent les mesures appropriées en cas de manquement à la présente politique ou aux règles de protection des renseignements personnels par un membre du personnel sous leur responsabilité;   
  • Sensibilisent le personnel sous leur responsabilité à l’importance de protéger les renseignements personnels, en collaboration avec le responsable de l’accès aux documents et de la protection des renseignements personnels;   
  • S’assurent que le personnel sous leur responsabilité participe aux formations relatives à la protection des renseignements personnels offertes par Strateginc.   
  • S’assurent que les délais de conservation des renseignements personnels prévus par le calendrier de conservation de Strateginc respectent les normes en la matière;   
  • S’assurent que les moyens utilisés pour la destruction des renseignements personnels sont sécuritaires et assurent leur caractère confidentiel;  
  • Veillent à l’accessibilité et à la conservation des renseignements personnels en préservant leur confidentialité et dans le respect des exigences législatives, règlementaires et administratives;  
  • S’assurent que les renseignements personnels que Strateginc détient sont complets, à jour et exacts pour servir aux fins pour lesquelles elle les recueille où les utilise.  
  • S’assurent d’inclure des exigences contractuelles visant la protection et la confidentialité des renseignements personnels lorsque les contrats impliquent la communication de tels renseignements. Ces clauses encadrent la cueillette, l’utilisation, la conservation, la communication et la destruction de renseignements personnels par ses fournisseurs et prestataires de services;   
  • S’assurent de la sécurité des ressources informationnelles et de l’information qu’elle détient ou qu’elle utilise conformément aux politiques et directives de Strateginc;   
  • Assistent la Direction dans la détermination des orientations stratégiques et des priorités d’intervention dans la sécurité de l’information.   
     
5.4 Le personnel de Strateginc 
  • Prend connaissance de la présente politique et en respecte l’esprit, les dispositions et les procédures qui en découlent;   
  • Prend les mesures nécessaires pour assurer la protection des renseignements personnels auxquels il a accès;   
  • N’accède qu’aux renseignements personnels nécessaires à l’exercice de ses fonctions;   
  • Utilise les renseignements personnels auxquels il a accès pour les fins prévues lors de leur collecte;   
  • Informe son gestionnaire et le responsable de la protection des renseignements personnels de tout incident lié à la protection des renseignements personnels détenus par Strateginc;   
  • Participe aux activités de sensibilisation et de formation à la protection des renseignements personnels mis à sa disposition par Strateginc. 

5.4.1 Formation annuelle obligatoire 

Chaque employé et gestionnaire de Strateginc doit suivre, sur une base annuelle, une formation obligatoire en matière de protection des renseignements personnels et de cybersécurité. Cette formation vise à assurer une compréhension uniforme des obligations légales et des bonnes pratiques à appliquer dans l’exercice des fonctions. Une attestation de participation est conservée au dossier de l’employé de manière virtuel dans le portail de formation et dans le registre des formations de l’agent à la conformité. 
 

5.4.2 Sanctions disciplinaires en cas de non-respect 

Tout manquement à la présente politique peut entraîner des mesures disciplinaires appropriées, pouvant aller d’un avis écrit jusqu’à la suspension ou le congédiement, selon la gravité de la situation. Ces mesures s’appliquent également à toute personne contractuelle ayant accès aux renseignements personnels de Strateginc. 

  

5.5 Gouvernance organisationnelle 

En plus des rôles et responsabilités décrits aux sections précédentes, Strateginc adopte les principes suivants : 

  • Conseil de direction : veille à l’application des bonnes pratiques de gouvernance et approuve les ressources nécessaires à la mise en œuvre de la présente politique. 
  • Conflits d’intérêts : tout administrateur, gestionnaire ou employé doit déclarer annuellement tout intérêt financier, professionnel ou personnel susceptible d’influencer ses décisions dans l’exercice de ses fonctions. 
  • Divulgation responsable : Strateginc met en place un mécanisme confidentiel permettant à toute personne de signaler un manquement éthique ou un risque grave en matière de protection des renseignements personnels, sans crainte de représailles. 
  • Amélioration continue : la direction s’assure que la politique est mise à jour dès qu’un changement législatif, technologique ou organisationnel l’exige. 

 

5.6 Gestion des incidents de confidentialité 

Strateginc a établi une procédure spécifique pour gérer tout incident de confidentialité. À ce titre, elle : 

  • Tient un registre des incidents de confidentialité, incluant leur nature, les renseignements visés, les mesures prises et les résultats de l’analyse du risque de préjudice. 
  • Évalue sans délai le risque qu’un incident cause un préjudice sérieux aux personnes concernées. 
  • Avise la Commission d’accès à l’information ainsi que les personnes concernées lorsqu’un incident présente un tel risque. 
  • Met en place des mesures correctives pour réduire les risques qu’un incident semblable se reproduise. 
  • Forme son personnel à reconnaître et signaler rapidement tout incident. 

 

6. Plaintes en matière de renseignements personnels  

6.1 Plaintes 

Procédure de traitement des plaintes relatives à la protection des renseignements personnels. 

 

6.2 Dépôt d’une plainte 

Quiconque considérant que Strateginc ne respecte pas ses droits en matière de protection des renseignements personnels peut transmettre une plainte par écrit, avec diligence, au responsable de l’accès aux documents et à la protection des renseignements personnels.  La plainte doit être soumise par écrit à la personne responsable de la protection des renseignements personnels dans les 21 jours suivant l’évènement qui y donne lieu à l’adresse suivante : confidentialite@streteginc.com. Elle doit inclure les éléments suivants :  

  • Nom et coordonnées du client faisant la plainte 
  • Description détaillée des motifs de la plainte 

 

6.3 Traitement des plaintes 
6.3.1 Confidentialité et consentement 

Le traitement de la plainte sera confidentiel. Toutefois, la responsable pourrait devoir divulguer l’identité du plaignant aux employés concernés par l’objet de la plainte dans le cadre de l’enquête. Une plainte anonyme sera considérée recevable, mais pourrait empêcher une analyse complète de la situation. 

 

6.3.2 Recevabilité d’une plainte 

Une plainte ne sera pas considérée recevable dans les circonstances suivantes : 

  • Insatisfaction ou demande de révision d’une décision du responsable de l’accès aux documents 
  • Lien avec une décision judiciaire ou quasi-judiciaire  
  • Objet d’une procédure judiciaire en cours 
  • Situations hors de la responsabilité de Strateginc 
  • Propos haineux, menaçants ou harcelants 

Cette procédure vise à assurer un traitement équitable et confidentiel des plaintes relatives à la protection des renseignements personnels des employés, conformément aux lois applicables. 

 

7. Adoption, révision et entrée en vigueur  

La présente politique est révisée tous les trois (3) ans à compter de la date de son adoption ou avant si les circonstances le justifient. Elle entre en vigueur dès sa publication.  
 

7.1 Audit et reddition de comptes 

En plus de la révision triennale prévue, Strateginc réalise : 

  • Un audit interne annuel afin de vérifier la conformité de ses pratiques à la présente politique et aux exigences légales. 
  • Un rapport annuel préparé par le responsable de la protection des renseignements personnels, incluant un sommaire des incidents de confidentialité, des plaintes reçues et des améliorations mises en place. 
  • Une présentation de ce rapport au conseil de direction, afin d’assurer une reddition de comptes transparente et documentée. 

 

7.2 Mise à jour légale et normative 

Indépendamment de la révision triennale prévue, la présente politique est mise à jour sans délai si une modification législative, réglementaire ou normative impose des ajustements. La direction s’assure que toute mise à jour est communiquée rapidement au personnel et aux partenaires concernés. 

 

Mise à jour: Novembre 2025