POLITIQUE ET PRATIQUES DE RBD AVOCATS SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
Partie I – Principes généraux
A) Fondements juridiques
1) La protection de la vie privée est un droit fondamental protégé par la Charte des droits et libertés de la personne, RLRQ c. C-12 et par le Code civil du Québec.
2) La présente politique est adoptée dans le respect des principes énoncés dans la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c. P-39.1, afin de s’assurer que le personnel de Roy Bélanger avocats s.e.n.c.r.l. (ci-après « RBD ») protège les renseignements personnels détenus dans le cadre des activités du cabinet.
3) La présente politique tient compte des obligations des avovat.e.s prévues dans la Loi sur le Barreau, RLRQ c. B-1 et au Code de déontologie des avocats, B-1, r. 3.1.
B) Définitions
4) Pour les fins de la présente politique, les termes suivants signifient:
- a) Avocat responsable du mandat : avocat de RBD qui a la responsabilité d’un mandat confié à RBD et qui est désigné comme tel dans la fiche de renseignement du dossier;
- b) Incident de confidentialité: l’accès non autorisé par la loi à un renseignement personnel ou l’utilisation non autorisée par la loi d’un renseignement personnel ou la communication non autorisée par la loi d’un renseignement personnel; ou la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement;
- c) Mandat: Tout travail, tâche ou demande confié aux avocats et avocates de RBD ou à son personnel dans le cours normal des affaires d’un cabinet d’avocats.
- d) Membre de RBD: toute personne œuvrant au sein de Roy Bélanger avocats s.e.n.c.r.l.;
- e) Renseignement personnel: tout renseignement qui concerne une personne physique et permet de l’identifier;
- f) Responsable PRP: le membre de RBD qui est désigné responsable de la protection des renseignements personnels pour RBD ou toute personne désignée pour le remplacer en son absence;
- g) Responsable adjoint PRP: le membre de RBD désigné pour assister le responsable PRP et le remplacer en cas d’absence.
C) Engagement
5) Les membres de RBD prennent l’engagement de respecter les règles et les procédures contenues dans la présente politique.
6) RBD s’engage à prendre tous les moyens nécessaires pour assurer la protection des renseignements personnels détenu dans le cadre de ses activités.
Partie II – Collecte des renseignements personnels
A) Fondements juridiques
7) RBD ne recueille que les renseignements personnels qui sont nécessaires à l’exécution des mandats qui lui sont confiés par sa clientèle ou qui sont nécessaires pour la gestion de ses affaires, y compris dans le but d’éviter des conflits d’intérêts.
8) RBD recueille également des renseignements personnels dans le but de transmettre ses publications et autres communications d’intérêt pour sa clientèle. Il est toujours loisible à toute personne de se désabonner de la liste d’envoi utilisée par RBD pour transmettre ses publications.
9) Lorsque RBD recueille un renseignement personnel directement de la personne concernée ou de son représentant, RBD considère que la personne concernée consent à l’obtention de ce renseignement et à son utilisation pour les fins précises du mandat confié à RBD.
10) Lorsque RBD doit recueillir auprès de tiers des renseignements personnels, un formulaire attestant du consentement écrit de la personne concernée est utilisé.
11) Le site internet de RBD n’utilise aucun marqueur («cookie») qui n’est pas strictement nécessaire pour le fonctionnement du site et n’utilise aucun cookie à des fins statistiques ou de marketing.
Partie III – Consultation et conservation des renseignements personnels
A) Utilisation, rectification et suppression
12) Aucun membre de RBD n’utilise un renseignement personnel ou un document contenant un tel renseignement à des fins autres que celles qui sont nécessaires pour l’exécution du mandat confié par un client ou pour l’administration des affaires de RBD.
13) Si un membre de RBD désire utiliser un document contenant un renseignement personnel à d’autres fins que celles mentionnées à l’article précédent, il obtient le consentement de la personne visée.
14) En tout temps, une personne peut retirer son consentement à l’utilisation d’un renseignement personnel ; à cette fin, la personne peut demander qu’un membre de RBD lui explique les conséquences de ce retrait sur l’exécution du mandat confié à RBD.
15) Toute personne peut consulter, obtenir copie, faire rectifier ou demander la suppression d’un renseignement personnel détenu par RBD la concernant en formulant une demande par courriel au responsable PRP ; une telle demande est gratuite, sauf en ce qui concerne les frais de reproduction de documents, le cas échéant.
16) La demande de suppression d’un renseignement personnel ne peut viser que les renseignements personnels qui sont périmés ou dont la conservation n’est pas justifiée par l’objet du dossier.
17) À moins que la personne qui formule une demande y renonce, toute demande de consultation, de rectification ou de suppression est traitée de façon confidentielle.
B) Conservation
18) Les renseignements personnels peuvent être conservés sur un support physique ou en format numérique.
19) Les renseignements personnels détenus par RBD sur support physique sont conservés dans des endroits sécurisés répondant aux normes applicables aux membres du Barreau du Québec.
20) RBD prend les moyens appropriés pour assurer la sécurité des renseignements personnels détenus en format numérique, notamment:
- a) En respectant les normes applicables aux membres du Barreau du Québec;
- b) En utilisant des moyens technologiques d’identification pour limiter l’accès aux renseignements détenus;
- c) En effectuant des sauvegardes régulières des renseignements détenus;
- d) En mettant à jour de façon continue les connaissances des membres de RBD en matière de sécurité informatique;
- e) En utilisant les services de techniciens spécialisés en la matière pour maintenir en place des mesures de sécurité contre les virus, intrusions ou toute autre action indésirable susceptible de mettre les renseignements détenus en péril.
21) Tous les renseignements personnels sensibles détenus en format numérique par RBD sont conservés dans un fichier identifié à cette fin par la désignation «Renseignements personnels sensibles».
22) Dans la mesure du possible, tout document de nature médicale contenant des renseignements personnels est protégé et identifié de façon à en limiter l’accès aux seuls membres de RBD qui doivent y référer.
23) Des renseignements personnels peuvent également être contenus dans des banques de données d’usage courant, notamment pour la recherche d’informations juridiques dans des décisions de tribunaux, des opinions ou divers écrits internes.
24) Lorsqu’un projet envisage la modification des outils de travail des membres de RBD, notamment le réseau informatique, ou la modification de toute méthode de travail ou aménagement physique ou numérique utilisé par RBD, le responsable PRP est informé et consulté au sujet des mesures à prendre pour assurer la protection des renseignements personnels.
25) Les renseignements personnels détenus par RBD dans le cadre d’un mandat confié à RBD sont conservés pendant une durée minimale de sept (7) ans à compter de la fermeture du dossier pour lequel ils ont été recueillis, suivant la règlementation à laquelle les membres du Barreau du Québec sont assujettis.
26) Les renseignements personnels détenus par RBD dans le cadre de l’administration de ses affaires, notamment les renseignements personnels concernant les personnes y travaillant sont conservés pendant une durée minimale de sept (7) ans à compter de leur obtention.
27) Dans l’intervalle entre la fin d’un mandat ou la fermeture d’un dossier et la destruction d’un renseignement personnel, toute personne concernée par un renseignement personnel peut en demander l’anonymisation en adressant une demande écrite en ce sens au responsable PRP.
Partie IV – Divulgation des renseignements personnels
28) Aucun membre de RBD ne peut divulguer à des tiers des renseignements personnels obtenus dans le cadre d’un mandat confié à RBD sans l’autorisation expresse de l’avocat responsable du mandat.
29) Aucun renseignement personnel n’est divulgué à un tiers sans le consentement de la personne visée, sauf dans les cas suivants:
- a) Dans le cours normal de l’exécution du mandat confié à RBD, lorsque requis par la nature du mandat;
- b) Dans le cours normal de l’administration de RBD dans la mesure où la divulgation du renseignement personnel est requise;
- c) Lorsque la divulgation est requise ou permise par la Loi.
30) Lorsqu’un membre de RBD divulgue un renseignement personnel à un tiers suivant l’article 29 c) de la présente politique, il en informe la personne concernée et note la divulgation au dossier contenant le renseignement personnel.
31) Lorsqu’un membre de RBD divulgue un renseignement personnel à un tiers dans le cadre de l’octroi d’un mandat, notamment pour la réalisation d’une expertise, les mesures suivantes s’appliquent:
- a) Le mandat est confié par écrit;
- b) Le membre de RBD prend les mesures appropriées pour protéger le caractère confidentiel des renseignements personnels, notamment quant aux restrictions relatives à l’utilisation des renseignements personnels;
- c) Le mandat écrit précise au mandataire qu’il doit informer le membre de RBD qui lui confie le mandat de tout incident de confidentialité concernant les renseignements personnels qui lui sont confiés;
- d) Le membre de RBD donne des instructions au mandataire sur la conservation et la destruction des renseignements personnels confiés, le cas échéant;
- e) Le membre de RBD ayant octroyé le mandat informe sans délai le responsable PRP de toute contravention aux directives données au mandataire.
Partie V – Destruction ou anonymisation des renseignements personnels
32) Au terme des délais de sept (7) ans mentionnés aux articles 18 et 19 de la présente politique, RBD procède à la destruction ou à l’anonymisation des documents physiques ou numériques contenant des renseignements personnels, dans la mesure où les fins pour lesquelles le renseignement a été recueilli ou utilisé sont accomplies.
33) La destruction des documents mentionnée à l’article précédent est effectuée selon les pratiques reconnues afin d’assurer le respect de la confidentialité des renseignements personnels qu’ils contiennent, à toutes les étapes de ce processus.
Partie VI – Procédure en cas d’incident de confidentialité
34) Lorsqu’un membre de RBD a des motifs de croire qu’un incident de confidentialité est survenu chez RBD, la nature de l’incident est identifiée le plus rapidement possible et rapportée sans délai au responsable PRP de même qu’à la personne qui est chef de la Direction – Finance & Administration.
35) En cas d’incident de confidentialité relié à l’équipement ou au réseau informatique, la firme fournissant le support technique est informée immédiatement par le responsable PRP ou par la personne qui est chef de la Direction – Finance & Administration.
36) RBD prend les mesures raisonnables nécessaires pour réduire au maximum les risques qu’un préjudice soit causé aux personnes dont les renseignements personnels sont touchés par l’incident de confidentialité.
37) Le risque qu’un préjudice soit causé à une personne à la suite d’un incident de confidentialité est évalué en fonction des critères suivants:
- a) La sensibilité du renseignement concerné;
- b) Les conséquences appréhendées de son utilisation;
- c) La probabilité qu’il soit utilisé à des fins préjudiciables.
38) RBD avise toute personne concernée par l’incident de confidentialité ou son représentant de la survenance de cet incident.
39) À cette fin, RBD maintient à jour une liste de personnes à prévenir en cas d’incident de confidentialité.
40) Si l’incident de confidentialité présente un risque qu’un préjudice sérieux soit causé, le responsable PRP avise rapidement la Commission d’accès à l’information.
41) Lorsqu’un membre de RBD communique avec un tiers, notamment une firme se soutien technique, afin de diminuer le risque de préjudice découlant d’un incident de confidentialité, il lui est loisible de divulguer à ce tiers les 8 renseignements personnels requis sans le consentement de la personne visée ; dans un tel cas, le membre de RBD conserve la communication.
42) Le responsable PRP ou la personne qu’il désigne informe la personne concernée par un incident de confidentialité de tout développement subséquent pertinent concernant cet incident.
43) Le responsable PRP effectue également une rétroaction sur tout incident de confidentialité auprès des membres de RBD concernés, le cas échéant, afin d’apporter les correctifs nécessaires pour éviter une répétition de l’incident.
Partie VII – Processus de traitement des plaintes relatives à la protection des renseignements personnels
44) Toute personne (le « plaignant ») peut déposer une plainte concernant la protection d’un renseignement personnel détenu par RBD suivant la procédure prévue à la présente section.
45) La plainte doit être transmise par écrit au responsable PRP en utilisant le formulaire se trouvant à l’annexe A de la présente politique ou en indiquant sur un document autre les informations qu’il requiert; si la plainte concerne le responsable PRP personnellement, elle peut être transmise à l’un des associés directeurs de RBD.
46) Toute plainte est traitée dans un délai de 30 jours par le responsable PRP, par un associé directeur ou par toute personne désignée pour ce faire, selon le cas.
47) Une réponse écrite est fournie au plaignant lui indiquant les démarches effectuées dans le cadre du traitement de la plainte et les mesures de correction mises en œuvre, le cas échéant.
Partie VII – Dispositions diverses
48) RBD dispense une formation continue à l’ensemble de ses membres sur la présente politique et sur les bonnes pratiques en matière de protection des renseignements personnels.
49) RBD communique à ses membres de façon ponctuelle et informelle des précisions sur les mesures à prendre pour préserver la confidentialité des renseignements personnels.
50) La présente politique est révisée et mise à jour et en tout temps disponible sur le site internet de RBD; tout changement majeur à celle-ci fait l’objet d’une annonce particulière sur le site internet de RBD
Dernière révision: 1er septembre 2023