Politique de confidentialité

1. Objet

1.1 L'objectif de la Politique de confidentialité est de décrire les obligations d'Intelcom Courier Canada Inc. (l’Entreprise) pour assurer le respect des lois et exigences applicables en matière de confidentialité. Cette politique doit être lue conjointement avec les procédures de confidentialité de la société.

1.2 Cette politique s'applique à tous les dirigeants, employés, agents et sous-traitants de l’Entreprise. Il est de la responsabilité de chacun de se conformer à cette politique.

2. Exigences de la politique de confidentialité

2.1 La Norme de confidentialité (la politique) stipule les règles minimales (principes de confidentialité des données) qui s’appliquent lorsque l’Entreprise recueille et traite des données à caractère personnel. Les principes de confidentialité des données servent de référence pour le traitement des données à caractère personnel dans l'ensemble de l’Entreprise. On retiendra les termes clés suivants :

• le terme donnée à caractère personnel signifie tout renseignement relatif à une personne physique identifiable;
• les termes traiter et traitement englobent toute opération portant sur des données à caractère personnel.

2.2 Chez l’Entreprise, nous considérons qu’il est essentiel d’assurer un traitement licite et adéquat des données à caractère personnel. Autrement dit, les personnes qui travaillent ou qui font affaire avec nous doivent pouvoir compter sur notre capacité à respecter leur vie privée et à traiter leurs données à caractère personnel en toute sécurité.

2.3 En outre, nous devons respecter les lois sur la confidentialité et la protection des données dans le monde entier. L’application des principes de confidentialité des données énoncés aux présentes nous le garantit. Le non-respect de ces principes pourrait occasionner des dommages financiers et une atteinte à la réputation de l’Entreprise, et entraîner une perte de confiance de la part des personnes que nous employons, avec lesquelles nous sommes en contact ou avec lesquelles nous traitons.

2.4 Nous devons nous conformer aux principes de confidentialité des données de même qu’aux lois locales relatives au traitement des données à caractère personnel. En cas de conflit entre les exigences des principes de confidentialité des données et celles des lois locales, il convient d’adopter les dispositions les plus strictes.

3. Principes d’application de la confidentialité des donnees

Les principes de confidentialité des données suivants stipulent les règles minimales applicables au traitement des données à caractère personnel chez l’Entreprise.

3.1 Le traitement des données à caractère personnel que nous effectuons est licite, équitable et transparent

3.2 Fondement légal du traitement. Nous traiterons les données à caractère personnel uniquement :

• aux fins commerciales légitimes pour lesquelles nous les avons recueillies, comme l’explique la déclaration de confidentialité;
• aux autres fins auxquelles consent la personne concernée (la personne à laquelle se rapportent les données à caractère personnel);
• lorsque le traitement est nécessaire à l'exécution du contrat qui le lie à la personne concernée;
• si le traitement est requis par L’Entreprise pour respecter ses obligations légales; ou
• si le traitement est expressément autorisé par les lois locales sur la confidentialité des données personnelles et si les données à caractère personnel concernées proviennent de ce territoire.

3.3 Notification des traitements. Nous informerons les personnes concernées que nous recueillons leurs données à caractère personnel en leur transmettant une déclaration de confidentialité au moment de la collecte ou immédiatement après celle-ci.

3.4 Nous limitons l’utilisation des données à caractère personnel.

3.5 Limitation relative à la finalité. Le traitement des données à caractère personnel que nous effectuons doit viser des finalités précises et limitées, dont la personne concernée est informée. Si nous traitons des données à caractère personnel à des fins différentes de celles qui ont été annoncées, nous devons informer la ou les personnes concernées de ces nouvelles finalités (conformément au 3.1 des applications principes de la confidentialité des données).

3.6 Minimisation relative à la collecte des données traitées. Nous ne devons traiter que les données à caractère personnel requises en ce qui a trait à la finalité concernée. Le traitement des données à caractère personnel que nous effectuons doit être précis et justifié, et éviter tout excès.

3.7 Nous assurons le maintien de la qualité des données recueillies. Lorsque nous traitons des données à caractère personnel, nous prenons des mesures appropriées pour confirmer que celles-ci sont exactes et mises à jour lorsque cela est nécessaire.

3.8 Nous sommes vigilants relativement aux renseignements délicats. Les renseignements délicats constituent un type de données à caractère personnel de nature particulièrement privée, qui permettent de déterminer, notamment, les origines raciales ou ethniques des personnes, leur appartenance syndicale ou qui sont relatives à leur santé. Nous devons veiller à ce que la collecte de renseignements délicats ne se fasse qu’en cas de nécessité absolue et seulement si :

• la personne concernée y consent; ou
• si le traitement est :
  • nécessaire au respect des obligations légales;
  • expressément autorisé par les lois locales sur la confidentialité des données personnelles et si les données à caractère personnel concernées proviennent du pays concerné; ou
  • nécessaire afin de prévenir ou d’atténuer une menace imminente grave pour la vie, la santé ou la sécurité d’une personne.

3.9 Nous régissons la divulgation des données à caractère personnel. Nous régissons la divulgation des données à caractère personnel (y compris, mais sans s'y limiter, lorsqu'elles sont transférées au-delà des frontières nationales) de la façon suivante;

• Divulgations hors de L’Entreprise : Si nous devons divulguer des données à caractère personnel hors de L’Entreprise (par exemple, à un prestataire de services ou à une tierce partie qui est autorisée à recevoir ces données personnelles), nous devons veiller à ce que:
  • la divulgation soit régie par des clauses contractuelles sur la confidentialité des données approuvées par le département Éthique & intégrité ou par les Services juridiques de L’Entreprise. Ces derniers doivent prévoir d'évaluer si d'éventuels transferts au-delà des frontières nationales respectent les lois en vigueur sur la confidentialité des données;
  • les personnes concernées aient consenti à la divulgation;
  • la divulgation est exigée par la loi ou est expressément autorisée par les lois nationales sur la confidentialité des données personnelles et si les données à caractère personnel concernées proviennent de ce territoire.

• Divulgations au sein de L’Entreprise : Les divulgations au sein de L’Entreprise sont régies par le procedure migration de données de L’Entreprise s'il est nécessaire de transmettre des données personnelles à l'extérieur du pays où celles-ci ont été initialement collectées.

3.10 Nous devons sécuriser les données à caractère personnel. Obligations générales en matière de sécurisation des données : Les données à caractère personnel doivent être conservées de façon sûre et protégées contre les traitements accidentels ou illicites, notamment contre la perte et l'accès non autorisé, la destruction, la mauvaise utilisation, la modification ou la divulgation. Cela signifie qu'il faut veiller à ce que l’Entreprise ait mis en place des mesures techniques et organisationnelles appropriées. Les obligations en matière de sécurité des données s'appliquent que celles-ci soit conservées sous forme imprimée (sur papier) ou électronique (dans une base de données). Voici les principales règles à suivre :

• l’accès aux données à caractère personnel autres que celles nous appartenant est réservé uniquement aux personnes qui ont besoin de les connaître ; et
• les entités du Groupe doivent appliquer la Norme de L’Entreprise sur l'utilisation acceptable de l'information et des ressources électroniques et la Procédure du groupe sur l'information et la cybersécurité (administrée par le service Cybersécurité du département S&TI) afin de garantir que les mesures adéquates de sécurité physique, technique et organisationnelle soient en place à chaque étape du « cycle de vie » des données personnelles.

3.11 Déclaration interne sur les incidents liés à la confidentialité des données personnelles. Les dispositions relatives aux incidents liés à la confidentialité des données personnelles sont prévues par la Procédures de confidentialité des données. Chaque incident de confidentialité des données doit être immédiatement signalé au responsable de la confidentialité et la violation de la confidentialité peut devoir être signalée à l'organisme de réglementation compétent.

3.12 Nous limitons la sauvegarde des données personnelles. Les données à caractère personnel doivent être conservées pendant une durée qui n’excède pas la durée dictée par la finalité licite pour laquelle elles sont traitées (telle que notifiée aux personnes concernées), ou pendant la durée requise ou autorisée par les lois locales (selon la période la plus courte). Au-delà de cette durée, les dossiers contenant des données à caractère personnel doivent être détruits conformément aux exigences de sécurité (dans le cas des dossiers physiques) ou supprimés définitivement (dans le cas des dossiers électroniques), conformément à la Procédure de l’Entreprise sur la conservation des données personnelles ou aux lois locales en vigueur (selon la réglementation imposant les obligations les plus strictes).

3.13 Nous respectons les droits des personnes concernées. Les personnes concernées ont le droit:

• de demander l’accès aux données à caractère personnel que L’Entreprise conserve sur elles;
• de demander la correction des données à caractère personnel qui sont inexactes, incomplètes ou obsolètes;
• de demander la suppression de leurs données à caractère personnel;
• de connaître la façon dont leurs données à caractère personnel sont traitées;
• d’exiger la cessation du traitement de leurs données à caractère personnel (en particulier si le traitement est susceptible de causer un préjudice ou s’il sert à des fins de marketing direct);
• d’être avisées en cas de décision prise à leur sujet par les entités du Groupe basée uniquement sur un traitement automatisé de données (afin de pouvoir demander une révision de cette décision, au besoin);
• de déposer une plainte concernant le traitement de leurs données à caractère personnel; ou
• de retirer le consentement donné précédemment pour le traitement de leurs données à caractère personnel par L’Entreprise.

Des exceptions juridiques peuvent s’opposer à l'exercice de ces droits, et l’Entreprise évaluera les demandes au cas par cas en se référant à la législation du pays où est située la personne concernée.

Les demandes des personnes concernées visant à se prévaloir de leurs droits doivent être transmises au responsable de la confidentialité.

3.14 Nous assurons le respect de la vie privée dès la conception. Nous devons :

• intégrer les mesures relatives à la confidentialité des données dans nos activités de traitement des données à caractère personnel; et
• prendre en compte les droits à la protection de la vie privée dès le démarrage d’une activité de traitement des données à caractère personnel.

Nous procédons à une évaluation d'impact sur la vie privée lorsque nous introduisons une nouvelle technologie de traitement des données à caractère personnel, ou qu'un nouveau traitement des données à caractère personnel ou que des changements apportés au traitement des données à caractère personnel existant sont susceptibles de poser des risques quant à l’exercice des droits des personnes concernées.

3.15 Nous n'envoyons pas de pourriel. Nous devons limiter notre utilisation des données à caractère personnel en ce qui a trait à l'envoi de communications de marketing. Toutes les communications de marketing (peu importe leur mode de distribution) doivent :

• indiquer clairement le nom et les coordonnées de l’entité ou de la société du Groupe qui est à l’origine du message;
• être envoyées au destinataire/à la personne concernée avec son consentement (qui peut être tacite du fait d’une relation d’affaires existante ou de la détention d’actions); et
• contenir un mécanisme de désabonnement de la liste d’envoi ou de retrait du consentement. Les volontés exprimées au moyen de ce mécanisme doivent être mises en application, et les dossiers, modifiés en conséquence.

4. Questions et contact

4.1 Pour toutes questions à l'égard de la présente politique ainsi que toutes demandes afférentes à vos données, vous pouvez contacter notre responsable de la confidentialité, Diana Thibeault, Directrice des risques & de la conformité par courriel à l'adresse suivante privacy@intelcomexpress.com. Nous fournirons tous les efforts afin de traiter votre demande rapidement.

Définitions

Le consentement d'une personne concernée désigne l'indication précise, informée et sans ambiguïté, donnée librement, des souhaits de la personne concernée.

Un incident lié à la confidentialité des données désigne une violation connue ou suspectée : des obligations liées à la sécurité des données figurant dans le principe 3.10 de confidentialité des données ; ou de l'un des principes de confidentialité des données énoncés aux présentes.

Principes d’application de confidentialité des données : les principes cités par la Norme de confidentialité des données que les entreprises et le personnel de L’Entreprise doivent appliquer pour le traitement des données de caractère personnel.

Personne concernée : personne à laquelle se rapportent les données à caractère personnel.

Entités de l’Entreprise : sociétés, unités d’affaires, opérations et fonctions générales de L’Entreprise.

Fin commerciale légitime : intention visant à ce que L’Entreprise atteigne ses objectifs commerciaux et qui respecte l’ensemble des lois et règlements en vigueur.

Communications de marketing : communications et publications visant à commercialiser ou à promouvoir L’Entreprise ou ses produits, exclusion faite des communications de L’Entreprise à son personnel en lien avec l'administration des relations employeur-employés.

Le terme donnée à caractère personnel signifie tout renseignement relatif à une personne physique identifiable.

L'évaluation de l'impact sur la vie privée désigne l'évaluation de l'impact des opérations de traitement proposées sur les droits et libertés des personnes concernées, et la protection des données à caractère personnel.

Déclaration de confidentialité : avis à fournir aux personnes concernées au moment où nous recueillons leurs données à caractère personnel.

Traitement : ensemble des opérations portant sur des données à caractère personnel, telles que la collecte, l’utilisation, la divulgation, la sauvegarde, l’organisation, le stockage, le transfert, la modification, la suppression, la destruction, la récupération, l’accès, l’hébergement ou toute autre manipulation.

L’Entreprise : toutes les entités appartenant directement ou indirectement à l’Entreprise

Renseignements délicats : données à caractère personnel (y compris information ou opinions) qui permettent de déterminer les origines raciales ou ethniques d’une personne, ses opinions et appartenances politiques, ses croyances religieuses ou philosophiques, ses associations, son appartenance syndicale, son casier judiciaire, ou qui sont relatives à sa santé, aux services de santé reçus ou à sa vie sexuelle.