Version en vigueur : 13/08/2024
Date de dernière mise à jour : 13/08/2024

1. OBJET

La présente politique de protection des renseignements personnels (ci-après la « Politique ») a pour objet d’énoncer les principes encadrant la protection des renseignements personnels dans le cadre des activités et opérations d’Envol CB Inc. (ci-après « ENVOL »). Cette Politique vise à assurer un traitement adéquat, sécuritaire, conforme et transparent des renseignements personnels tels que définis ci-dessous. La Politique a aussi pour objectif d’établir les lignes directrices entourant le traitement des renseignements personnels par Envol tout au long de leur cycle de vie ainsi que de définir les rôles et responsabilités du responsable de la protection des renseignements personnels et ceux du personnel d’Envol.

2. PRINCIPES DIRECTEURS

Envol reconnaît l’importance du respect de la vie privée et de la protection, de la confidentialité et de la sécurité des renseignements personnels qu’elle traite dans le cours de ses activités. Envol reconnaît aussi l’importance de la sensibilisation de l’ensemble du personnel et des partenaires d’Envol quant à la protection et la confidentialité des renseignements personnels recueillis et traités par Envol.

Envol établit notamment la présente Politique pour respecter ses obligations en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après la « Loi ») laquelle régit la collecte et le traitement des renseignements personnels effectués par Envol dans le cours de ses activités et opérations.

Envol doit protéger les renseignements personnels tout au long de leur cycle de vie conformément à la présente Politique ainsi qu’à ses pratiques en matière de protection des renseignements personnels et conformément aux exigences contenues dans la Loi.

3. DÉFINITIONS

Lorsqu’employées dans la présente Politique, on entend par les expressions suivantes :

3.1 Cycle de vie des renseignements personnels

L’ensemble des étapes visant le traitement d’un renseignement personnel soit la collecte, l’utilisation, la communication, la conservation et la destruction ou anonymisation, selon le cas, de celui-ci.

3.2 Incident de confidentialité

Désigne un accès, une utilisation et une divulgation des renseignements personnels non autorisés en vertu de cette Politique, par Envol ou par la Loi, une perte ou une fuite de renseignements personnels, que ces événements impliquent ou non un problème lié aux technologies de l’information.

3.3 Personne concernée

Une personne physique à qui se rapportent des renseignements personnels.

3.4 Renseignements personnels

Désigne les informations concernant une personne physique et permettant directement ou indirectement de l’identifier.

3.5 Renseignement personnel sensible

Désigne un renseignement dont la divulgation, en raison de sa nature, notamment médicale, biométrique ou autrement intime, ou en raison du contexte, de son utilisation ou de sa communication suscite un haut degré d’attente raisonnable en matière de vie privée.

3.6 Traitement/traiter des renseignements personnels

La cueillette, l’utilisation, la conservation, le partage, l’anonymisation et/ou la destruction des renseignements personnels.

3.7 Préjudice sérieux

Un acte ou un événement susceptible de porter atteinte à la personne concernée ou à ses biens et de nuire à ses intérêts de manière non négligeable.

3.8 Personnel autorisé ou individus autorisés

Tout membre du personnel ayant besoin d’un accès aux renseignements personnels dans l’exercice de ses fonctions et identifié comme tel par Envol.

3.9 Évaluation des facteurs relatifs à la vie privée (« EFVP »)

L’évaluation des facteurs relatifs à la vie privée est une analyse d’impact prévue, dans certains cas, expressément par la Loi ou lorsqu’un traitement de renseignements personnels est jugé plus à risque pour les personnes concernées. Cette démarche permet de considérer tous les facteurs ayant un effet positif ou négatif sur le respect de la vie privée des personnes concernées et permet de créer un plan d’action afin de mitiger les risques identifiés.

4. RESPONSABLE DE LA PROTECTION DE LA PROTECTION DES RENSEIGNEMENT PERSONNELS

Ajouter le nom de la personne responsable de la protection des renseignements personnels assume le rôle de responsable de la protection des renseignements personnels. Ses coordonnées sont les suivantes :

Par courriel renseignementspersonnels@envolcb.com

Par la poste 2190 Av. Larue #400, Québec, QC G1C 4X1

4.1 Rôles du responsable de la protection des renseignements personnels

Chaque membre du personnel d’Envol doit adresser au responsable de la protection des renseignements personnels toute question ou tout commentaire sur la manière dont Envol protège les renseignements personnels qu’elle collecte et traite. En outre, en cas de doute quant à la présente Politique, à la meilleure façon de traiter les renseignements personnels ou toute question ou commentaire relatifs aux renseignements personnels, le responsable de la protection des renseignements personnels doit être contacté.

Le responsable de la protection des renseignements personnels a notamment la charge de :

a) Recommander les règles de gouvernance encadrant les renseignements personnels au sein d’Envol, la mise à jour et la révision de ses pratiques en matière de protection des renseignements personnels, incluant, sans limitation, la présente Politique;

b) Assurer la mise en œuvre du programme de protection des renseignements personnels d’Envol, incluant, sans limitation, la présente Politique;

c) Approuver la planification des activités de formation et de sensibilisation du personnel d’Envol en matière de protection des renseignements personnels et planifier et assurer la réalisation de ces activités;

d) Répondre aux questions et commentaires adressés par les membres du personnel d’Envol;

e) Procéder à la réception, l’analyse, le traitement et la réponse aux demandes des personnes concernées à la suite de l’exercice de leurs droits conformément à l’article 8 des présentes;

f) Participer aux EFVP;

g) Formuler des avis concernant tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de service impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels et la recommandation ou la suggestion de mesures de protection des renseignements personnels relatives audit projet;

h) Coordonner les actions en matière de protection des renseignements personnels et proposer les orientations organisationnelles en matière de protection des renseignements personnels;

i) Soutenir les gestionnaires et assumer un rôle de conseil, de soutien et d’accompagnement auprès du personnel;

j) Veiller à ce que les contrats avec les fournisseurs contiennent les clauses nécessaires afin d’assurer la protection des renseignements personnels lorsqu’applicables;

k) Veiller au respect des exigences en matière de protection des renseignements personnels découlant de la Loi;

l) En cas d’incident de confidentialité présentant pour les personnes concernées un risque de préjudice sérieux, coordonner les activités afin de s’assurer que la haute direction remplisse son obligation d’aviser la Commission de l’accès à l’information et les personnes concernées;

m) Gérer les consentements requis pour les fins de la collecte ou de l’utilisation des renseignements personnels;

n) Tenir les registres requis relativement à la protection des renseignements personnels;

o) Répondre aux questions ou commentaires du personnel quant à la manière dont Envol protège les renseignements personnels qu’elle collecte et traite, le cas échéant.

4.2 La direction d’Envol

La direction d’Envol

a) Approuve les orientations et les règles de gouvernance d’Envol en matière de protection des renseignements personnels;

b) Approuve la présente Politique ainsi que les moyens de son application.

c) S’assurent d’inclure des exigences contractuelles visant la protection et la confidentialité des renseignements personnels lorsque les contrats impliquent la communication de tels renseignements. Ces clauses encadrent la cueillette, l’utilisation, la conservation, la communication et la destruction de renseignements personnels par ses fournisseurs et prestataires de services.

4.3 Les employés d’Envol

Chaque employé d’Envol doit contribuer à ce que l’entreprise se conforme à ses obligations en matière de protection des renseignements personnels ainsi qu’à la Loi. En cas de doute quant à la Politique, à la meilleure façon de traiter les renseignements personnels ou toute question ou commentaire relatifs aux renseignements personnels, le responsable de la protection des renseignements personnels doit être contacté.

Conformément à la politique interne en matière de protection des renseignements personnels, chaque employé d’Envol doit notamment :

a) Prendre connaissance des politiques d’Envol en matière de protection des renseignements personnels;

b) Respecter les politiques et procédures en place au sein d’Envol en matière de protection des renseignements personnels auxquels ils ont accès dans le cadre de leurs fonctions, incluant la Politique

c) Agir en tout temps de façon à protéger les renseignements personnels;

d) Accéder qu’aux renseignements personnels nécessaires à l’exercice de leurs fonctions;

e) Utiliser les renseignements personnels auxquels ils ont accès pour les fins prévues lors de leur collecte;

f) Participer aux activités de formation et de sensibilisation offertes par Envol afin d’améliorer ses connaissances et d’adopter de bonnes pratiques pour protéger les renseignements personnels;

g) Participer aux mises à niveau pertinentes et aux campagnes de sensibilisation;

h) Adresser l’ensemble des questions et commentaires qu’il peut avoir relativement à la nature des renseignements personnels recueillis par Envol et des fins pour lesquelles ceux-ci sont susceptibles d’être utilisés, au responsable de la protection des renseignements personnels ou à son équipe; et

i) Jouer un rôle actif dans l’identification et la divulgation des Incidents de confidentialité et informer le responsable de la protection des renseignements personnels sans délai lorsqu’il a des motifs de croire que s’est produit un incident de confidentialité.

4.3.1 Accès du personnel aux renseignements personnels

Les membres du personnel d’Envol ne peuvent avoir accès à un renseignement personnel qu’aux conditions suivantes :

a) Ils sont soumis à un engagement de confidentialité; et

b) Cet accès est nécessaire à l’exercice de leurs fonctions.

Tout défaut par un membre du personnel de se conformer aux politiques en vigueur au sein d’Envol en matière de protection des renseignements personnels, incluant la présente Politique, est sujet à des mesures disciplinaires pouvant aller jusqu’au congédiement.

4.3.2 Formation et sensibilisation

Envol offrira les activités de formation et de sensibilisation suivantes :

a) À l’ensemble du personnel : une formation concernant la présente Politique;

b) Selon les équipes : des formations adaptées en fonction du degré d’interaction avec des renseignements personnels dans l’exercice de leurs fonctions; et

c) De façon ponctuelle, des campagnes de sensibilisation au sein de ses équipes, notamment en matière de cybersécurité.

5. CYCLE DE VIE DES RENSEIGNEMENTS PERSONNELS

5.1 Usage prévu

Avant la collecte et le traitement de renseignements personnels, Envol détermine les usages qui en seront faits et documente ceux ci conformément à la présente Politique et maintien à jour les cartographies des renseignements personnels d’Envol.

Envol ne recueille que les renseignements personnels nécessaires à ses activités et au bon fonctionnement de ses opérations en fonction des usages prédéterminés.
Une collecte sera nécessaire si ces conditions sont toutes réunies :
a) L’objectif poursuivi est légitime, important et réel;
b) L’atteinte à la vie privée est proportionnelle à cet objectif, ce qui signifie plus précisément que :
i. La collecte des renseignements est rationnellement liée aux objectifs;
ii. Il n’existe pas d’autres moyens d’atteindre les mêmes objectifs d’une façon qui porte moins atteinte à la vie privée;
iii. La collecte, l’utilisation ou la communication du renseignement est nettement plus utile à Envol que préjudiciable à la personne concernée.
5.2 Collecte

La collecte de renseignements personnels par Envol est effectuée conformément à la Politique de confidentialité d’Envol qui est disponible [ajout de l’hyperlien vers la Politique de votre site Internet];

Envol ne recueille que les renseignements personnels nécessaires à ses activités et au bon fonctionnement de ses opérations en fonction des usages prédéterminés.

5.2.1 Transparence lors de la collecte

Envol informe les personnes concernées avant la collecte des usages et des traitements de leurs renseignements personnels ainsi que de leurs droits quant à ceux-ci, notamment ceux mentionnés à l’article 8.1 des présentes.

Envol affiche sa Politique de confidentialité [ajout de l’hyperlien vers la Politique de votre site Internet] sur son site Web.

5.2.2 Consentement
a) Obtention
Lorsque requis, la collecte de renseignements personnels par Envol est effectuée suivant l’obtention d’un consentement manifeste, libre et éclairé et donné à des fins et pour des usages spécifiques auprès de la personne concernée.

Lorsqu’elle collecte des renseignements personnels sensibles, comme des empreintes digitales, Envol doit obtenir un consentement exprès.

b) Nouvelles fins
Si elle souhaite utiliser les renseignements personnels à de nouvelles fins ou usages, à moins que la Loi ne l’autorise, Envol devra obtenir un nouveau consentement auprès des personnes concernées.

Ce consentement ne couvre que la durée nécessaire pour les usages prédéterminés pour lesquels il a été demandé. Cette durée devra aussi être documentée notamment au calendrier de conservation des renseignements personnels maintenus par Envol.

c) Durée du consentement
Le consentement ne couvre que la durée nécessaire pour les usages prédéterminés pour lesquels il a été demandé. Cette durée devra aussi être documentée notamment au calendrier de conservation des Renseignements personnels maintenus par Envol.

5.3 Utilisation
Envol déploiera des efforts afin que les renseignements personnels collectés et détenus soient à jour, exacts et complets de manière à ce qu’ils puissent servir aux usages pour lesquels ils sont collectés et traités et que les renseignements personnels collectés ne soient utilisés que pour les usages pour lesquels ils ont été collectés, sauf exception à la Loi.

5.4 Communication des renseignements personnels

5.4.1 Confidentialité des renseignements personnels
Envol reconnaît que les renseignements personnels sont confidentiels et ne peuvent être communiqués sans le consentement des personnes concernées.

Tout individu ayant accès à des renseignements personnels doit être soumis à un engagement de confidentialité à cet effet.

5.4.2 Communication de renseignements personnels à un tiers
Envol s’assure qu’une entente écrite lie les fournisseurs tiers et que celle-ci comprend les protections contractuelles nécessaires à la protection des renseignements personnels qui leur sont confiés.
5.4.3 Communication de renseignements personnels à l’extérieur de la province de Québec
La communication de renseignements personnels à l’extérieur du Québec comme par exemple dans le cadre d’une entente avec des fournisseurs infonuagiques est régie par une entente écrite afin d’assurer que les renseignements personnels bénéficient d’une protection adéquate en cas de communication.
5.4.4 Communication des renseignements personnels sans consentement
Envol ne communiquera pas de renseignements personnels sans le consentement de la personne concernée, à moins que la Loi ne l’y autorise. Avant d’effectuer une telle communication sans consentement, l’Individu autorisé doit obtenir l’approbation du responsable de la protection des renseignements personnels. Ces cas sont notamment ceux énoncés aux sous-paragraphes 6.4.4 à 6.4.8

5.4.5 Transaction commerciale

Les renseignements personnels peuvent être partagés dans le cadre d’opérations où cela est nécessaire, par exemple : une fusion, une acquisition ou une vente d’actifs. Dans le cadre de ce type d’événement, tout ou partie des renseignements personnels peuvent être partagés avec le tiers concerné (ou ses conseillers) dans le cadre de tout processus de vérification diligente ou transfert à cette entité réorganisée ou à ce tiers. Cette communication de renseignements personnels ne doit être effectuée que pour le cadre de l’événement en question et Envol devra s’assurer que le tiers recevant ainsi les renseignements personnels prendra les mesures nécessaires pour assurer la sécurité et le caractère confidentiel des renseignements personnels et la destruction de ceux-ci après leur utilisation.

5.4.6 Processus judiciaire ou administratif

Les renseignements personnels détenus par Envol pourront être communiqués à des tiers afin de respecter des obligations découlant d’un processus judiciaire ou administratif, seulement si la divulgation est utile:

a) Au Directeur des poursuites criminelles et pénales ou à une personne ou à un groupement chargé de prévenir, de détecter ou de réprimer le crime ou les infractions aux lois lorsque le renseignement est nécessaire aux fins d’une poursuite pour une infraction à une loi applicable au Québec;

b) Pour prévenir un acte de violence;

c) En cas de risque sérieux de mort ou de blessures graves;

d) Pour prévenir toute atteinte à nos mesures de sécurité; ou

e) Pour se conformer à toute loi, réglementation, processus, demande gouvernementale ou certification, notamment à tout organisme chargé de prévenir, détecter ou réprimer le crime ou infractions à la loi.

5.4.7 Employés, filiales et partenaires stratégiques

Les renseignements personnels détenus par Envol pourront être communiqués aux filiales d’Envol et aux partenaires stratégiques d’Envol dans le cadre de la prestation de services.

5.4.8 Études, recherches ou production de statistiques

Les renseignements personnels détenus par Envol pourront être communiqués à des tiers à des fins d’études, de recherche ou de production de statistiques. Au préalable, Envol doit procéder à une EFVP à cet effet. La communication ne peut avoir lieu que si l’EFVP conclut que :

a) L’objectif de l’étude ou de la recherche ou de la production de statistiques ne peut être atteint que si les informations sont communiquées sous une forme permettant d’identifier les Personnes concernées;

b) Il est déraisonnable d’exiger que la personne ou l’organisme obtienne le consentement des Personnes concernées;

c) L’objectif de l’étude, de la recherche ou de la production de statistiques l’emporte, eu égard à l’intérêt public, sur l’impact de la communication et de l’utilisation des renseignements sur la vie privée des personnes concernées;

d) Les renseignements personnels sont utilisés de manière à en assurer la confidentialité; et

e) Seuls les renseignements nécessaires sont communiqués.

5.5 Conservation

Envol ne conservera les renseignements personnels que pendant la durée nécessaire à l’usage ou à la réalisation des objectifs pour lesquels ils ont été collectés et conformément à son calendrier de conservation.

Lorsqu’il s’agit de renseignement personnel sensible, il est recommandé d’héberger ces renseignements dans des serveurs locaux au Québec et non en infonuagique.

5.6 Destruction ou Anonymisation

Lorsque les finalités pour lesquelles les renseignements personnels ont été collectés ont été atteintes et que la durée de conservation est épuisée, Envol détruira ou rendra anonyme les renseignements personnels qu’elle détient. La procédure de destruction ou d’anonymisation se fera conformément aux politiques d’Envol et sera documentée dans son calendrier de conservation des renseignements personnels. L’anonymisation ne pourra se faire qu’en conformité avec la Loi et le Règlement sur l’anonymisation des renseignements personnels.

6. SITUATIONS PARTICULIÈRES

6.1 Collecte de renseignements auprès de tiers
Envol recueille habituellement les renseignements personnels directement auprès de la personne concernée, mais pourrait aussi collecter des renseignements personnels auprès de tiers. Envol s’assure alors que la communication des renseignements personnels d’un tiers lui est faite dans le respect de la présente Politique et de la Loi.

6.2 Mineurs
Dans le cadre de ses mandats de déclaration d’impôt, Envol ne peut collecter des renseignements personnels d’un mineur de moins de 14 ans sans le consentement du titulaire de l’autorité parentale ou du tuteur. En cas de collecte ou détention de renseignements personnels concernant un mineur de moins de 14 ans sans le consentement du titulaire de l’autorité parentale, celui-ci pourra contacter le Responsable de la protection des renseignements personnels afin de demander la destruction de tels renseignements personnels.

6.3 Moyens technologiques
Envol doit présenter sa Politique de confidentialité [ajout de l’hyperlien vers la Politique de votre site Internet] lorsqu’elle recueille des renseignements personnels par le biais de moyens technologiques (tels que son site Web ou plate-forme en ligne).

6.4 Identification, profilage et localisation
Si Envol recueille des renseignements personnels au moyen d’une technologie qui comporte des fonctions permettant l’identification, la localisation ou le profilage des personnes, elle doit désactiver cette technologie par défaut et divulguer : [NDR Langlois : À discuter. Cela devra être pris en compte lorsque vous aurez confirmé l’utilisation de Cookies sur votre site Web.]

a) L’utilisation de cette technologie; et

b) Les moyens disponibles pour activer les fonctions permettant d’identifier, de localiser ou de profiler une personne.

6.5 Décisions fondées exclusivement sur un traitement automatisé
Envol divulguera les situations dans lesquelles des renseignements personnels sont utilisés dans le cadre de décisions rendues exclusivement au moyen d’un processus de décision automatisée. Cette divulgation sera faite au plus tard au moment où la personne concernée sera informée de la décision.

À la demande d’une personne concernée, Envol divulguera également :

a) Les renseignements personnels utilisés pour prendre la décision ;

b) Les raisons et les principaux facteurs et paramètres qui ont mené à la décision ; et

c) Le droit de la personne concernée de faire corriger les renseignements personnels utilisés pour prendre la décision.

La personne concernée aura droit de faire valoir ses observations relativement à la décision prise à son égard et aux renseignements personnels utilisés à cette fin, conformément à l’article 8.1.5 des présentes.

7. DROITS INDIVIDUELS

7.1 Droits

La Loi accorde divers droits aux individus en ce qui concerne leurs renseignements personnels collectés et traités par Envol. Plus spécifiquement, les individus ont les droits suivants :

7.1.1 Accès

Sujet à certaines exceptions à la Loi, Envol donnera accès aux renseignements personnels collectés et traités par Envol à la personne concernée sur demande écrite de cette dernière adressée au responsable de la protection des renseignements personnels, conformément aux procédures prévues à la présente Politique.

7.1.2 Rectification

Si les renseignements personnels d’une personne concernée sont incomplets ou inexacts, la personne concernée a le droit de demander la correction de ses renseignements personnels en s’adressant au responsable de la protection des renseignements personnels, conformément aux procédures prévues à la présente Politique.

7.1.3 Retrait du consentement

Chaque personne concernée a le droit de retirer son consentement à la collecte, à l’utilisation et à la communication de ses renseignements personnels.

7.1.4 Portabilité

À compter du 22 septembre 2024, chaque personne concernée a le droit de demander que ses renseignements personnels lui soient communiqués sous un format technologique structuré et couramment utilisé.

7.1.5 Décisions automatisées

Chaque personne concernée a le droit de présenter ses observations à un membre du personnel d’Envol qui est en position de réviser une décision automatisée prise à son égard relativement à ses renseignements personnels.

8. TRAITEMENT DES PLAINTES ET DEMANDES

Envol prend très au sérieux les demandes, plaintes et les commentaires sur la façon dont elle traite les renseignements personnels qui lui sont confiés.

Le responsable de la protection des renseignements personnels sera responsable de :

a) Recevoir les plaintes, commentaires ou autres demandes formulées par les Personnes concernées, notamment en vertu de leurs droits quant à leurs renseignements personnels, énoncés plus haut au présent article 8;

b) Confirmer l’identité de la personne à l’origine de la demain;

c) Répondre à chaque demande ou plainte de manière diligente à l’intérieur d’un délai maximal de 30 jours et conformément aux procédures établies par Envol à cette fin.

Les personnes qui souhaitent faire valoir des plaintes ou des commentaires quant aux pratiques d’Envol en matière de protection de la vie privée doivent s’adresser au responsable de la protection des renseignements personnels conformément aux procédures prévues à la présente Politique.

La procédure de traitement des demandes et plaintes se trouve à l’ANNEXE A.

9. ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE

9.1 Pourquoi

L’EFVP sert à démontrer qu’Envol a pris toutes les mesures possibles pour la protection efficace des renseignements personnels et qu’elle a acquitté ses obligations en vertu de la Loi.

Envol doit procéder à une EFVP afin :

a) D’évaluer les risques liés au traitement des renseignements personnels;

b) De mettre en place des mesures de sécurité appropriées pour protéger les renseignements personnels; et

c) De se conformer à ses obligations en vertu des lois sur la protection de la vie privée.

9.2 Quand

Plus précisément, Envol doit réaliser une EFVP chaque fois qu’il y a :

a) Un projet d’acquisition, de développement ou de révision d’un système d’information ou d’un système de prestation de services électroniques impliquant la collecte, l’utilisation, la divulgation, la conservation ou la destruction de renseignements personnels;

b) La communication de renseignements personnels à l’extérieur de la province de Québec si la communication a commencé après le 22 septembre 2023;

c) L’implantation de nouveaux systèmes de surveillance;

d) L’utilisation d’algorithmes d’intelligence artificielle; et

e) La communication de renseignements personnels en vertu d’une exception au consentement.

En outre, le responsable de la protection des renseignements personnels doit être consulté avant chaque projet ou activité énoncés aux éléments a) à e) du présent article et doit être impliqué dans chaque EFVP.

9.3 Comment

L’EFVP doit:

a) Être proportionnelle à la sensibilité des renseignements personnels concernés, aux fins pour lesquelles elle doit être utilisée, à la quantité et à la distribution de l’information et au support sur lequel elle est stockée; et

b) Permettre de s’assurer que tout nouveau projet informatique rendra possible la communication, sous un format technologique structuré et couramment utilisé, à la personne concernée, les renseignements personnels informatisés détenus, notamment de façon à pouvoir répondre aux demandes des personnes concernées conformément à l’article 8.1.4.

10. INCIDENT DE CONFIDENTIALITÉ

Chaque membre du personnel d’Envol doit signaler au responsable de la protection des renseignements personnels ou, sur indication de ce dernier, à un membre de son équipe, tout incident de confidentialité, avéré ou suspecté.

Lorsqu’un incident de confidentialité se produit, le responsable de la protection des renseignements personnels, accompagné d’une équipe interne de gestion des incidents de confidentialité, doit :

a) Déterminer des mesures raisonnables pour réduire le risque de préjudice sérieux;
b) Documenter tous les Incidents de confidentialité dans son registre des incidents de confidentialité;
c) Participer aux discussions et délibérations quant à la détermination du risque de préjudice sérieux pour les personnes concernées;
d) Veiller à ce que la haute direction avise la Commission de l’accès à l’information et les personnes concernées lorsqu’il est déterminé que l’incident de confidentialité pose un risque de préjudice sérieux;
e) Veiller à ce qu’un post-mortem soit effectué suite à un incident de confidentialité et que les leçons apprises dans le cadre de l’incident de confidentialité soient documentées;
f) Adapter son programme de protection des renseignements personnels au besoin en fonction des leçons apprises; et
g) Mettre en œuvre des mesures visant à prévenir de nouveaux Incidents de confidentialité de même nature.

L’évaluation du risque de préjudice sérieux dans le cadre d’un incident de confidentialité analysera les éléments suivants :

a) La sensibilité des renseignements en cause (par exemple des données biométriques versus une date d’anniversaire);

b) Les conséquences appréhendées de leur utilisation (par exemple le potentiel de fraude ou de vol d’identité); et

c) La probabilité que l’information soit utilisée pour des fins malveillantes (par exemple l’accessibilité sur le Dark Web).

11. MESURES DE SÉCURITÉ

Envol met en place les normes de sécurités adéquates en matière de protection des renseignements personnels qu’elle traite. Plus particulièrement, Envol a mis en place des mesures de protection physiques, techniques, informatiques et administratives appropriées pour protéger les renseignements personnels contre un incident de confidentialité.

12. SANCTIONS ET RECOURS

Toute personne ou membre du personnel qui enfreint la présente Politique est passible de sanctions ou de recours de la part d’Envol pouvant aller jusqu’au congédiement. Ces recours peuvent inclure, notamment, l’indemnisation d’Envol de tout dommage subi découlant de ladite infraction à la présente Politique.

13. MISE A JOUR

Étant entendu que le cadre législatif entourant la protection de la vie privée et des renseignements personnels sera appelé à évoluer et que la Loi sera interprétée au fil des décisions futures des autorités gouvernementales concernées, la présente Politique sera mise à jour de temps à autre au besoin.

ANNEXE A
Procédure de traitement des plaintes

1. Une personne concernée qui désire porter plainte contre Envol en raison du traitement de ses renseignements personnels ou qui croit être victime d’un incident de confidentialité doit transmettre par écrit sa plainte au responsable de la protection des renseignements personnels.

2. Envol doit d’abord valider de manière raisonnable l’identité du requérant NDR Langlois : nous recommandons que la validation de l’identité du requérant se fasse par visioconférence afin d’éviter de recueillir davantage de renseignements personnels. et faire ensuite enquête avec diligence, rapidité et confidentialité sur toutes les plaintes relatives à ses politiques et pratiques de gestion des renseignements personnels.

3. Si une plainte est jugée fondée, Envol prend les mesures appropriées pour diminuer les risques qu’un préjudice soit causé aux personnes concernées et éviter que de nouveaux incidents de même nature ne se reproduisent et avise la Commission d’accès à l’information et la personne concernée si l’incident présente un risque de préjudice sérieux.

ANNEXE B
Procédure de consultation et demande d’accès ou de rectification

Une demande d’accès ou de rectification d’un renseignement personnel doit être présentée par écrit au responsable de la protection des renseignements personnels à l’adresse courriel : [à compléter] ou par la poste à l’adresse [à compléter]

Sur demande de la personne concernée, Envol lui fournit l’aide dont elle a besoin pour préparer sa demande. Envol doit d’abord valider de manière raisonnable l’identité de la personne requérante. NDR Langlois : nous recommandons que la validation de l’identité du requérant se fasse par visioconférence afin d’éviter de recueillir davantage de renseignements personnels.

1. Sauf dans les cas prévus par la Loi, Envol répond à une demande d’accès ou de rectification d’un renseignement personnel dans les trente (30) jours de la date de sa réception.

2. La consultation des renseignements personnels détenus par Envol est effectuée par tout moyen jugé raisonnable par Envol, durant les heures normales de travail et en présence d’un représentant autorisé du Responsable de la protection des renseignements personnels.

3. À compter du 22 septembre 2024, la personne concernée peut également obtenir copie d’un renseignement personnel moyennant, le cas échéant, des frais déterminés par Envol pour leur transcription, leur reproduction ou leur transmission. À moins que cela ne soulève des difficultés pratiques sérieuses, Envol lui en donne communication en lui permettant d’en obtenir une copie dans un format technologique structuré et couramment utilisé.

4. Envol refuse de communiquer un renseignement personnel à une personne, notamment, mais sans s’y limiter, lorsque sa divulgation révélerait un renseignement personnel sur un tiers ou l’existence d’un tel renseignement. Envol peut également refuser de communiquer un renseignement personnel dans les cas prévus par la Loi.

5. Envol motive tout refus d’acquiescer à une demande, indique la disposition de la Loi sur laquelle ce refus s’appuie, les recours prévus par la Loi et le délai dans lequel ils peuvent être exercés.

6. Lorsque la personne concernée est une personne handicapée, des mesures d’accommodement raisonnables seront prises par Envol, sur demande, pour lui permettre d’exercer le droit d’accès prévu par la Loi.