politique renseignements personnels

1. Aperçu

Il est important de mettre en place une procédure de conservation, de destruction et d’anonymisation des renseignements personnels pour garantir la protection de la vie privée des individus, se conformer aux lois sur la protection des renseignements personnels, prévenir les incidents de confidentialité impliquant des renseignements personnels et les atteintes à la sécurité, maintenir la confiance des clients et protéger la réputation de l’organisation.

 

2. Objectif

Le but de cette procédure est de garantir la protection de la vie privée des individus et de se conformer aux obligations légales en matière de protection des renseignements personnels.

 

3. Portée

La portée de cette procédure devrait couvrir l’ensemble du cycle de vie des renseignements personnels, depuis leur collecte jusqu’à leur destruction. Elle concerne tous les employés et parties prenantes impliquées dans la collecte, le traitement, la conservation, la destruction et l’anonymisation des renseignements personnels conformément aux exigences légales et aux bonnes pratiques en matière de protection de la vie privée.

 

4. Définitions

Anonymisation : processus de modification des renseignements personnels de manière à ne plus permettre en tout temps et de façon irréversible l’identification, directe ou indirecte, des individus concernés.

Conservation : stockage sécurisé des renseignements personnels pendant la durée requise.

Destruction : suppression, élimination ou effacement définitif des renseignements personnels.

Entreprise: 10146200 Canada Inc. (Myelin Solutions)

Renseignements personnels : toute information permettant d’identifier, directement ou indirectement, une personne physique.

Services: Tout logiciel, offert par l’entreprise, téléchargé par le client sur un appareil électronique.

 

5. Types de données collectées

5.1 Données personnelles d’identification

Les données personnelles d’identification peuvent inclure, sans y être limitées:

  • Adresse courriel

  • Nom complet

  • Informations bancaires

  • Date de naissance

  • Toute information utilisée pour contacter ou identifier un client

  • Adresse de protocole internet de l’appareil utilisé par le client

  • Identifiants uniques de l’appareil utilisé par le client

5.2 Données statistiques d’utilisation

Les données statistiques d’utilisation peuvent inclure, sans y être limitées:

  • Type et version du navigateur

  • Services utilisés

  • Données consultées

  • Date et heures de l’utilisation de l’application

  • Temps passé sur l’application

  • Statistiques d’interaction avec les données

  • Toutes autres données permettant le diagnostique de problème informatique

5.3 Données entrées par le client lors de l’utilisation des services

Les données entrées par le client lors de l’utilisation des services peuvent inclure, sans y être limitées:

  • Tous documents téléversés dans un compte, incluant les photos, vidéos, images et textes.

  • Toute donnée enregistrée dans un compte, par le client, lors de l’utilisation d’une ou des applications

 

4. Procédure

4.1 Utilisation des données

4.1.1 L’entreprise utilise les informations personnelles des clients pour fournir et améliorer ses services. Cela inclut, sans y être limité:

  • Établir des statistiques d’utilisation des services

  • Gérer les accès des clients

  • Exécuter un contrat entre l’entreprise et le client

  • Répondre aux demandes d’un client concernant ses propres données

  • Contacter un client pour des raisons essentielles au bon fonctionnement des services. Cela inclut, sans y être limité:

    • Répondre à la demande d’un client

    • Exécuter un contrat entre l’entreprise et le client

    • Aviser d’une mise à jour de sécurité

  • Contacter un client pour des offres spéciales ou des informations générales sur l’entreprise ou les services, lorsque le client l’y autorise.

4.1.2 En utilisant les services, le client accepte la collecte et l’utilisation d’informations conformément à la présente politique.

4.2 Durée de conservation

4.2.1 Les renseignements personnels ont été catégorisés de la façon suivante :

  • renseignements concernant les employés de l’entreprise et les membres du conseil d’administration,

  • renseignements concernant les clients.

4.2.2 La durée de conservation pour chacune de ces catégories a été établie de la façon suivante :

  • Employés de l’entreprise et membres du conseil d’administration : variable en fonction du type de renseignement personnel
  • Clients : variable en fonction du type de renseignement personnel

4.3 Méthodes de stockage sécurisé

4.3.1 Le degré de sensibilité de chacun de ces lieux de stockage a été établi ainsi:

  • Niveau 1 : Données très sensibles de l’entreprise ou de clients

  • Niveau 2 : Données internes sensibles

  • Niveau 3 : Données internes qui ne sont pas destinées à être divulguées au public

  • Niveau 4 : Données pouvant être divulguées au public

4.3.2 Les renseignements personnels se trouvent aux endroits suivants :

  • Serveurs des bases de données Neo4J des application Mylin et Synerpsy (niveau de sensibilité 1,2,3 et 4(4 étant désignées de type public par notre base de données.)

  • Serveurs des bases de données Postgres des application Mylin et Synerpsy (niveau de sensibilité 1)

  • Serveurs contenant l’historique d’activité des applications Mylin et Synerpsy (niveau de sensibilité 2 et 3)

  • Données des employés

4.3.3 Ces lieux de stockage, qu’ils soient papier ou numérique, sont adéquatement sécurisés.

4.3.4 L’accès à ces lieux de stockage a été restreint aux seules personnes autorisées.

4.4 Destruction des renseignements personnels

4.4.1 Pour les renseignements personnels sur papier, ils seront totalement déchiquetés.

4.4.2 Pour les renseignements personnels numériques, ils seront totalement supprimés des appareils de l’entreprise (ordinateurs, téléphone, tablette, disque dur externe), des serveurs et des outils infonuagiques.

4.4.3 Le calendrier de destruction en fonction de la durée de conservation établie pour chaque catégorie de renseignements personnels a été créé.

4.4.4 La destruction sera réalisée de manière à ce que les renseignements personnels ne puissent pas être récupérés ou reconstitués.

4.4.5 Le client peut demander à l’entreprise, via courriel ou téléphone, la destruction de ses données personnelles.

4.4.6 La destruction des données personnelles d’un client se feront dans un délai raisonnable.

4.4.7 Ce délai raisonnable inclut un temps de suppression des sauvegardes de l’entreprise, réalisées dans l’intérêt évident du client (récupération de données en cas de perte de données)

4.5 Anonymisation des renseignements personnels

4.5.1 L’anonymisation des renseignements personnels utilisés dans les application est effectuée.

4.5.2 La méthode d’anonymisation des renseignements personnels choisie est la suivante :

  • Dé-identification: Les renseignements permettant d’identifier directement un client sont conservés séparément du reste des informations.

4.5.3 Les types de renseignements considérés comme permettant d’identifier un client sont, sans y être limités, les données personnelles d’identification.

4.5.4 Les types de renseignements considérés comme ne permettant pas d’identifier un client sont, sans y être limités, les données entrées par le client lors de l’utilisation des services et les données statistiques d’utilisation

4.5.5 Les renseignement considérés comme publics sont, sans y être limités, les données qu’un client aura explicitement identifiées comme étant publiques

4.5.6 Lors de la suppression des renseignements personnels, seuls les données publiques seront conservées.

4.6 Partage des informations personnelles

4.6.1 L’entreprise peut partager les données d’un client dans les situations suivantes:

  • Exécuter un service qui nécessite l’utilisation d’un fournisseur externe. Les fournisseurs externes ont leur propre politique de confidentialité. Les fournisseurs externes incluent, sans y être limités:

  • Vendre l’entreprise en tout ou en partie à une autre société.

  • Collaborer avec une entreprise partenaire. Dans cette situation, l’entreprise partenaire est tenue d’honorer cette politique. Les entreprises partenaires peuvent inclure, sans y être limitées, une société mère, une filiale ou toute autre organisation contrôlée par l’entreprise.

  • Permettre au client d’interagir avec d’autres clients lors de l’utilisation des services. Lorsque le client partage des informations personnelles ou interagit de toute autre manières dans les espaces publics avec d’autres clients, ces informations peuvent être consultées ou diffusées publiquement.

  • Répondre à une obligation légale

4.7 Formation et sensibilisation du personnel

4.7.1 Une formation régulière des employés sur la procédure de conservation, de destruction et d’anonymisation des renseignements personnels, ainsi que sur les risques liés à la violation de la vie privée, sera effectuée.

4.7.2 Cela inclut également la sensibilisation du personnel aux bonnes pratiques de sécurité des données et à l’importance du respect des procédures établies.

 

 

 

Dernière mise à jour : 10 octobre 2023