Politique de confidentialité et de protection des données
1.Introduction
La confidentialité et la sécurité sont des priorités pour Thinkmax afin d'assurer la protection de ses clients et des personnes d’intérêts. La protection des informations est une exigence commerciale primordiale, mais la capacité d’accéder aux informations et de travailler efficacement est également essentielle.
Cette politique décrit les comportements attendus de tout le personnel de Thinkmax (y compris les employés, les travailleurs temporaires et intérimaires, les sous-traitants, les stagiaires, les bénévoles et les apprentis) qui traitent les informations.
Le conseil d'administration de Thinkmax a approuvé cette politique pour qu'elle s'applique à tous les bureaux et opérations de Thinkmax au Canada et à l'international (le « Groupe »).
2. Objectif
L’objectif de cette Politique est d’établir des principes et lignes directrices de conduite communs et généraux pour le Groupe afin de protéger :
- l'intégrité et la confidentialité des informations commerciales
- la protection des informations personnelles des individus
et également pour sensibiliser et comprendre l’ensemble du personnel à la sécurité de l’information et à sa responsabilité de protéger les informations qu’il traite.
La confidentialité est un concept plus large que la protection des données, mais il existe un chevauchement entre les deux domaines :
La confidentialité fait référence à toutes les formes d'informations, y compris les informations personnelles, mais en particulier les informations sur Thinkmax et ses clients, propriétaires ou fournisseurs. Les exemples comprennent:
- les termes et conditions des accords et le fait que nous discutons ou négocions avec une autre personne ou organisation ;
- informations commerciales, par ex. les détails et les résultats des accords passés, présents ou futurs, les données de facturation, les marges, les coûts ou d'autres informations financières relatives à un client particulier ;
- toutes les informations, droits de propriété intellectuelle, savoir-faire, idées et concepts développés par Thinkmax ou ses partenaires commerciaux, informations sur les produits et services, informations financières et toute autre information commercialement précieuse, y compris à titre d'exemple les inventions, concepts, secrets commerciaux, informations commerciales. plans, informations sur le personnel, les clients, les fournisseurs ou les investisseurs, graphiques, dessins, conceptions, formules, bases de données, logiciels, codes, échantillons, matériel de vente, de marketing ou promotionnel, produits ou services futurs planifiés ;
- les opportunités commerciales, les clients potentiels, les partenariats potentiels, les intermédiaires ou les sources de financement, et la participation éventuelle à des transactions commerciales.
Cela inclut les informations détenues sur les systèmes informatiques, les appareils portables, les téléphones ou les dossiers papier, les informations transmises oralement et d'autres types d'informations qui sont partagées avec nous ou créées par ou pour nous au cours de nos activités.
La protection des données concerne les informations personnelles sous quelque forme que ce soit, y compris toute information factuelle ou subjective, concernant une personne identifiable. Cela inclut les informations sous quelque forme que ce soit, telles que :
- âge, nom, numéros d'identification, achats, comportement en ligne ;
- opinions, évaluations, commentaires, statut social ou intérêts ; et
- dossiers d'employés, dossiers de crédit, dossiers de prêt, litiges ou intentions (par exemple, acquérir des biens ou des services, ou changer d'emploi).
Les informations personnelles que Thinkmax reçoit peuvent concerner les clients, les contacts professionnels ou le personnel, mais également les données fournies ou mises à notre disposition par nos clients afin de fournir nos services (auxquelles nous devons accorder une protection supplémentaire). Notez que les identifiants tels que les identifiants de cookie et d'appareil, l'agent utilisateur ou les adresses IP peuvent être des informations personnelles, ce concept est donc plus large que de simples noms et adresses ou des informations personnellement identifiables.
Certaines informations sont considérées par la loi comme particulièrement sensibles. Cela peut inclure l'un des types de données suivants, et si nous sommes invités à les traiter, le responsable de la confidentialité doit en être informé :
- numéros de sécurité sociale, de permis de conduire, de carte d'identité ou de passeport
- connexions au compte, numéros de compte financier, de carte de débit ou de carte de crédit
- géolocalisation précise
- origine raciale ou ethnique, croyances religieuses ou philosophiques ou appartenance syndicale
- contenu du courrier, des e-mails et des messages texte non dirigés vers Thinkmax
- données génétiques
- informations biométriques
- les données concernant la santé d'une personne
- les données relatives à la vie sexuelle ou à l'orientation sexuelle d'une personne
- les informations personnelles relatives aux condamnations pénales et aux infractions.
3. Respect des lois et des bonnes pratiques
Toutes les informations à propos de Thinkmax et de ses clients doivent être traitées comme ayant une valeur commerciale et doivent être protégées contre la perte, le vol, l'utilisation abusive ou l'accès ou la divulgation inappropriés.
En ce qui concerne les informations confidentielles, Thinkmax doit se conformer aux lois applicables en matière de propriété intellectuelle et de secrets commerciaux. En ce qui concerne les informations personnelles, Thinkmax doit se conformer aux lois sur la confidentialité ou la protection des informations personnelles qui s'appliquent à nous et respecter tous les droits applicables aux personnes concernées.
Thinkmax doit obtenir des informations uniquement auprès de sources autorisées qui respectent les lois étatiques, provinciales, nationales et internationales sur la propriété intellectuelle et la confidentialité. Par exemple, les listes de diffusion ne doivent pas être achetées ou utilisées sans l'autorisation du responsable de la protection de la vie privée.
Thinkmax s'efforce également de garantir que les principes énoncés dans la présente politique sont pris en compte (i) dans la fourniture de nos produits et services ; et (ii) dans la mise en œuvre et l’utilisation de tout processus, système et plateforme permettant l’accès aux informations personnelles.
4. Utilisation d'informations confidentielles et d'informations personnelles
Les informations confidentielles et les informations personnelles reçues par Thinkmax doivent être collectées, utilisées et divulguées uniquement dans le but de répondre aux exigences du projet prévu et non à d'autres fins (c'est-à-dire pas à des fins personnelles ou pour tout autre travail effectué pour Thinkmax ou tout autre client).
5. Informations commerciales sensibles
Thinkmax doit garder confidentielles les relations avec chacun de nos clients. Cela signifie que les informations commerciales sensibles telles que les prix, les coûts, les performances, la rentabilité, etc. ne doivent pas être partagées avec des tiers externes, ni avec des collègues, même au sein du même service.
Sauf autorisation d'un responsable, aucun employé de Thinkmax ne doit révéler d'informations financières sur les clients ou les campagnes lors de réunions, du canal Teams, des feuilles KPI, des groupes d'alias de messagerie, de Sharepoint, des présentations ou des documents partagés. Les réunions liées aux clients, les alias de messagerie, les autres canaux et les fichiers partagés doivent être strictement limités à ceux qui travaillent spécifiquement avec le client en question.
6. Sécurité des informations
Les règles et conseils sur la sécurité des informations destinés au personnel de Thinkmax et aux fournisseurs tiers sont définis dans la politique de sécurité des informations de Thinkmax.
Les principes généraux de sécurité des informations que tout le personnel de Thinkmax doit suivre comprennent :
Accès à l'information
La politique de Thinkmax permet de limiter l’accès aux informations confidentielles, aux informations personnelles (et aux données Client en particulier) au nombre minimum de personnes nécessaire aux fins pour lesquelles nous les détenons. Les données des clients ne doivent pas être mises à disposition en dehors des équipes projet concernées.
Les informations d'identification pour accéder aux systèmes contenant des informations confidentielles ou des informations personnelles (y compris Microsoft Sharepoint ou d'autres plates-formes tierces) doivent être gardées secrètes et ne doivent pas être partagées, même avec d'autres membres du personnel de Thinkmax.
Les informations personnelles du personnel sont particulièrement sensibles et ne doivent être consultées que par les RH, la haute direction et le membre du personnel concerné.
Stockage et copie
Thinkmax s’engage à ne pas faire de copies d’informations confidentielles ou d’informations personnelles, sauf si cela est nécessaire pour un projet.
Les informations confidentielles ou les informations personnelles ne doivent être stockées que sur les systèmes cloud autorisés de Thinkmax. Si les informations sont stockées sur des ordinateurs locaux, cela ne doit être que temporaire et le personnel doit les déplacer vers le stockage Thinkmax ou les supprimer dès que possible. Aucun compte de messagerie personnel ou de compte de stockage cloud non autorisé à des fins professionnelles ne doit être utilisé.
Divulgations ou transferts à des tiers
Les informations confidentielles ou les informations personnelles du client ne doivent pas être partagées avec d'autres tiers, sauf autorisation du client ou du responsable de la confidentialité.
Le cryptage sera appliqué le cas échéant conformément à la politique de sécurité informatique de Thinkmax.
Tout fournisseur de services qui peut avoir accès, ou fournir ou créer, des informations confidentielles ou des informations personnelles doit être approuvé par le responsable de la confidentialité et doit avoir un contrat écrit approuvé par la direction de Thinkmax. Cela inclut les fournisseurs de stockage, d’analyses, de services antifraude, de sauvegardes, d’enregistrement ou de synthèse d’appels, ainsi que tout autre fournisseur. Dans le cadre de votre travail pour Thinkmax, vous ne devez utiliser aucune application ou logiciel susceptible de collecter ou de transmettre des données personnelles sans l'approbation de la Société.
Sécurité générale
Le personnel ne doit divulguer aucune information confidentielle ou personnelle à quiconque autre que le personnel de Thinkmax ou le client concerné. Les communications ou fichiers contenant des informations confidentielles ou des informations personnelles doivent, dans la mesure du possible, être marqués « confidentiels ».
Si Thinkmax reçoit une demande de divulgation d'informations confidentielles ou d'informations personnelles, Thinkmax s’engage à toujours demander que cela soit mis par écrit et la transmettre au responsable de la protection de la vie privée. Cela inclut les demandes de tout tiers, y compris les forces de l'ordre, le gouvernement ou les régulateurs. Dans le cas d’une demande d'une personne qui estime que nous traitons ses informations personnelles (par exemple pour exercer ses droits d'accès ou de suppression), le personnel ne doit pas accepter une action particulière mais transmettre immédiatement la demande au responsable de la confidentialité qui vous dirigera ensuite. étapes (par exemple, qu'il doit être envoyé au client concerné pour action).
Le personnel doit éviter d’échanger des informations personnelles ou des commentaires sur les personnes avec lesquelles il entretient une relation professionnelle. Le personnel doit éviter de parler de Thinkmax ou des activités ou contacts de nos clients dans les milieux sociaux ou là où vous pourriez être entendu.
7. Rétention d’information
Les informations confidentielles et les informations personnelles ne doivent pas être conservées plus longtemps que nécessaire aux fins initiales et stockées ou détruites conformément à la législation en vigueur, aux contrats clients et aux politiques de Thinkmax.
Les données agrégées et anonymisées ou statistiques peuvent être conservées pendant une période plus longue avec l'autorisation du responsable de la protection de la vie privée.
Une faille de sécurité (pouvant entraîner une violation de la confidentialité ou de la sécurité des données) ne fait pas seulement référence à une attaque extérieure ou à un accès non autorisé aux systèmes. Une faille de sécurité peut inclure toute destruction, perte, altération, divulgation ou accès non autorisé à des informations, accidentelles ou illégales.
Cela peut être le résultat d’erreurs humaines, d’erreurs du système informatique ou d’activités malveillantes, telles que :
- perte ou vol de données ou d'équipements sur lesquels sont stockées des informations personnelles
- accès non autorisé ou utilisation d'informations personnelles par un membre du personnel ou un tiers
- perte de données résultant d'une défaillance d'un équipement ou d'un système (y compris matériel et logiciel) ;
- suppression ou altération accidentelle des données
- envoi de données au mauvais destinataire
- des circonstances imprévues, comme un incendie ou une inondation
- les attaques délibérées contre les systèmes informatiques, telles que le piratage, les virus ou les escroqueries par phishing ; ou
- l'ingénierie sociale ou « blagging », où l'information est obtenue en trompant la personne qui y a accès.
Toute violation suspectée, potentielle ou réelle de la sécurité, de la confidentialité ou des informations personnelles doit être signalée immédiatement au responsable de la confidentialité de Thinkmax. Lorsque des informations confidentielles ou des informations personnelles fournies à Thinkmax par un client sont affectées ou possiblement affectées par une violation de sécurité suspectée, potentielle ou réelle, le Groupe doit alors informer rapidement le client.
Les abus d'informations personnelles et les incidents de sécurité doivent être signalés de manière aussi détaillée que possible, afin que des mesures puissent être prises pour remédier au problème et garantir que le même problème ne se reproduise plus.
9. Évaluation des facteurs relatifs à la vie privée
Les nouveaux projets, processus et systèmes importants (y compris les logiciels et le matériel) introduits doivent répondre aux exigences de confidentialité et de protection des données. Le responsable de la protection de la vie privée doit être impliqué le plus tôt possible et peut exiger qu'une évaluation des facteurs relatifs à la vie privée soit réalisée afin d'identifier tout risque pour la vie privée des individus et de décider des solutions.
Toute nouvelle relation avec un tiers qui pourrait obliger Thinkmax à transférer des renseignements personnels hors du Québec ou du Canada (ou hors du lieu où ils ont été obtenus) doit être notifiée au responsable de la protection de la vie privée et mise en œuvre uniquement lorsque Thinkmax aura évalué tout impact sur la vie privée et conclu que les informations bénéficieront d’une protection adéquate.
10. Formation
Tout le personnel doit suivre une formation annuelle sur la sécurité de l’information. Des formations complémentaires peuvent être données dans des domaines spécialisés tels que la vente, les ressources humaines ou l'informatique.
11. Bris de confidentialité
Le personnel accédant à des fichiers non autorisés, à des informations confidentielles ou à des informations personnelles ou violant la confidentialité peut faire l'objet de mesures disciplinaires. Les anciens collaborateurs qui ne respecteraient pas leurs obligations de confidentialité pourraient faire l’objet de poursuites judiciaires.
12. Informations complémentaires
Le responsable de la confidentialité de Thinkmax est Marc Belliveau – Président.
Le directeur informatique de Thinkmax est responsable de la mise en œuvre des systèmes informatiques, des contrôles et des mises à jour du groupe en vue de garantir le respect de cette politique, ainsi que de surveiller et d'évaluer leur efficacité.