Politique sur la confidentialité et la protection des renseignements personnels

1. Étendue et application

Fondaction, Gestion d’actifs (« FGA ») est soucieux d’assurer la protection de la vie privée des
gens et la confidentialité des renseignements personnels qu’il recueille, détient, utilise ou
communique. La présente politique sur la confidentialité et la protection des renseignements
personnels (la « Politique ») vise notamment à décrire de façon générale les pratiques et
mesures relatives à la façon dont sont recueillis, détenus, utilisés, communiqués ou autrement
traités ou supprimés des renseignements personnels. Elle précise la façon dont FGA préserve la confidentialité des renseignements personnels détenus et les moyens mis à la disposition de
toute personne qui souhaite exercer ses droits et ses choix à l’égard de ses renseignements
personnels.

La Politique s’inscrit dans le cadre de la Loi sur la protection des renseignements personnels
dans le secteur privé (chapitre P-39.1) et est complétée par la Note légale - Conditions d’utilisation du site Web de FGA, par la Politique de gestion et sécurité de l’information de FGA. La Politique s’applique aux différentes activités de FGA. À ce titre, elle s’applique notamment à toute personne qui est ou a déjà été : un utilisateur de son site Web, un candidat à un emploi, un employé, un administrateur ou un membre de comité. De plus, elle s’applique à l’égard des renseignements personnels recueillis dans le cadre de ses activités sur des contacts ou tiers ou que lui partage une entité partenaire dont les produits, services ou activités sont liés ou complémentaires à ceux de FGA.

Dans certains cas, au moment de la collecte de renseignements personnels, FGA peut fournir de plus amples renseignements sur leur traitement ou prévoir des modalités particulières. FGA peut aussi, dans certaines circonstances, obtenir un consentement particulier, verbal ou écrit, à l’utilisation ou à la communication de renseignements personnels, y compris lorsque la loi l’exige.

2. Notion de «renseignements personnels»

L’expression « renseignements personnels » s’entend généralement des renseignements concernant une personne physique et permettant, directement ou indirectement, de l’identifier. Les renseignements anonymisés et qui ne peuvent être associés à un individu identifiable que ce soit directement ou indirectement ne constituent pas des renseignements personnels. En conformité avec la loi, aux fins de certains passages de la Politique, sont également exclus les renseignements qui concernent l’exercice d’une fonction au sein d’une entreprise, comme certaines coordonnées d’affaires.

3. Catégorie de renseignements personnels recueillis

FGA limite la collecte aux renseignements personnels qui sont raisonnablement nécessaires pour atteindre les objectifs pour lesquels ils ont été recueillis. FGA peut, recueillir, détenir, utiliser ou communiquer divers renseignements en fonction de la nature de la relation d’une personne avec FGA, par exemple, un actionnaire, un utilisateur du site Web ou un employé, notamment, sans s’y limiter :

• Renseignements d’identification et d’authentification, comme le nom, l’adresse postale, le numéro d’assurance sociale, la date de naissance, la mention du sexe, le numéro de téléphone, l’adresse électronique, l’employeur, la profession, le numéro d’employé, l’état matrimonial, les signatures (manuscrites, électroniques ou numériques), les mots de passe et autres méthodes d’authentification et des identifiants gouvernementaux comme le numéro de permis de conduire.
• Renseignements sur les activités sur le Web ou autre, comme le type de navigateur, le fournisseur de services Internet, les pages de renvoi/de sortie et les pages consultées sur le site Web.

4. Cueillette des renseignements personnels

FGA recueille des renseignements personnels de différentes façons, notamment directement de la personne concernée, auprès de tiers et via son site Web ou autrement, notamment, lorsque la loi le permet.
FGA peut également générer de nouveaux renseignements à l'aide de ceux déjà recueillis. FGA peut, sans s’y limiter, recueillir des renseignements personnels des sources générales suivantes :
‍
a. Directement de la personne

‍
FGA peut recueillir des renseignements personnels directement de la personne concernée ou de son représentant légal, notamment dans le cadre d’un emploi, fonction ou charge à FGA.


b. Auprès de tiers 


Dans certaines circonstances, FGA peut recueillir des renseignements personnels auprès de tiers, comme un ancien employeur, une institution financière, une agence de renseignements, une agence d’évaluation de crédit, une entité partenaire dont les produits, services ou activités sont liés ou complémentaires à ceux de FGA, un fournisseur de service, un organisme public, un représentant légal, etc...



Chaque tiers est responsable de s’assurer et garantit qu’il est autorisé à fournir de tels renseignements à FGA et a obtenu le consentement libre et éclairé de la personne concernée pour la collecte, l’utilisation et la communication de ses renseignements personnels lorsque requis par la loi.

c. Via son site Web

L'utilisation du site Web permet à FGA de compiler automatiquement certains renseignements concernant un profil d’utilisateur, ce qui peut inclure l’adresse de protocole Internet (ou adresse IP) d’un ordinateur, une zone de géolocalisation, le système d’exploitation utilisé, le nom du fournisseur de services Internet, la date et l’heure auxquels une personne a accédé au site Web, le site Web précédent qui a été visité dans la mesure où il a fourni un lien au site Web de FGA, ainsi que le contenu visionné et téléchargé sur le site Web de FGA. Pour ce faire, le site Web de FGA, comme la plupart des sites Web, utilise des témoins de pistage, soit de petits fichiers de données qui sont enregistrés sur un ordinateur lorsque la visite est effectuée. L’utilisation du site Web est également assujettie à la Note légale - Conditions d’utilisation et aux autres conditions mises en ligne de temps à autre.

5. Cueillette des renseignements personnels

Avec le consentement de la personne concernée ou telle que la loi le permet ou l’exige, FGA peut utiliser des renseignements personnels pour les besoins suivants ou toutes autres finscompatibles ou raisonnables ou suivant toutes autres fins prévues dans un consentement.FGA peut utiliser des renseignements personnels pour des besoins généraux de l’entreprise, par exemple :

Fournir ou offrir des produits et services ou traiter des demandes

• Établir et maintenir une relation d’affaires;
• Répondre à toutes questions, commentaires, suggestions ou plaintes;
• Fournir de l’information sur les produits et services qui peuvent être d’intérêt;
• Transférer des sommes à partir ou vers une institution financière.

Gérer les activités commerciales

• Prévenir les erreurs et la fraude et répondre aux exigences de la loi;
• S’assurer de la sécurité de l’information, des systèmes ou réseaux;
• Enquêter ou faciliter la tenue d'enquêtes;
• Informer les autorités compétentes et collaborer avec elles lorsque requis;
• Recouvrer des sommes dues;
• Répondre à des audits, à des évaluations, à des demandes ou à des exigences légales.

Gérer le site Web

• Le site Web peut utiliser des renseignements pour gérer et faciliter son utilisation, qui peuvent inclure des témoins de pistage et autres technologies pour adapter le site Web à des préférences et pour compiler des statistiques au sujet de la consultation et de l’utilisation du site Web afin de l’améliorer comme des outils d’analyse tels que Google Analytics et des technologies semblables. Les statistiques peuvent notamment inclure le nombre de visites, le temps moyen de chaque visite ou les pages visitées.

Gérer le dossier d’un employé, membre de comité ou administrateur ou certains consultants

• Vérifier l’identité, les antécédents et dans certains cas, les diplômes obtenus;
• Répondre à des demandes et communiquer avec la personne candidate, occupant le poste, ou ayant occupé le poste;
• Évaluer une demande de candidature;
• Conclure un contrat de travail ou tout autre contrat;
• Traiter les paies, les retenues et les cotisations applicables et effectuer le paiement de toutes sommes dues;
• Compléter l’adhésion à une assurance collective ou à un régime de retraite;
• Gérer la performance ou le perfectionnement professionnel;
• Assurer la conformité en matière de santé et de sécurité, assurer la surveillance, prévenir la violence, traiter des plaintes ou gérer des mesures administratives, disciplinaires ou légales.

Mandats de gestion

• Vérifier les antécédents;
• Réaliser une vérification diligente;
• Nommer ou recommander la nomination d’un administrateur, dirigeant ou membre de comité.

6. Communication à d’autres personnes ou organisations

FGA peut communiquer des renseignements personnels à ses mandataires, prestataires de services, filiales ou autres entités du même groupe, à des responsables FGA, à des entités partenaires dont les produits, services ou activités sont liés ou complémentaires à ceux de FGA, et à d’autres personnes ou organisations en conformité avec la loi. Les fournisseurs de services qui pourraient recevoir des renseignements personnels comprennent notamment des entreprises de consultation, des entreprises de gestion des ressources humaines, des entreprises de formation, des entreprises de préparation d’états de compte ou de relevés fiscaux, des sociétés d’expédition postale et de messagerie, des entreprises de numérisation, des entreprises de stockage de documents, des fournisseurs d’hébergement de données infonuagiques ou autre, des fournisseurs de logiciels, d’entretien et de service-conseil en TI.



Lorsque FGA communique des renseignements personnels à des tiers comme des mandataires ou prestataires de services, il prévoit par contrat, conformément à la loi, que les renseignements personnels communiqués ne doivent être utilisés qu’aux fins de la réalisation du contrat et qu’ils doivent bénéficier de mesures de protection raisonnables compte tenu, par exemple, de leur sensibilité, utilisation ou quantité. Ces tiers peuvent être amenés à démontrer une assurance raisonnable que les contrôles de sécurité de l’information et de protection des données sont suffisants en ce sens.



En outre, FGA peut communiquer des renseignements personnels lorsque la loi le permet ou l’exige, par exemple :

• Avec des gouvernements, des organismes ou agences gouvernementaux, des organismes d’application de la loi lorsque la loi l’exige, comme dans le cas de la communication à des fins fiscales à l’Agence du revenu du Canada ou Revenu Québec, ou en matière de valeurs mobilières comme à l’Autorité des marchés financiers.
• Avec des personnes ou des organisations, des agences de prévention de la fraude, des organismes ou agences de réglementation ou gouvernementaux, des organismes de prévention et de dissuasion du blanchiment d’argent et du financement d’activités terroristes comme, par exemple, le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE), des opérateurs de base de données ou de registres utilisés pour vérifier les renseignements fournis par rapport à ceux existants, ou des assureurs, institutions financières ou de prêt pour valider l’admissibilité, repérer ou éliminer des abus financiers, des fraudes et des activités criminelles, protéger les actifs et les intérêts de FGA, aider dans le cadre d’enquêtes internes et externes visant des activités potentiellement illégales ou suspectes ou gérer, défendre ou régler des pertes réelles ou potentielles liées à ce qui précède. À ces fins, des renseignements personnels peuvent être regroupés avec des données appartenant à d’autres personnes et faire l’objet d’analyses de données.

Dans tous les cas, FGA ne vend pas les renseignements personnels qui lui sont confiés dans le cadre de ses activités.

7. Mesures de protection des renseignements personnels

Une personne peut, dans certains cas, choisir la façon dont FGA traite ses renseignements personnels.

a. Recommandations ou consultation

Dans certaines circonstances, FGA pourrait recueillir auprès d’une personne concernée, utiliser et communiquer des renseignements personnels dans un contexte qui n’est pas strictement nécessaire à une demande présentée à FGA. Dans la mesure où des renseignements personnels recueillis à ces fins ne sont pas strictement nécessaires à la réalisation d’une demande FGA sollicitera un consentement distinct et facultatif sur ces éléments, sauf dans les cas où un consentement tacite s’applique, par exemple, lorsqu’une personne partage des commentaires sur une plateforme numérique de FGA.Une personne peut toujours choisir de retirer son consentement à la collecte, utilisation et communication de renseignements personnels à ces fins en suivant les modalités qui lui seront partagées de temps à autre à cet effet.

b. Recommandations ou consultations

Il est possible d’effacer les témoins de pistage du lecteur de disque dur d’un ordinateur ou d’un appareil mobile, de bloquer la création de témoins de pistage ou de recevoir un avertissement avant qu’un témoin de pistage ne soit enregistré et une personne peut retirer ou désactiver certaines de ces technologies en tout temps au moyen de son navigateur. Si une personne souhaite désactiver Google Analytics, elle peut utiliser le module complémentaire de désactivation de Google situé sur https://tools.google.com/dlpage/gaoptout. Toutefois, en cas de retrait ou désactivation, il est possible que certaines des fonctionnalités du site Web et des plateformes numériques ne soient plus fonctionnelles ou accessibles. Toute personne est invitée à se reporter aux instructions de son navigateur ou à son écran d’aide pour savoir comment bloquer, supprimer et gérer les témoins de pistage sur son ordinateur ou appareil mobile.

b. Restriction à la collecte, l’utilisation et la communication de renseignements personnels

Pour les autres situations que celles décrites précédemment, toute personne peut retirer son consentement à la collecte, à l’utilisation et à la communication de renseignements personnels conformément à la Politique, en tout temps moyennant la remise d’un préavis écrit raisonnable à FGA, sous réserve de restrictions légales ou contractuelles.

Toutefois, le retrait d’un consentement peut avoir une incidence sur la capacité de FGA à offrir ou fournir des produits et services à une personne ou à répondre à une demande. Dans certaines circonstances, des exigences d’ordre légales ou contractuelles pourraient empêcher une personne de retirer son consentement, par exemple, dans la mesure où les renseignements sont requis pour satisfaire des obligations de nature fiscale ou de conformité.

8. Mesures de protection des renseignements personnels

La Politique de gestion et sécurité de l’information de FGA, disponible sur le site Web de FGA, et diverses autres directives, procédures et instructions encadrent la protection des renseignements personnels à FGA.

Sans limiter la portée de ce qui précède, FGA, en collaboration avec son principal fournisseur de services, déploie les mesures raisonnables pour assurer la confidentialité des renseignements personnels et à ce titre, met en place une série de mesures de sécurité visant à protéger les renseignements personnels contre la perte ou le vol ainsi que contre toute consultation, communication, reproduction, utilisation et modification non autorisée. Ces mesures de sécurité incluent des mesures physiques (par exemple, les cartes d’accès aux bureaux pour les employés, la sauvegarde et l’archivage des données au moyen d’un système externe, etc.), administratives ou organisationnelles (comme de la formation sur la confidentialité et la sécurité des données pour les employés) et technologiques (comme l’utilisation de mots de passe, l’utilisation d’un pare-feu, le chiffrement des données, l’utilisation du protocole SSL, le recours à une surveillance du réseau, etc.) qui sont raisonnables compte tenu de la sensibilité des renseignements, de leur utilisation, de leur quantité, de leur répartition et de leur support.

FGA prend également les mesures nécessaires pour s’assurer que tous ses employés soient informés au sujet du contenu de la présente Politique et des pratiques en matière de protection des renseignements personnels et déploie des initiatives en matière de gestion des identités et des accès informatiques afin de déterminer quels employés ou autres personnes autorisées peuvent accéder à des actifs informationnels et pendant quelle période.

Toutefois, comme aucun mécanisme n’offre une sécurité sans failles, une part de risque est toujours présente.

Selon le volume et la sensibilité des renseignements, les fins auxquelles ils sont utilisés et le support sur lequel ils sont conservés, FGA met en œuvre une combinaison de mesures afin de protéger les renseignements personnels, notamment :

• Désignation d’un responsable de la protection des renseignements personnels assumant les rôles et responsabilités prévus à la Loi sur la protection des renseignements personnels dans le secteur privé et qui veille notamment à ce que FGA se conforme aux lois applicables en matière de protection des renseignements personnels;
• Des procédures pour recevoir, enquêter et répondre aux plaintes ou aux demandes relatives aux pratiques de FGA en matière de traitement des renseignements, y compris celles relatives à tout incident impliquant des renseignements personnels;
• Des mesures contractuelles, questionnaires de sécurité et autres outils visant à assurer que les fournisseurs avec lesquels FGA partage des renseignements personnels possèdent des mesures de sécurité adéquates.

9. Conservation des renseignements personnels

FGA conserve les renseignements personnels pour fournir des produits ou services ou répondre aux demandes qui lui sont présentées, gérer ses activités commerciales, incluant, notamment, pour l’exécution d’un contrat ou pour tout autre intérêt légitime de FGA ou pour se conformer à ses obligations légales. Lorsque les fins auxquelles des renseignements personnels ont été recueillis ou utilisés sont accomplies, et sous réserve de délais de conservation prévus dans d’autres lois, la Loi sur la protection des renseignements personnels dans le secteur privé prévoit que ces renseignements doivent être détruits ou anonymisés, pour qu’ils ne puissent plus identifier une personne, de façon sécuritaire et irréversible.

10. Transferts hors-Québec des renseignements personnels

De façon générale, les renseignements personnels sont détenus (données au repos) au Canada, que ce soit au Québec ou dans une autre province. Malgré ce qui précède, ils peuvent également être détenus dans tout pays où des fournisseurs de services de FGA ont des activités et dans la mesure où cela est nécessaire à leurs fonctions ou prestations.

Ainsi, certains fournisseurs de FGA peuvent avoir accès à des renseignements personnels, les utiliser ou les stocker à l’extérieur du Québec. Dans une telle situation, les mesures de protection décrites à l’article 8 s’appliquent, mais il demeure que les renseignements personnels ainsi communiqués peuvent être assujettis aux lois d’un État étranger, y compris toute loi permettant ou exigeant la communication des renseignements au gouvernement, à des organismes gouvernementaux, à des tribunaux et à des organismes d’application de la loi de cet État.

11. Demande d’accès, de rectification, de modification ou de suppression ou plainte relativement à ses renseignements personnels

Sous réserve de certaines exceptions légales, toute personne peut avoir accès aux renseignements personnels la concernant, demander que des corrections soient apportées à des renseignements inexacts et demander la rectification ou suppression de ses renseignements personnels si leur collecte, leur utilisation, leur communication ou leur conservation ne sont pas autorisées par la loi. Toute personne peut en outre formuler une plainte quant à la protection des renseignements personnels.

Pour exercer tout autre droit prévu au présent article, toute personne est invitée à contacter FGA en utilisant les coordonnées contenues à l’article 13.

Des frais raisonnables peuvent être exigés de la personne concernée pour la transcription, la reproduction ou la transmission de renseignements. Si FGA entend exiger de tels frais, il informera la personne concernée du montant approximatif exigible avant de procéder.

12. Demande d’accès, de rectification, de modification ou de suppression ou plainte relativement à ses renseignements personnels

À son entière discrétion, FGA peut apporter des modifications à la Politique. Toute modification prend effet au moment où elle est affichée sur son site Web. En conformité avec la loi, des modalités additionnelles pourraient s’appliquer. En continuant de traiter avec FGA après que la nouvelle version de la Politique ait été affichée, toute personne sera réputée avoir accepté les modifications apportées à la Politique, sous réserve de toute autre exigence pouvant s’appliquer. Il est de la responsabilité de chaque personne de s’assurer d’avoir lu et compris la Politique et toute modification à celle-ci.

13. Coordonnées

Toutes questions générales relatives à la confidentialité et à la protection des renseignements personnels peuvent être soumises de la façon indiquée ci-dessous :

• par téléphone au 514 525-5505 ou sans frais 1 800 253-6665;
• par la poste : 2175, boul. De Maisonneuve Est, bureau 103, Montréal (Québec) H2K 4S3.

Toutes demandes d’accès, de rectification, de modification, de suppression ou de plainte doivent être soumises par écrit au responsable de la protection des renseignements personnels de la façon indiquée ci-dessous :

• par courriel à confidentialite@fondaction.com;
• par la poste : 2175, boul. De Maisonneuve Est, bureau 103, Montréal (Québec) H2K 4S3.

Le responsable de la protection des renseignements personnels répond avec diligence à toute demande qui lui est adressée, généralement, dans les 30 jours de la réception de la demande écrite. Si le responsable ne peut pas donner suite, en tout ou en partie, à une demande qui lui est présentée, il en donnera la raison au demandeur.

14. Responsable et révision

Conformément aux dispositions de Loi sur la protection des renseignements personnels dans le secteur privé (telle que modifiée par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels), la Politique a également été approuvée par le responsable de la protection des renseignements personnels à FGA. L’application et la révision de la Politique sont sous sa responsabilité. La fréquence minimale de révision est tous les trois (3) ans ou plus fréquemment si cela s’avère nécessaire.