Panier 0

Québec add'l document

Rôles et responsabilités du personnel de Festool tout au long du cycle de vie des informations personnelles

Festool Canada inc. («Festool" ou la "Société”) prend des mesures pour traiter les informations personnelles d'une manière qui respecte la confidentialité de ces informations, protège l'intégrité des informations afin que les décisions soient prises sur la base d'informations exactes et réalise les objectifs de collecte des données. L'objectif global de Festool est de se conformer à toutes les exigences légales et réglementaires applicables, ainsi que de développer et de suivre des pratiques de gestion des données d'une manière qui renforce et maintient la confiance de son personnel et de ses clients, tout en permettant un fonctionnement efficace et efficient de notre l'organisation et la prestation de nos services.

Le personnel de l'entreprise aura les rôles et responsabilités suivants en ce qui concerne le traitement des informations personnelles tout au long de leur cycle de vie au sein de notre organisation:

  1. Chef de la direction
  • Responsabilité générale de s'assurer que la Société respecte la législation applicable en matière de confidentialité et de protection des données, y compris la Loi sur la protection des renseignements personnels dans le secteur privé (Québec)
  • Déléguer les fonctions nécessaires pour assurer la conformité de la Société avec la législation applicable en matière de confidentialité et de protection des données, y compris la Loi sur la protection des renseignements personnels dans le secteur privé (Québec)
  1. Responsable de la confidentialité
  • Promouvoir la confidentialité et la protection des données au sein de notre organisation.
  • Développer des politiques, des normes et des procédures pour gérer et protéger de manière appropriée les informations personnelles conformément aux lois applicables et aux exigences contractuelles.
  • Développer des processus de consentement appropriés pour la collecte, l'utilisation et la divulgation de renseignements personnels.
  • Confirmer que des contrôles de sécurité appropriés sont développés, mis en œuvre et maintenus pour protéger les informations personnelles d'une manière compatible avec la sensibilité des informations.
  • Élaborer et/ou faciliter la prestation de formations sur la confidentialité et la sécurité des données au personnel.
  • Gérer et répondre aux demandes ou demandes d'accès et de rectification des informations personnelles, et autres demandes des personnes concernées.
  • Diriger et gérer le respect des ordonnances judiciaires et autres procédures judiciaires exigeant la divulgation de renseignements personnels.
  • Recevoir, enquêter et répondre aux plaintes relatives à la confidentialité.
  • Élaboration d'un calendrier de conservation des données approprié.
  • Communiquer avec les régulateurs de la vie privée, y compris en cas de plainte ou d'enquête.

 

  1. Responsable de la sécurité de l'information
  • Définir, mettre en œuvre, maintenir et appliquer les politiques, procédures et mesures de protection liées aux technologies de l'information et aux systèmes d'enregistrement.
  • Concevoir, mettre en œuvre et entretenir du matériel informatique, des logiciels, des processus et des contrôles, selon les besoins, pour soutenir la gestion efficace et conforme des dossiers tout au long de leur cycle de vie.
  • Élaboration de politiques et de procédures de sauvegarde des données. Tester régulièrement les sauvegardes.
  • Mener des évaluations de vulnérabilité, ainsi que des évaluations des menaces et des risques de sécurité. Élaboration et gestion des plans d'atténuation des risques.
  • Informer le responsable de la protection de la vie privée de toute violation de données, défaillance technologique ou autre incident entraînant (ou susceptible d'entraîner) la perte ou l'accès non autorisé ou la divulgation d'informations personnelles (ou tout autre incident de confidentialité). Participer et coopérer pleinement à toute enquête sur de tels incidents (y compris coopérer avec des enquêteurs externes, le cas échéant).

 

  1. Autre personnel

Tout le personnel de l'entreprise qui a accès aux informations personnelles est responsable de

  • Examiner et agir conformément à cette politique et aux politiques, normes et procédures connexes, y compris la politique de confidentialité de Festool.
  • Aviser les personnes des fins pour lesquelles leurs renseignements personnels seront recueillis, utilisés et divulgués, et obtenir les consentements conformément aux politiques et procédures de la Société, le cas échéant.
  • Limiter la collecte de renseignements personnels à ce qui est nécessaire pour accomplir les fins identifiées aux individus, conformément aux politiques, normes et procédures de l'entreprise.
  • S'abstenir d'accéder, d'utiliser ou de divulguer des informations personnelles à moins que cela ne soit requis pour l'exécution de leurs fonctions et autorisé par les politiques, normes et procédures applicables.
  • Prendre des mesures raisonnables pour confirmer que les informations sont exactes et à jour avant d'utiliser les informations personnelles, le cas échéant.
  • Identifier et éliminer régulièrement les informations transitoires, qui ne sont plus nécessaires pour soutenir les activités commerciales, de manière sécurisée et conformément aux politiques et procédures de conservation et de destruction de la Société.
  • Demander conseil au responsable de la protection de la vie privée s'il n'est pas sûr de ses obligations en vertu des politiques, normes et procédures de la société ou de la loi applicable.
  • Aviser rapidement le responsable de la protection de la vie privée de tout incident lié à la confidentialité ou de toute autre perte ou vol, ou de l'accès, de l'utilisation ou de la divulgation non autorisés de renseignements personnels.
  • Informer rapidement le responsable de la confidentialité de toute demande d'accès, demande de confidentialité, plainte ou autre demande de personne concernée.

 

La Société prendra des mesures pour communiquer au personnel leurs rôles et responsabilités en relation avec le traitement des informations personnelles, comme décrit ci-dessus.

 


Politique de conservation et de destruction des dossiers

Festool USA LLC ("Festool" ou la "Société”) a élaboré une politique de conservation et de destruction des dossiers qui s'harmonise avec les lignes directrices fournies par le Commissariat à la protection de la vie privée du Canada et la Commission d'accès à l'information (Québec).

 

  1. Conservation des dossiers

 

La Société conservera des dossiers contenant des informations personnelles ("Dossiers”) seulement aussi longtemps que nécessaire pour atteindre les objectifs pour lesquels ces informations ont été collectées et pour répondre aux exigences légales, fiscales, contractuelles, administratives et opérationnelles.

 

La Société s'engage à s'assurer que les Dossiers sont exacts, complets et conservés pendant les périodes de temps requises conformément aux lois et réglementations applicables.

 

Les dossiers seront traités conformément à une procédure de gestion des documents qui comprend les éléments suivants:

  • identification des types de Dossiers contenant des informations personnelles (ex. : dossiers ressources humaines, dossiers clients, etc.) ;
  • définir les niveaux de confidentialité des Documents (par exemple, protégés, confidentiels et secrets) en fonction de facteurs tels que la sensibilité, l'objectif, la quantité, la distribution et le support;
  • distinguer les types de supports pour associer une méthode appropriée de conservation et de destruction pour différents types de Documents (par exemple, support papier, informatique ou électronique);
  • déterminer et mettre en œuvre un calendrier de conservation pour différents types de documents qui répond aux exigences légales, y compris les périodes de conservation maximales et minimales qui tiennent compte des exigences et restrictions législatives et des mécanismes d'appel (le cas échéant);
  • détruire des informations personnelles qui ne répondent pas à un objectif spécifique ou ne sont plus nécessaires pour atteindre un objectif identifié. Si les informations doivent être conservées uniquement à des fins statistiques, des techniques efficaces de désidentification ou d'anonymisation seront utilisées;
  • s'assurer que tous les renseignements personnels sont complètement supprimés avant de recycler ou d'éliminer les appareils électroniques (par exemple, ordinateurs, photocopieurs, téléphones cellulaires);
  • utiliser des processus efficaces pour détruire, effacer ou anonymiser les informations personnelles;
  • élaborer des lignes directrices et mettre en œuvre des procédures pour la conservation sécurisée des renseignements personnels; et
  • mener des examens périodiques pour évaluer la nécessité de conserver les renseignements personnels.

 

  1. Destruction de documents
  2. Types d'enregistrements

La Société déterminera les méthodes de destruction appropriées pour l'Enregistrement, selon qu'il s'agit d'un Enregistrement papier ou d'un Enregistrement électronique, tel que défini ci-dessous:

 

Dossiers papier inclure des représentations physiques de données, telles que des impressions papier, des notes, des mémos, des messages, de la correspondance, des enregistrements de transactions et des rapports sur papier.

 

Dossiers électroniques comprennent les informations stockées sur des appareils électroniques, tels que les disques durs d'ordinateurs, les disques durs de copieurs et d'imprimantes, les disques durs amovibles, y compris la mémoire, les disques et les clés USB, les téléphones portables et les bandes magnétiques. Les enregistrements électroniques comprennent les e-mails, les versions préliminaires de documents enregistrés sur un serveur ou un système de gestion de documents, les documents numérisés/imagés, les fax (lorsqu'il n'y a pas de copie papier), les messages vocaux, les métadonnées et toute autre information ou donnée enregistrée ou stockée sous forme électronique.

 

  1. Techniques de destruction pouvant être utilisées

La Société utilisera les techniques de destruction suivantes recommandées par le Commissariat à la protection de la vie privée du Canada, afin que les renseignements personnels contenus dans ces dossiers ne puissent être récupérés:

 

  • détruire complètement les médias, qu'il s'agisse d'une copie papier ou électronique, de sorte que les informations qui y sont stockées ne puissent jamais être récupérées. Cela peut être accompli en utilisant une variété de méthodes, y compris la désintégration, l'incinération, la pulvérisation, le broyage croisé et la fusion;
  • suppression d'informations en utilisant des méthodes qui résistent aux méthodes de récupération simples, telles que les utilitaires de récupération de données et les tentatives de récupération de frappe. Une méthode d'effacement des supports est l'écrasement, qui peut être effectué à l'aide de produits logiciels et matériels qui écrasent les supports avec des données non sensibles ; et/ou
  • démagnétisation, dans lequel les supports magnétiques sont exposés à un champ magnétique puissant pour rendre les données irrécupérables. Cela peut être utilisé pour se protéger contre des tentatives de récupération de données plus robustes, telles qu'une attaque de laboratoire à l'aide d'outils spécialisés (par exemple, un équipement de traitement du signal). La démagnétisation ne peut pas être utilisée pour purger des supports non magnétiques, tels que des CD ou des DVD.

Sans limiter ce qui précède, les Dossiers papier (i) ne peuvent pas être déposés dans des bacs de recyclage de bureaux ouverts, mais doivent plutôt être placés dans des bacs de déchiquetage spéciaux avec des serrures de haute sécurité accessibles uniquement par des personnes autorisées, et (ii) doivent être déchiquetés à l'aide d'une croix -déchiqueteuse avec une coupe déchiquetée à une largeur de 1 cm ou moins, et l'autre coupée à 15 mm ou moins, pour s'assurer que les informations contenues dans ce dossier sont effacées. L'utilisation de broyeurs domestiques ou de bureau standard n'est pas autorisée et le matériau résultant doit être recyclé ou réduit en pâte.

 

La destruction sur place des Dossiers doit avoir lieu dans une zone accessible uniquement au personnel autorisé de la Société.

 

  1. Destruction par un fournisseur de services tiers

Festool peut faire appel aux services d'un prestataire tiers pour détruire les Enregistrements, y compris lorsqu'il ne dispose pas du matériel nécessaire pour permettre une destruction sécurisée et définitive.

Lorsque la Société utilise les services d'un fournisseur de services tiers, la Société s'assurera que le contrat de prestation de services de destruction de documents spécifie:

  • le processus utilisé pour la destruction;
  • une reconnaissance par le prestataire de services que les informations traitées sont confidentielles;
  • que le prestataire informera la Société s'il fait appel à un sous-traitant pour la destruction des Enregistrements;
  • qu'un accord de confidentialité sera signé par les employés du prestataire de services qui ont accès aux Dossiers;
  • que le stockage sécurisé des Dossiers est requis avant la destruction (par exemple, stocké dans des locaux sécurisés avec un accès limité);
  • cette Société a le droit d'accéder aux locaux du prestataire de services pendant la durée du contrat pour confirmer le respect du contrat;
  • que le prestataire de services est tenu de faire régulièrement rapport à la Société sur la destruction des Documents.

En cas de manquement du prestataire tiers à ses obligations, la Société prendra les mesures appropriées, notamment pour obtenir la restitution des Enregistrements et résilier le contrat.

 

 

 

Processus de traitement des demandes de renseignements et des plaintes

Festool USA LLC ("Festool" ou "Société”) s'efforce d'être transparent sur ses pratiques de traitement des données. Les individus ont le droit de faire des demandes ou des plaintes concernant la collecte, l'utilisation, la divulgation ou tout autre traitement de leurs informations personnelles par la Société, ou autrement concernant la conformité de la Société avec les lois applicables en matière de confidentialité et de protection des données.

 

Le personnel de l'entreprise qui reçoit ou est mis au courant d'une demande ou d'une plainte doit:

 

  • Enregistrer la date à laquelle la demande ou la plainte est reçue, ainsi que sa nature; et

 

  • Transférer ou transmettre immédiatement la demande ou la plainte au vice-président des opérations au privacy@festoolfanshop.com (la "Responsable de la confidentialité”).

 

Le responsable de la protection de la vie privée sera responsable d'entreprendre une enquête raisonnable et de répondre, par écrit, à toutes ces demandes de renseignements et plaintes. En particulier, le responsable de la protection de la vie privée doit:

 

  • Accuser réception de la demande ou de la plainte dans les meilleurs délais;

 

  • Valider/confirmer l'identité de la personne/demandeur;

 

  • Demander des éclaircissements concernant la demande ou la plainte, au besoin;

 

  • Évaluer de manière juste et impartiale la validité d'une plainte, en tenant compte de tous les facteurs pertinents;

 

  • Informer clairement et rapidement la personne de la réponse à sa demande ou du résultat de sa plainte, ainsi que de toute mesure prise à la suite de la demande ou de la plainte, dans le délai requis par la loi applicable;

 

  • Si une plainte s'avère justifiée, prendre les mesures appropriées pour traiter et rectifier le fond de la plainte et pour assurer le respect des lois applicables, y compris, si nécessaire, en corrigeant toute information personnelle inexacte et/ou en modifiant les politiques et procédures de la société concernant le traitement des informations personnelles; et

 

  • Veiller à ce que les employés concernés de l'entreprise soient informés de tout changement apporté aux politiques et procédures de l'entreprise à la suite d'une enquête ou d'une plainte, y compris en organisant la formation nécessaire pour mettre en œuvre et donner effet à ces changements.

 

Les dossiers des décisions prises à l'égard d'une enquête ou d'une plainte, et tout renseignement personnel faisant l'objet d'une demande d'accès ou d'une demande de rectification, seront conservés aussi longtemps que nécessaire pour permettre à la ou aux personnes concernées d'épuiser tout recours. qu'ils peuvent avoir en vertu des lois applicables. En particulier, les renseignements personnels qui ont été utilisés pour rendre une décision touchant directement une personne en Colombie-Britannique ou au Québec doivent être conservés pendant au moins un an afin de donner à la personne une possibilité raisonnable d'en demander l'accès.[1] Le responsable de la protection de la vie privée approuvera une dérogation au calendrier/aux pratiques de conservation et de suppression réguliers de la société, le cas échéant, pour permettre une telle conservation.

 

[1] Loi sur la protection des renseignements personnels (Colombie britannique), SBC 2003, c 63, art 35; Loi sur la protection des renseignements personnels dans le secteur privé (Québec), RLRQ c P-39.1, art 11.