Politique sur la protection des renseignements personnels des personnes œuvrant pour Kassiwi Média
Entrée en vigueur : 22 septembre 2023
1. Objet et champ d’application
Kassiwi Média inc. (et toutes les sociétés dans lesquelles elle détient une participation) (ci-après collectivement, « Kassiwi ») s’engage à traiter les renseignements personnels des personnes œuvrant pour elle dans le respect de la Loi sur la protection des renseignements personnels dans le secteur privé. La présente Politique sur la protection des renseignements personnels des personnes œuvrant pour Kassiwi (ci-après, la « Politique ») informe les personnes œuvrant pour Kassiwi de ses pratiques quant à la collecte, l’utilisation et la communication de leurs renseignements personnels, ainsi que de leurs droits en lien avec leurs renseignements personnels.
Kassiwi est une société de production médiatique autochtone qui opère ses activités dans l’industrie des médias au Québec depuis 2015. Kassiwi est une des rares sociétés de production autochtones qui produit principalement en français et en langue autochtones en communauté ainsi qu’en milieu urbain afin d’être représentative de la diversité des peuples autochtones du Canada. Tout cela, en plus de promouvoir une expression créatrice médiatique afin de refléter la richesse et la diversité des cultures autochtones à travers ses œuvres (ci-après, la « Production » ou les « Productions ») pour des auditoires canadiens et à travers le monde. Kassiwi met donc tout en place afin de produire des oeuvres médiatiques de haute qualité réalisées par des professionnels autochtones compétents et passionnés afin de créer un monde plus sensible et plus ouvert aux réalités des Premiers Peuples.
La présente Politique s’applique à toutes les personnes (personnes privées, publiques, physiques ou morales) œuvrant pour Kassiwi, en qualité d’employé ou non (ci-après, les « Personnes désignées »).
2. Définition de « renseignement personnel »
Dans la présente Politique, le terme « renseignement personnel » désigne tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier. Un renseignement personnel sera également considéré comme sensible lorsque de par sa nature notamment médicale, ou autrement intime, il révèle des détails particulièrement intimes sur la personne ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée.
Collecte de renseignements personnels
Kassiwi recueille les renseignements personnels au sujet des personnes désignées qui sont nécessaires dans le cadre de la gestion de ses relations de travail avec elles. Kassiwi peut recueillir les renseignements personnels suivants à propos des personnes désignées:
-
Identifiants et coordonnées, comme leur nom, leurs adresses courriel et postale professionnelle et/ou personnelle, leur numéro de téléphone professionnel et/ou personnel, les pièces d’identité délivrées par le gouvernement (comme leur numéro d’assurance sociale, les informations relatives à leur visa et à leur passeport), leur permis de travail/séjour, leur permis de conduire.
-
Renseignements démographiques, comme leur date de naissance, leur genre, leur citoyenneté, leur situation familiale, la liste des personnes à charge. Dans certains cas, Kassiwi peut recueillir des renseignements démographiques en lien avec un programme d’équité, de diversité et d’inclusion, sur une base volontaire (comme l’origine ethnique, l’orientation sexuelle, etc…).
-
Renseignements médicaux, comme l’ensemble des données médicales exigées pour la mise en place des polices d’assurance pour le personnel clé des Productions, tout renseignement concernant la santé incluant la prise de médicaments, les allergies, les régimes alimentaires.
-
Renseignements sur les pratiques spirituelles, les positions politiques, les pratiques religieuses et les convictions philosophiques
-
Renseignements sur les habitudes de vie et de consommation comme les loisirs et les sports à risque pratiqués.
-
Renseignements professionnels ou liés à l’emploi, comme le titre, le salaire et autres avantages, l’historique de rémunération, l’horaire de travail et le statut professionnel, l’expérience professionnelle incluant le curriculum vitae, les résultats des enquêtes auprès des anciens employeurs, les études, les permis et les autres titres, l’appartenance syndicale le cas échéant, les renseignements sur les prestations et les congés, les renseignements relatifs à tout problème ou litige pouvant survenir, les rapports et les évaluations de rendement, les résultats de tests psychométriques, les dossiers de crédits, les dossiers disciplinaires, les résultats de recherche au plumitif ou toutes recherches sur les antécédents judiciaires, la date de cessation d’emploi et les motifs (volontaires ou involontaires et détails) de la cessation d’emploi.
-
Renseignements financiers, comme ceux fournis par les personnes œuvrant pour Kassiwi à des fins de gestion de la paie (institution financière et numéro de compte bancaire), ou sous une autre forme de rémunération, et les renseignements nécessaires à la délivrance des formulaires fiscaux.
-
Renseignements sur leurs contacts en cas d’urgence, comme leurs noms, leurs coordonnées et la nature de leur relation avec eux.
-
Renseignements que Kassiwi recueille sur l’utilisation faite de l’internet, de ses réseaux, de ses appareils et de ses locaux, comme leur adresse IP (si elle permet d’identifier l’employé ou l’utilisateur) et l’identifiant de leur appareil (par exemple, si l’employé ou l’utilisateur se connecte au réseau Wi-Fi de Kassiwi). Kassiwi peut recueillir des renseignements sur l’utilisation que les personnes désignées font de leur compte de courriel de travail, de l’internet, des ordinateurs, des téléphones et des autres appareils de Kassiwi auxquels ils ont accès dans le cadre de leur travail, et de leur appareil personnel utilisé dans le cadre de leur emploi. Kassiwi peut également recueillir des images vidéo et des photos par le biais de caméras vidéo en circuit fermé (caméras de surveillance des locaux de Kassiwi).
-
D’autres renseignements, comme ceux qu’ils peuvent fournir par l’intermédiaire du système de gestion de la paie.
3. Conservation et destruction des renseignements personnels
Kassiwi prend des mesures et des mécanismes de contrôle appropriés pour protéger les renseignements personnels des personnes désignées. Ces mesures comprennent la restriction de l’accès physique aux bureaux et aux dossiers de Kassiwi, la restriction de l’accès non autorisé, de la communication, de l’utilisation et de la mauvaise manipulation des renseignements personnels dont Kassiwi a la garde et le contrôle, le stockage des documents d’archives chez des tiers fiables, dans des locaux sécurisés, l’utilisation de pare-feu, de mots de passe et du chiffrement des fichiers pour les activités en ligne.
L’objectif de Kassiwi est d’empêcher tout accès non autorisé, toute perte, tout usage abusif, tout partage ou toute modification des renseignements personnels en sa possession. Kassiwi utilise également ces mesures de protection lorsqu’elle supprime ou détruit les renseignements personnels des personnes désignées.
Kassiwi tâche d’assurer la conservation de ses renseignements personnels au Québec ou, lorsque cela n’est pas possible, au Canada. Toutefois, il se peut que les renseignements stockés sur les serveurs des fournisseurs de service de Kassiwi soient situés à l’extérieur du Canada et peuvent ainsi être assujettis aux lois de ce pays, y compris toute loi permettant aux autorités gouvernementales d’y accéder. Sous réserve de ces lois étrangères, Kassiwi utilisera au meilleur de ses capacités des mesures contractuelles pour maintenir des protections qui assurent aux renseignements personnels des protections au moins équivalentes à celles qui s’appliquent au Québec.
Kassiwi conserve les renseignements personnels des personnes désignées uniquement pour la durée raisonnablement nécessaire pour la réalisation des fins pour lesquelles ils ont été recueillis, ou tel que permis ou requis par la Loi sur la protection des renseignements personnels dans le secteur privé. Une fois qu’ils ne sont plus nécessaires, les renseignements personnels sont détruits de façon sécuritaire ou anonymisés, conformément à la Loi sur la protection des renseignements personnels dans le secteur privé.
Sont considérées raisonnablement nécessaires, les durées suivantes de conservation des renseignements personnels des personnes désignées:
-
À perpétuité pour les documents contenant des droits d’utilisation, d’auteur, des droits voisins ou tout autres droits nécessaires à l’exploitation d’une œuvre (par exemple, des contrats d’auteurs, de réalisateurs, d’interprètes, de compositions musicales, etc.);
-
Dix (10) ans suivant la fin de l’exercice financier de l’entité légale liée au projet pour lequel la personne œuvrait pour Kassiwi pour les documents fiscaux;
-
Trois (3) ans suivant la fin du projet pour lequel la personne œuvrait pour Kassiwi pour tous les autres renseignements personnels.
Étant toutefois entendu que pour les renseignements personnels collectés dans le cadre des Productions produites avant l’année 2023, l’implantation d’un calendrier de rétention se fera d’une façon progressive au cours des cinq (5) prochaines années.
4. Utilisation des renseignements personnels
Kassiwi utilise les renseignements personnels des personnes désignées aux fins de la gestion de ses relations de travail et à d’autres fins légitimes qui sont détaillées dans la présente Politique, ainsi qu’à d’autres fins permises par la Loi sur la protection des renseignements personnels dans le secteur privé.
Par exemple, Kassiwi peut utiliser les renseignements personnels des personnes désignées aux fins suivantes :
-
Pour administrer le personnel, y compris vérifier l’identité des personnes œuvrant pour Kassiwi, gérer les impôts et la sécurité sociale, gérer toutes demandes formulées par les autorités fiscales et/ou réglementaires, planifier les horaires et le contrôle des présences et des heures travaillées, mettre en place des coordonnées de contact en cas d’urgence et traiter les demandes des personnes désignées en rapport avec leur travail;
-
Pour traiter les avantages sociaux, y compris pour déterminer l’admissibilité des personnes œuvrant pour Kassiwi et de leurs personnes à charge et bénéficiaires;
-
Pour administrer la paie, les indemnités de maladie et les congés;
-
Pour évaluer le rendement, y compris pour prendre des décisions concernant les affectations, la formation, la rémunération et les promotions;
-
Pour prendre les mesures nécessaires pour protéger la santé et assurer la sécurité et l’intégrité physique et psychique des personnes désignées;
-
Pour administrer des activités d’affaires internes, comme la mise en œuvre des plans et procédures de reprise après sinistre, de continuité des activités ou d’autres plans et procédures d’urgence similaires; la réalisation d’examens, d’audits et d’enquêtes internes; la création de statistiques et d’outils analytiques à des fins commerciales légitimes (comme l’amélioration des processus commerciaux et la gestion du personnel de Kassiwi);
-
Pour préparer et gérer des demandes de visa de travail;
-
Pour respecter les obligations légales et réglementaires, répondre aux exigences de sécurité, et à des fins de gestion des fraudes, y compris les enquêtes internes, le défaut d’exécuter des tâches et la violation du contrat de travail, y compris en surveillant l’utilisation des systèmes de technologies de l’information de Kassiwi.
En plus des fins décrites ci-dessus, Kassiwi peut également recueillir les renseignements personnels des personnes désignées à toute autre fin, avec leur consentement, lorsque requis par la Loi sur la protection des renseignements personnels dans le secteur privé.
Kassiwi peut seulement mettre à la disposition de personnes œuvrant pour elle, les renseignements personnels d’autres personnes désignées, dans la mesure nécessaire dans le cadre de l’exécution de leur travail. Les personnes œuvrant pour Kassiwi qui ont accès aux renseignements personnels d’autres personnes désignées doivent s’assurer de prendre des mesures et des mécanismes de contrôle appropriés pour les protéger. Les personnes œuvrant pour Kassiwi ne pourront pas partager, copier ou utiliser à d’autres fins que dans le cadre de l’exécution de leur travail les renseignements personnels d’autres personnes désignées.
5. Communication des renseignements personnels
Kassiwi peut également communiquer les renseignements personnels des personnes désignées à des tiers à des fins détaillées dans la présente Politique et dans d’autres politiques et avis de Kassiwi, ou comme le requièrent ou le permettent la Loi sur la protection des renseignements personnels dans le secteur privé.
Par exemple, Kassiwi peut communiquer les renseignements personnels des personnes désignées aux catégories de tiers suivantes :
-
Les organismes gouvernementaux qui ont besoin d’y accéder (par exemple, pour répondre à des demandes relatives à l’assurance-emploi, dans le cadre d’une demande de subvention ou d’un programme, etc.).
-
Les fournisseurs de services de Kassiwi lorsque cela est nécessaire à l’exécution d’un contrat de service qu’elle confie à ces fournisseurs. Ces services peuvent inclure : des services d’audit, des services de technologie de l’information, des services d’administration de la paie, des services d’administration des ressources humaines, de fourniture et d’administration des prestations, ou des cabinets de services professionnels comme les cabinets d’avocats ou les cabinets comptables qui fournissent des services professionnels à Kassiwi. Il est possible que Kassiwi communique les renseignements personnels des personnes désignées à certains de ses fournisseurs de services qui sont situés à l’extérieur du Québec. Kassiwi conclura un contrat écrit avec tout fournisseur, prévoyant les protections requises pour assurer la protection des renseignements personnels des personnes désignées, en conformité avec la Loi sur la protection des renseignements personnels dans le secteur privé.
-
À des tiers dans le cadre de vérifications de références ou d’antécédents ou lorsque cela est contractuellement requis par un client de Kassiwi.
-
À des tiers dans le cadre d’une transaction commerciale envisagée ou réalisée (par exemple, un achat/une vente d’entreprise ou d’actifs, une fusion où une opération de financement) à laquelle Kassiwi est partie, mais uniquement dans la mesure ou les renseignements personnels sont nécessaires à de telles transactions, auquel cas Kassiwi se conformera aux exigences légales applicables lors du traitement des renseignements personnels.
-
À des tiers, afin de permettre la production d’une œuvre ou son exploitation, et ce, uniquement dans la mesure jugée raisonnable.
De plus, Kassiwi coopérera avec les organismes chargés de l’application de la Loi sur la protection des renseignements personnels dans le secteur privé et se conformera à toute ordonnance d’un tribunal ou à toute loi exigeant la communication de renseignements personnels, sans préavis supplémentaire ni consentement des personnes œuvrant pour Kassiwi.
6. Exactitude, accès et rectification
Les personnes œuvrant pour Kassiwi doivent fournir à Kassiwi des renseignements personnels exacts et complets, et doivent mettre à jour leurs renseignements personnels détenus par Kassiwi rapidement après toute modification de ces renseignements.
Les personnes désignées peuvent demander des informations sur leurs renseignements personnels détenus par Kassiwi, ainsi que l’accès à ces renseignements, et peuvent demander que leurs renseignements personnels soient modifiés s’ils sont inexacts ou incomplets, sous réserve de diverses exceptions prévues par la Loi sur la protection des renseignements personnels dans le secteur privé (notamment lorsque l’accès doit être refusé pour protéger d’autres personnes et pour protéger les renseignements privilégiés ou confidentiels de Kassiwi).
Les personnes désignées peuvent également demander davantage d’information sur le traitement de leurs renseignements personnels par Kassiwi, notamment en ce qui concerne les catégories de personnes qui ont accès à leurs renseignements personnels au sein de Kassiwi ainsi que la période de rétention applicable à leurs renseignements.
Les personnes désignées peuvent adresser leurs demandes d’accès ou leurs demandes de rectification de renseignements personnels par écrit à leur gestionnaire ou superviseur. Les personnes désignées qui ne sont pas satisfaites de l’issue de leur demande adressée à leur gestionnaire ou superviseur peuvent soumettre une demande d’accès formelle directement auprès du Responsable de la protection des renseignements personnels.
7. Rôles et responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels
Toutes les personnes désignées qui obtiennent communication de renseignements personnels dans le cadre de l’exécution de leur travail sont responsables de maintenir la confidentialité de ceux-ci dans la mesure prévue par la présente Politique.
Plus particulièrement, le Responsable de la protection des renseignements personnels au sein de Kassiwi est chargé de veiller au respect de Loi sur la protection des renseignements personnels dans le secteur privé.
8. Plaintes et questions
Les personnes désignées qui estiment que leurs renseignements personnels ont été traités en violation de la présente Politique peuvent soulever la question auprès de leur gestionnaire ou superviseur. Les personnes désignées qui ne sont pas satisfaites de l’issue de leur plainte et de leur question communiquent avec la Responsable de la protection des renseignements personnels par courriel à vieprivee@kassiwi.ca ou par courrier à Kassiwi - Renseignements personnels au 200-5455 av de Gaspé, Montréal QC, Canada H2T 3B3
Tout incident de confidentialité impliquant des renseignements personnels doit être immédiatement signalé au Responsable de la protection des renseignements personnels. Un incident de confidentialité comprend les situations suivantes :
-
L’accès non autorisé par la loi à un renseignement personnel;
-
L’utilisation non autorisée par la loi d’un renseignement personnel;
-
La communication non autorisée par la loi d’un renseignement personnel;
-
La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
Kassiwi détient un registre des incidents de confidentialité dans lequel elle collige tous les incidents de confidentialité impliquant des renseignements personnels, incluant les incidents qui ne présentent pas de risque de préjudice sérieux (ci-après, le « Registre »). Dans ce cadre, la Responsable de la protection des renseignements personnels peut récolter auprès des Personnes désignées, des informations concernant l’incident de confidentialité à l’aide d’un formulaire destiné à collecter les informations nécessaires au Registre (ci-après, le « Formulaire ») et afin d’analyser si l’incident de confidentialité visé fait ressortir un risque de préjudice sérieux pour les personnes concernées.
9. Modifications apportées à la présente Politique
Kassiwi révise régulièrement ses politiques et procédures, et peut réviser la présente Politique de temps à autre. La présente Politique, telle que révisée de temps à autre, peut être consultée sur https://www.kassiwimedia.com/politique-de-protection-des-renseignements-personnel.
De plus, Kassiwi offrira de temps à autre aux personnes désignées de la formation en matière de protection des renseignements personnels et de sécurité de l’information.