Politique de confidentialité
-
Politique relative à l’utilisation du courriel non sécurisé
- INTRODUCTION
- Morin Pelletier Avocats (le « Cabinet » ou « il » ou « nous ») est une entreprise fournissant des services de nature juridique en vertu des lois et règlements du Québec. Ses professionnels sont à ce titre régis notamment par le Code des professions (le « Code »), RLRQ, c. C -26, par la Loi sur le Barreau, RLRQ, c. B -1, et par le Code de déontologie des avocats, RLRQ, c. B-1, r. 3-1 (le « Code de déontologie »).
- Le Cabinet reconnaît l’importance de la confidentialité et de la sensibilité des renseignements qu’il obtient dans le cadre de l’accomplissement des mandats qui lui sont confiés par ses clients, de même que des renseignements qu’il transmet à ses clients. Ces renseignements sont recueillis, utilisés, divulgués et conservés conformément au Code civil du Québec, à la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P -39.1, au Code et au Code de déontologie (les « Lois »).
- Cette politique décrit les principes et les pratiques devant être suivies lors d’échanges par courriels non sécurisés avec les clients du Cabinet; elle ne s’applique donc pas aux courriels sécurisés (par chiffrement). Elle s’applique au Cabinet, à tous les membres de son personnel, qu’ils soient ou non avocats, ainsi qu’à toute personne fournissant des services au nom du Cabinet.
- RESPONSABILITÉS DU CABINET
- Le Cabinet et ses professionnels s’acquittent de la réalisation des mandats confiés par ses clients en favorisant et en appliquant une norme élevée de conduite professionnelle et éthique.
- Le Cabinet s’engage à s’acquitter de toutes les exigences relatives à la protection, à la collecte, à l’utilisation, à la divulgation et à la conservation des renseignements personnels ou visés par le secret professionnel (collectivement les « Renseignements »), le tout en vertu des Lois, de ses politiques et des autres lois applicables.
- Le Cabinet s’assure également de mettre en place des mesures de sécurité raisonnables contre des risques tels que l’accès, la collecte, l’utilisation, la divulgation, la copie, la modification ou la destruction non autorisés de tous Renseignements sous sa garde et son contrôle.
- À ce titre, le responsable de l’application de la présente politique doit s’assurer que le Cabinet a mis en place des politiques et des pratiques appropriées pour protéger les Renseignements dont il a la garde et le contrôle. Le responsable est aussi responsable d’assurer la conformité de ces politiques et processus aux exigences des Lois et des autres lois applicables.
- CONSENTEMENT À L’UTILISATION DU COURRIEL
- À compter de l’adoption de la présente Politique, tout nouveau client du Cabinet doit expressément consentir à l’utilisation du courriel non sécurisé pour fin d’échange des Renseignements entre lui et les membres du Cabinet. Ce consentement est documenté via la signature de la lettre-mandat qui précède l’ouverture du dossier-client.
- En l’absence d’un tel consentement de prime abord, ou si le client retire son consentement en cours de mandat, le professionnel responsable du client doit alors convenir avec lui d’un autre mode d’échange des Renseignements, le tout devant être documenté et être communiqué aux employés et fournisseurs de service appelés à échanger avec le client dans le cadre du mandat confié.
- Pour les relations-client existant avant l’entrée en vigueur de la présente Politique, le consentement du client à l’utilisation du courriel non sécurisé est implicite lorsqu’il a lui-même communiqué au Cabinet des Renseignements via ce mode de communication. En cas de doute quant à l’existence d’un tel consentement implicite, le professionnel responsable du client pourra obtenir de lui une confirmation explicite et en informera alors les employés et fournisseurs de service appelés à échanger avec le client dans le cadre du mandat confié.
- TRANSMISSION DES RENSEIGNEMENTS DIRECTEMENT DANS LE CORPS DE TEXTE
- Lorsqu’un employé du Cabinet ou toute personne fournissant des services au nom du Cabinet transmet par courriel non sécurisé des renseignements personnels ou visés par le secret professionnel, il doit inscrire, selon ce qui est le plus approprié, la mention « Confidentiel » ou « Protégé par le secret professionnel » dans l’objet du courriel ou au début du corps de texte.
- TRANSMISSION DES RENSEIGNEMENTS DANS UNE PIÈCE JOINTE
- Lorsqu’un employé du Cabinet ou toute personne fournissant des services au nom du Cabinet transmet par courriel une pièce jointe ayant un contenu substantif important et sensible (par ex. lettre d’opinion, note de service, mémorandum, expertise, etc.), ladite pièce jointe doit faire l’objet d’une mesure de protection distincte du courriel lui-même, dont notamment la protection par mot de passe du fichier lui-même ou du lien électronique permettant d’accéder audit fichier. Le mot de passe doit être transmis de manière distincte.
- INCIDENT DE SÉCURITÉ
- Un incident de sécurité comprend notamment la transmission involontaire d’une communication destinée au client contenant des Renseignements à un tiers (partie adverse, avocat de la partie adverse, membre de la magistrature, un autre client du Cabinet ou toute autre personne à qui n’était pas destinée la communication).
- Lorsqu’un tel courriel est transmis par erreur à un tiers, les étapes suivantes doivent être effectuées :
- L’expéditeur doit (1) aviser sans délai le tiers de la transmission faite par erreur, (2) lui réitérer, le cas échéant, que le contenu du courriel est protégé par le secret professionnel, (3) lui indiquer de ne pas prendre connaissance du contenu du courriel et de le détruire immédiatement sans en conserver copie, et (4) lui demander de confirmer que cela a été fait. Cette confirmation devra être conservée au dossier du client;
- L’expéditeur doit également aviser sans délai le responsable de la présente Politique de l’incident survenu afin que celui-ci puisse (1) évaluer l’impact et la gravité de l’incident et des mesures correctives qui devront être prises le cas échéant (avis à l’assureur professionnel, divulgation au syndic professionnel et/ou à la Commission d’accès à l’information);
- Le responsable de la présente Politique ou le professionnel responsable du client, selon le cas, informera le client de la survenance de l’incident, de son impact et des recours possibles, le cas échéant;
- Le responsable de la présente Politique inscrira l’incident au registre des incidents de sécurité du Cabinet.
- CONSERVATION DES COMMUNICATIONS
- Tout courriel contenant des Renseignements provenant du client ou du Cabinet doit être conservé au dossier du client, puis détruit, conformément aux modalités prévues à la Politique relative à la protection des renseignements personnels et aux autres politiques applicables du Cabinet.
- CONFORMITÉ
- Le responsable de la présente Politique est Me Mélanie Morin.
- VALIDITÉ
- Cette politique a été approuvée le 1er janvier 2024 et elle est en vigueur à compter de ce jour, remplaçant toute autre politique ou pratique antérieure portant sur le même sujet.
- INTRODUCTION
-
Politique relative à la protection des renseignements personnels
- INTRODUCTION
- Morin Pelletier Avocats (MPA) (le « Cabinet » ou « il » ou « nous ») est une entreprise fournissant des services de nature juridique en vertu des lois et règlements du Québec. Ses professionnels sont à ce titre régis notamment par le Code des professions (le « Code »), RLRQ, c. C -26, par la Loi sur le Barreau, RLRQ, c. B -1, et par le Code de déontologie des avocats, RLRQ, c. B-1, r. 3-1 (le « Code de déontologie »).
- Le Cabinet reconnaît l’importance de la confidentialité et de la sensibilité des renseignements personnels qu’il obtient dans le cadre de l’accomplissement des mandats qui lui sont confiés par ses clients. Les renseignements personnels sont recueillis, utilisés, divulgués et conservés conformément au Code civil du Québec, à la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P -39.1, au Code et au Code de déontologie (les « Lois »).
- Cette politique décrit les principes et les pratiques que le Cabinet suit dans le traitement des renseignements personnels. Elle s’applique au Cabinet, à tous les membres de son personnel, qu’ils soient ou non avocats, ainsi qu’à toute personne fournissant des services au nom du Cabinet.
- Le Cabinet possède et exploite également un site Web à l’adresse https://avocatsmp.com/ (le « Site »).
- RESPONSABILITÉS DU CABINET
- Le Cabinet et ses professionnels s’acquittent de la réalisation des mandats confiés par ses clients en favorisant et en appliquant une norme élevée de conduite professionnelle et éthique.
- Le Cabinet s’engage à s’acquitter de toutes les exigences relatives à la protection, à la collecte, à l’utilisation, à la divulgation et à la conservation des renseignements personnels en vertu des Lois, de ses politiques et des autres lois applicables.
- Le Cabinet s’assure également de mettre en place des mesures de sécurité raisonnables contre des risques tels que l’accès, la collecte, l’utilisation, la divulgation, la copie, la modification ou la destruction non autorisés de tout renseignement personnel sous sa garde et son contrôle.
- À ce titre, le responsable de la protection des renseignements personnels du Cabinet doit s’assurer que le Cabinet a mis en place des politiques et des pratiques appropriées pour protéger les renseignements personnels dont il a la garde et le contrôle. Le responsable de la protection des renseignements personnels est aussi responsable d’assurer la conformité de ces politiques et processus aux exigences des Lois et des autres lois applicables.
- COLLECTE DE VOS RENSEIGNEMENTS
- Afin de remplir adéquatement les mandats qui lui sont confiés, le Cabinet doit recueillir plusieurs types de renseignements personnels. Nous prenons des mesures pour nous assurer que les renseignements personnels que nous recueillons à votre sujet sont adéquats, pertinents, non excessifs et utilisés à des fins limitées. Nous recueillons les renseignements dont nous avons besoin pour répondre à différents besoins, selon votre statut par rapport au Cabinet :
- Si vous êtes un client du Cabinet, tous renseignements qui sont essentiels au bon déroulement de votre dossier, lesquels incluent notamment des informations de contact (nom, adresse, adresse électronique, numéro de téléphone) et peuvent aussi inclure, selon les besoins et de manière non limitative, des informations d’identification (passeport, permis de conduire, etc.), des informations financières et des informations biographiques. Cela inclut également des données de communication, soit des informations échangées au cours de nos communications, y compris les courriels, les lettres et toute autre correspondance relative à votre dossier.
- Si vous êtes un client potentiel du Cabinet, tous renseignements échangés au cours de nos communications, y compris les courriels, les lettres et toute autre correspondance relative à une relation contractuelle potentielle, dont notamment mais de manière non limitative des informations de contact (nom, adresse, adresse électronique, numéro de téléphone), des informations d’identification (passeport, permis de conduire, etc.), des informations financières et des informations biographiques.
- Si vous êtes un utilisateur du Site, tous renseignements relatifs à l’utilisation du Site, soit notamment des données techniques liées à vos visites sur notre Site, y compris les adresses IP, les informations relatives au navigateur et les informations collectées par le biais de fichiers témoins, le cas échéant.
- Si vous êtes un employé du Cabinet, tous renseignements qui sont essentiels à l’établissement et au maintien de votre relation d’emploi, lesquels incluent notamment, mais de manière non limitative, des informations de contact (nom, adresse, adresse électronique, numéro de téléphone), des informations d’identification, des informations financières et des informations relatives à votre prestation de travail. Cela inclut également des données de communication, soit des informations échangées au cours de nos communications, y compris les courriels, les lettres et toute autre correspondance relative à votre emploi.
- Afin de remplir adéquatement les mandats qui lui sont confiés, le Cabinet doit recueillir plusieurs types de renseignements personnels. Nous prenons des mesures pour nous assurer que les renseignements personnels que nous recueillons à votre sujet sont adéquats, pertinents, non excessifs et utilisés à des fins limitées. Nous recueillons les renseignements dont nous avons besoin pour répondre à différents besoins, selon votre statut par rapport au Cabinet :
- La notion de renseignements personnels se rapporte aux données permettant d’identifier une personne, soit de manière indépendante, soit lorsque ces données sont combinées entre elles. Il est à noter que les renseignements personnels n’englobent pas les coordonnées professionnelles, telles que votre nom, votre fonction, vos adresse, numéro de téléphone et courriel professionnels, ni les renseignements anonymes qui ne peuvent permettre d’identifier un individu.
- UTILISATION DE VOS RENSEIGNEMENTS
- Le Cabinet collecte, utilise et conserve des renseignements personnels sur les membres de son personnel, ses clients, ses clients potentiels et d’autres tierces parties aux fins initialement prévues au moment de la collecte ou dans la mesure où les Lois et autres lois et règlements applicables l’autorisent ou l’obligent, ce qui comprend notamment, de manière non limitative :
- Partager des renseignements personnels avec des tiers dans le cadre de la représentation juridique ou de la prestation de services juridiques. Ces tiers peuvent être des parties adverses, des parties intéressées, des avocats des tribunaux, des experts et des témoins;
- Établir et maintenir des relations commerciales avec nos clients. Cela comprend des activités telles que la gestion de la facturation, des comptes clients, le traitement des paiements, la minimisation du risque de non-paiement et le recouvrement des paiements en souffrance;
- Faciliter et fournir des services juridiques dans le contexte du mandat confié;
- Maintenir une communication ouverte et efficace avec vous concernant votre dossier, les mises à jour et les informations nécessaires;
- Mener une action de diligence raisonnable à l’égard de nos clients, ce qui implique la collecte des informations nécessaires et l’identification des risques potentiels liés aux mesures de lutte contre la corruption et aux conflits d’intérêts;
- Prendre des mesures préventives contre la fraude et procéder à toute vérification des antécédents requise par les lois et réglementations applicables;
- Faciliter l’utilisation et la fonctionnalité de notre Site, notamment en contrôlant son utilisation et en répondant aux demandes de renseignements soumises par son entremise;
- Soutenir nos initiatives de développement commercial et de marketing, ce qui implique d’informer les clients actuels et potentiels de nos nouveaux services, de partager des mises à jour sur les développements juridiques récents et d’envoyer des invitations à des événements;
- Satisfaire aux exigences légales en matière de tenue de registres imposées par la législation canadienne;
- Améliorer la qualité et la fonctionnalité de nos services et de notre Site.
- Le Cabinet collecte, utilise et conserve des renseignements personnels sur les membres de son personnel, ses clients, ses clients potentiels et d’autres tierces parties aux fins initialement prévues au moment de la collecte ou dans la mesure où les Lois et autres lois et règlements applicables l’autorisent ou l’obligent, ce qui comprend notamment, de manière non limitative :
- VOTRE CONSENTEMENT
- Le Cabinet considère que votre consentement à la cueillette, à l’utilisation ou à la divulgation de vos renseignements personnels sera valablement fourni i) s’il est donné expressément par votre acquiescement écrit ou oral; ii) si vous fournissez volontairement des renseignements personnels dans un but évident; ou iii) si vous ne vous opposez pas à la collecte, à l’utilisation ou à la divulgation de renseignements personnels par le Cabinet dans un délai raisonnable après que le Cabinet vous a clairement informé, incluant par l’entremise de la présente politique, de son intention de le faire et des fins poursuivies.
- Dans certains cas, le Cabinet peut recueillir des renseignements personnels sur une personne sans son consentement, conformément aux Lois ou toute autre loi ou règlement le permettant, que ce soit auprès de tiers ou dans des bases de données accessibles au public. Par exemple, lorsque nous recevons des renseignements personnels d’un tiers en votre nom dans le cadre du mandat que vous nous avez confié.
- Veuillez noter que vous avez le droit de refuser de nous fournir des renseignements personnels. En outre, vous pouvez, sous réserve d’un préavis raisonnable et de toute obligation légale ou contractuelle pertinente, retirer votre consentement concernant l’utilisation de renseignements personnels déjà collectés en contactant notre responsable de la protection des renseignements personnels. Il est important de comprendre que le fait de refuser de divulguer des renseignements ou de retirer votre consentement peut nuire à notre capacité de vous fournir certains services. Nous vous expliquerons alors l’impact du retrait de votre consentement pour vous aider dans votre décision.
- Le Cabinet peut également demander votre consentement à des fins secondaires, par exemple pour vous inviter à des événements ou à des séances de formation, pour mener des études de marché ou pour mettre à jour ses bases de données.
- PARTAGE ET TRANSFERT DE RENSEIGNEMENTS PERSONNELS À DES TIERS
- Nous pouvons divulguer vos renseignements personnels pour se conformer à toute ordonnance du tribunal, loi ou procédure judiciaire, y compris pour répondre à toute demande gouvernementale ou réglementaire, conformément aux lois applicables, pour faire respecter ou appliquer nos conditions d’utilisation et autres accords ou si nous croyons que la divulgation est nécessaire ou appropriée pour protéger les droits, la propriété ou la sécurité du Cabinet ou d’autres personnes. Cela comprend l’échange de renseignements avec d’autres entreprises et organisations à des fins de protection contre la fraude.
- Nous pouvons partager vos renseignements personnels selon ce qui s’avère nécessaire dans le cadre de la prestation de nos services. À cet égard, nous nous engageons à adopter une approche prudente dans la collecte de vos renseignements personnels, en la limitant strictement à ce qui est essentiel aux fins prévues. Nous tenons à vous assurer que nous ne divulguerons ni n’utiliserons vos renseignements personnels pour d’autres raisons, à moins que vous n’y consentiez explicitement ou que nous n’y soyons contraints par des obligations légales. L’accès à vos données personnelles n’est accordé qu’aux personnes autorisées qui ont une raison précise d’y accéder.
- Dans la réalisation des mandats qui lui sont confiés par ses clients, le Cabinet traite de renseignements couverts par le secret professionnel et le privilège relatif aux litiges ou qui sont autrement confidentiels entre les avocats et leurs clients. Lorsque le Cabinet obtient des renseignements confidentiels ou sujets aux privilèges d’un avocat, il s’acquittera de toutes les obligations que l’avocat aurait à l’égard de ces renseignements, sous réserve des Lois. Lorsque les renseignements sujets au privilège ou confidentiels sont également des renseignements personnels, le Cabinet demeure également lié par ses obligations en vertu des Lois à l’égard de ces renseignements personnels.
- Nous pouvons transférer les renseignements personnels que nous collectons ou que vous fournissez comme décrit dans la présente Politique à des fournisseurs de services et d’autres tiers que nous utilisons pour soutenir notre entreprise, tels que notamment en matière d’hébergement et de sécurité de notre Site et de nos bases de données de gestion documentaire et de comptabilité. Lorsque nous partageons des renseignements personnels avec ces fournisseurs, nous limitons strictement les renseignements fournis à ce qui est essentiel pour qu’ils puissent fournir les services désignés. Ces tiers sont contractuellement obligés de garder les renseignements personnels confidentiels, de les utiliser uniquement aux fins pour lesquelles nous les divulguons et de traiter les renseignements personnels selon les normes énoncées dans la présente Politique et en respect des Lois.
- Vos renseignements personnels sont traités et stockés au Canada. Dans l’éventualité où un transfert de renseignements personnels à l’extérieur du Canada serait nécessaire dans le cadre de la réalisation d’un mandat confié au Cabinet, ce transfert n’aura lieu que s’il est évalué que le renseignement bénéficierait d’une protection adéquate, notamment en considérant la sensibilité du renseignement, la finalité de son utilisation, les mesures de protection dont le renseignement bénéficierait, et le régime juridique applicable dans l’État ou la province où ce renseignement serait communiqué. Le transfert sera également soumis aux ententes contractuelles appropriées afin d’assurer cette protection adéquate.
- Le Cabinet ne vend pas de renseignements à des tiers.
- UTILISATION DU SITE WEB DU CABINET
-
- La présente Politique s’applique aux renseignements que nous recueillons, utilisons ou divulguons sur les utilisateurs du Site. À cet effet, nous vous référons à notre Politique de témoins.
- SÉCURITÉ DES DONNÉES
- La sécurité de vos renseignements personnels est très importante pour nous. Nous avons mis en place des mesures de sécurité physiques, organisationnelles, contractuelles et technologiques appropriées et raisonnables afin de protéger vos renseignements personnels contre la perte ou le vol, et contre l’accès, la divulgation, la copie, l’utilisation ou la modification non autorisés. Nous avons pris des mesures pour faire en sorte que seuls les membres de notre personnel qui doivent absolument avoir accès à vos renseignements personnels dans le cadre de leurs fonctions soient autorisés à y accéder.
- Les personnes qui travaillent pour le Cabinet ou en son nom doivent :
- Faire des efforts raisonnables pour minimiser le risque de divulgation non intentionnelle de renseignements personnels;
- Prendre des précautions particulières pour s’assurer que les renseignements personnels ne sont pas surveillés, entendus, consultés ou perdus lorsqu’ils travaillent dans des locaux autres que les bureaux du Cabinet;
- Prendre des mesures raisonnables pour protéger les renseignements personnels lorsqu’ils se déplacent d’un endroit à l’autre.
- Notez aussi que la manière dont le Cabinet communique avec vous peut être influencée par les circonstances et par les personnes dont les renseignements personnels ou la confidentialité sont en jeu.
- Les sous-traitants ayant accès aux renseignements personnels dont le Cabinet a la garde ou le contrôle seront informés de la présente Politique et des autres politiques et processus applicables pour assurer la sécurité et la protection des renseignements personnels. Tous les sous-traitants devront accepter de se conformer aux politiques et aux processus et aux Lois avant de commencer leur mandat pour le Cabinet.
- Malgré ces mesures, aucune méthode de transmission ou de stockage n’est sûre à 100 % ni à l’abri d’une erreur. Par conséquent, nous ne pouvons malheureusement pas garantir une sécurité absolue. Si vous avez des raisons de croire que les renseignements personnels que vous nous avez transmis ont été compromis, veuillez nous contacter immédiatement en utilisant les coordonnées fournies ci-dessous. Si nous avons connaissance d’une brèche de sécurité touchant vos renseignements personnels, nous vous en informerons et nous aviserons aussi les autorités compétentes dès que possible, conformément aux Lois.
- CONSERVATION DES DONNÉES
- Sauf autorisation ou exigence des Lois ou de la réglementation applicable, nous ne conserverons vos renseignements personnels que le temps nécessaire pour atteindre les fins pour lesquelles nous les avons collectées, y compris aux fins de satisfaire aux exigences légales, comptables ou en matière d’avis aux instances gouvernementales et réglementaires appropriées, selon le calendrier de conservation du Cabinet.
- Dans certaines circonstances, nous pouvons anonymiser vos renseignements personnels afin qu’ils ne puissent plus être associés à vous. Nous nous réservons le droit d’utiliser ces données anonymes et dépersonnalisées à des fins légitimes, sans autre préavis ni consentement de votre part.
- ACCÈS ET CORRECTION DE VOS RENSEIGNEMENTS PERSONNELS
- Il est important que les renseignements personnels que nous détenons à votre sujet soient exacts et à jour. Veuillez nous tenir informés si vos renseignements personnels changent.
- Vous avez le droit d’accéder à vos données personnelles détenues par nous, de les corriger ou de les supprimer. Si vous souhaitez exercer l’un de ces droits ou si vous avez des questions concernant vos données personnelles, veuillez nous contacter en utilisant les informations fournies ci-dessous.
- MODIFICATION DE NOTRE POLITIQUE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS
- Nous avons pour pratique de publier toutes les modifications que nous apportons à notre Politique relative à la protection des renseignements personnels. Si nous apportons des modifications importantes à la manière dont nous traitons les renseignements personnels de nos utilisateurs, de nos clients et de nos employés, nous vous en informerons au moyen d’un courriel transmis à l’adresse à votre dossier ou d’un avis en ligne et en publiant la Politique mise à jour sur notre Site. En outre, en continuant à utiliser le Site ou en nous fournissant vos renseignements personnels, vous indiquez votre consentement à toute modification apportée à notre Politique.
- Nous incluons la date de la dernière révision de la présente politique à la fin du présent document. Vous êtes responsable de vous assurer que nous avons une adresse courriel à jour, active et livrable pour vous, et de visiter périodiquement notre Site et la présente Politique pour vérifier tout changement.
- COORDONNÉES ET ENGAGEMENT DE CONFORMITÉ
- Pour tout commentaire, question ou demande concernant la présente Politique et nos pratiques de confidentialité, veuillez écrire au responsable de la protection des renseignements personnels à :
Me Mélanie Morin
Morin Pelletier Avocats
280, rue Saint-Ignace
La Prairie (Québec) J6X 1T8
mmorin@avocatsmp.com-
- Si vous n’êtes pas satisfaits de la façon dont le Cabinet a traité vos renseignements personnels, vous pouvez déposer une plainte auprès du Cabinet. La plainte fera l’objet d’une enquête par le responsable de la protection des renseignements personnels, qui déterminera si le traitement des renseignements personnels est conforme aux politiques, protocoles et pratiques du Cabinet et à toute autre loi applicable. Le responsable de la protection des renseignements personnels fera tous les efforts raisonnables pour résoudre les plaintes. La personne qui dépose la plainte sera informée de tout progrès ou résultat de l’enquête dans un maximum de 30 jours suivant la réception de la demande et/ou du délai additionnel nécessaire pour terminer l’enquête.
- Vous pouvez également vous adresser à la Commission d’accès à l’information du Québec. Une plainte écrite peut être déposée auprès de la Commission en consultant la page suivante : cai.gouv.qc.ca/diffusion-de-linformation/services-et-formulaires/. Nous vous invitons toutefois à contacter d’abord le responsable de la protection des renseignements personnels du Cabinet.
- VALIDITÉ
- Cette politique a été approuvée le 1er janvier 2024 et elle est en vigueur à compter de ce jour, remplaçant toute autre politique ou pratique antérieure portant sur le même sujet.
- INTRODUCTION
-
Politique de gestion des incidents de confidentialité
- INTRODUCTION
- Morin Pelletier Avocats (le « Cabinet » ou « il » ou « nous ») est une entreprise fournissant des services de nature juridique en vertu des lois et règlements du Québec. Ses professionnels sont à ce titre régis notamment par le Code des professions (le « Code »), RLRQ, c. C -26, par la Loi sur le Barreau, RLRQ, c. B -1, et par le Code de déontologie des avocats, RLRQ, c. B-1, r. 3-1 (le « Code de déontologie »).
- Le Cabinet reconnaît l’importance de la confidentialité et de la sensibilité des renseignements personnels qu’il obtient dans le cadre de l’accomplissement des mandats qui lui sont confiés par ses clients. Les renseignements personnels sont recueillis, utilisés, divulgués et conservés conformément au Code civil du Québec, à la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P -39.1, au Code et au Code de déontologie (les « Lois »).
- Cette politique a pour objectif d’établir la procédure à suivre lorsque survient un incident de confidentialité au sein du Cabinet. Elle prévoit également les différents éléments que le Cabinet doit prendre en compte lorsqu’il procède à l’évaluation d’un risque de préjudice ainsi que pour déterminer si ce préjudice est sérieux ou pas. Finalement, elle précise le contenu obligatoire du Registre des incidents de confidentialité (le « Registre »).
- DÉFINITIONS
- Incident de confidentialité. Accès, utilisation ou communication non autorisé par la loi à un renseignement personnel ou visé par le secret professionnel, de même que sa perte ou toute autre forme d’atteinte à sa protection.
- Préjudice sérieux. Acte ou événement susceptible de porter atteinte à la personne concernée ou à ses biens et de nuire à ses intérêts de manière non négligeable.
- Renseignement personnel. Information qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier.
- RESPONSABILITÉS
- Le Responsable de la protection des renseignements personnels en vertu de la Politique relative à la protection des renseignements personnels (le « Responsable ») veille, de manière générale, au respect et à la mise en œuvre de la Loi sur la protection des renseignements personnels dans le secteur privé. À ce titre, il s’assure de la mise en œuvre, de l’application et de la mise à jour de la présente politique. Il est également responsable de la tenue du Registre des incidents de sécurité et doit tenir le Conseil d’administration du Cabinet informé des incidents qui y sont consignés.
- Le Conseil d’administration peut être appelé à examiner les incidents de confidentialité et à formuler des recommandations quant aux mesures à prendre pour éviter que de tels incidents se reproduisent. Le Conseil d’administration est également responsable du plan de communication, et ce, tant à l’interne qu’à l’externe. Ainsi, lorsqu’il y a un incident de confidentialité, le Conseil est responsable (1) : d’aviser le personnel du Cabinet en leur précisant de garder l’information confidentielle, (2) d’aviser la Commission d’accès à l’information et la ou les personne(s) concernée(s) par l’incident, le cas échéant et (3) d’aviser tout autre personne ou organisme pertinent, s’il y a lieu.
- PROCÉDURE À SUIVRE
- Si un membre du personnel du Cabinet a des raisons de croire qu’un incident de confidentialité impliquant un renseignement personnel ou visé par le secret professionnel qu’il détient s’est produit, il doit aviser promptement le Responsable et lui fournir toute information pertinente.
- Évaluer la situation. Dès que le Responsable est informé du signalement, il doit notamment :
- Aviser les intervenants concernés à l’interne, soit le Conseil d’administration et le fournisseur de services des technologies de l’information;
- Le Responsable doit ensuite, en collaboration avec les intervenants susmentionnés :
- Établir les circonstances de l’incident :
- De quel type d’incident s’agit-il (accès non autorisé, utilisation non autorisée, communication non autorisée, perte ou vol de renseignements personnels, etc.);
- Quelle est la cause de l’incident (erreur humaine, faille ou vulnérabilité informatique, etc.);
- Quelle est la date ou la période visée par l’incident;
- Identifier les renseignements personnels (par ex. des renseignements nominatifs, des coordonnées, des renseignements démographiques, des numéros d’assurance sociale, maladie ou du permis de conduire, des codes d’utilisateur ou mots de passe, des renseignements financiers ou médicaux, etc.) ou visés par le secret professionnel impliqués dans l’incident et leur support (papier, électronique, etc.);
- Identifier les personnes concernées, leur nombre, ainsi que leur groupe (clients, employés, etc.).
- Établir les circonstances de l’incident :
- Cette évaluation doit se poursuivre tant que tous les éléments de l’incident n’ont pas été identifiés. Ensuite, ces éléments doivent être colligés dans un dossier afin de faciliter l’inscription de l’incident au Registre et l’envoi des avis, les cas échéant (voir les articles 4.5 et 4.6 de la présente politique).
- Diminuer les risques. Le Responsable, en collaboration avec tout autre intervenant, doit rapidement prendre les mesures raisonnables qui s’imposent afin de diminuer les risques qu’un préjudice soit causé, qu’il soit sérieux ou non, et afin d’éviter que de nouveaux incidents de même nature ne surviennent. Par exemple :
- Récupérer ou exiger la destruction des renseignements personnels impliqués;
- Révoquer ou modifier les mots de passe ou les codes d’accès informatiques;
- Cesser la pratique non autorisée ou non conforme;
- Corriger les lacunes des systèmes de sécurité informatiques, etc.
- Identifier la nature du préjudice. Le Responsable, en collaboration avec tout autre intervenant, doit procéder à une évaluation afin de déterminer s’il y a un risque qu’un préjudice soit causé aux personnes dont les renseignements personnels sont concernés par l’incident. L’objectif consiste à décider s’il faut aviser la Commission d’accès à l’information et les personnes concernées (voir l’article 4.5 de la présente politique). À cet égard, plusieurs facteurs doivent être considérés afin d’identifier la nature du préjudice causé par l’incident, dont :
- La sensibilité des renseignements personnels, tels :
- Un renseignement d’identification (numéro d’assurance sociale, d’assurance maladie, de permis de conduire, etc.);
- Un renseignement de nature financière (numéro de carte de crédit, de compte, de transit, salaire, conditions d’emploi, etc.);
- Un renseignement de nature médicale;
- Un renseignement sur les origines ethniques, l’orientation sexuelle ou l’identité de genre;
- Un renseignement génétique ou biométrique, etc.
- Les conséquences appréhendées de l’utilisation de ces renseignements, comme :
- Un vol d’identité;
- Une fraude financière ou un impact sur le dossier de crédit;
- Une diffusion des renseignements personnels, qu’ils soient sensibles ou non. Un renseignement personnel est considéré comme sensible lorsque, par sa nature notamment médicale, biométrique ou autrement intime ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de respect de la vie privée;
- La permanence ou la perpétuité de l’atteinte;
- Une répercussion sur la santé physique ou psychologique;
- Une perte d’emploi;
- Un impact sur les relations professionnelles ou d’affaires;
- Une humiliation ou une atteinte importante à la réputation ou à la vie privée, etc.
- La probabilité que ces renseignements puissent être utilisés à des fins préjudiciables.
- La sensibilité des renseignements personnels, tels :
Le préjudice sera sérieux s’il est susceptible de porter atteinte à la personne concernée ou à ses biens et de nuire à ses intérêts de manière non négligeable.
- Présence d’un risque de préjudice sérieux. S’il y a un risque qu’un préjudice sérieux soit causé à la personne concernée par l’incident, le Conseil d’administration doit obligatoirement :
- Aviser la Commission d’accès à l’information dès que possible, même si toutes les informations relatives à l’incident n’ont pas encore été colligées (voir l’article 4.2 de la présente politique). L’avis doit être fait par écrit et contenir les renseignements suivants :
- Le nom de l’organisation ayant fait l’objet de l’incident de confidentialité (le Cabinet);
- Le nom et les coordonnées de la personne à contacter au sein du Cabinet relativement à l’incident;
- Une description des renseignements personnels visés par l’incident, ou la raison justifiant l’impossibilité de fournir une telle description;
- Une brève description des circonstances de l’incident et sa cause, si elle est connue;
- La date ou la période où l’incident a eu lieu, ou une approximation de celle-ci;
- La date ou la période au cours de laquelle le Cabinet a pris connaissance de l’incident;
- Le nombre de personnes concernées par l’incident et, parmi celles-ci, le nombre de personnes qui résident au Québec, ou une approximation de ces nombres;
- Une description des éléments qui amènent le Cabinet à conclure qu’il existe un risque qu’un préjudice sérieux soit causé aux personnes concernées;
- Les mesures prises par le Cabinet ou qu’il entend prendre afin d’aviser les personnes dont un renseignement personnel est concerné par l’incident, de même que la date où les personnes ont été avisés ou le délai d’exécution envisagé;
- Les mesures prises par le Cabinet ou qu’il entend prendre à la suite de la survenance de l’incident, notamment celles visant à diminuer les risques qu’un préjudice soit causé ou à atténuer un tel préjudice et celles visant à éviter que de nouveaux incidents de même nature ne se produisent, de même que le délai où les mesures ont été prises ou le délai d’exécution envisagé;
- Aviser toute personne dont un renseignement personnel ou visé par le secret professionnel est concerné par l’incident, à moins que cet avis ne soit susceptible d’entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois. L’avis doit contenir les renseignements suivants :
- Une description des renseignements personnels ou protégés par le secret professionnel visés par l’incident, ou la raison justifiant l’impossibilité de fournir une telle description;
- Une brève description des circonstances de l’incident;
- La date ou la période où l’incident a eu lieu, ou une approximation de celle-ci;
- Une brève description des mesures prises par le Cabinet ou qu’il entend prendre à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé;
- Les mesures que le Cabinet suggère à la personne concernée de prendre afin de diminuer le risque qu’un préjudice lui soit causé ou afin d’atténuer un tel préjudice;
- Les coordonnées de la personne à contacter au sein du Cabinet afin de permettre à la personne concernée de se renseigner davantage relativement à l’incident.
- Aviser la Commission d’accès à l’information dès que possible, même si toutes les informations relatives à l’incident n’ont pas encore été colligées (voir l’article 4.2 de la présente politique). L’avis doit être fait par écrit et contenir les renseignements suivants :
Cet avis pourra être donné au moyen d’un avis public si le fait de le transmettre directement à la personne concernée est susceptible de causer un préjudice accru à la personne concernée, de représenter une difficulté excessive pour le Cabinet ou lorsque le Cabinet ne détient pas les coordonnées de la personne concernée.
- Le Cabinet peut aussi aviser toute personne ou tout organisme susceptible de diminuer ce risque. Cependant, il peut uniquement lui communiquer les renseignements personnels ou visés par le secret professionnel qui sont nécessaires à la poursuite de cet objectif. Cette communication peut se faire sans le consentement de la personne concernée, mais le Responsable doit enregistrer cette communication dans le registre approprié pour garder des traces documentaires de celle-ci, comme :
- À qui ces renseignements sont communiqués;
- Dans quelles circonstances;
- Quels renseignements ont été transmis;
- Quels sont les objectifs de cette démarche, etc.
- Inscrire l’incident dans le Registre. Le Responsable doit tenir un registre qui contient l’ensemble des incidents de confidentialité dont a été l’objet le Cabinet, et ce, peu importe que le risque de préjudice pour la personne concernée ait été qualifié de sérieux ou pas. Les renseignements qui s’y retrouvent doivent être conservés pour une période minimale de cinq (5) ans à compter de la date du premier signalement de l’incident. Le Registre doit contenir les renseignements suivants :
- Une description des renseignements personnels visés par l’incident;
- Une brève description des circonstances de l’incident;
- La date ou la période où l’incident a eu lieu;
- La date ou la période au cours de laquelle le Cabinet a pris connaissance de l’incident;
- Le nombre de personnes concernées par l’incident ou, s’il n’est pas connu, une approximation de ce nombre;
- Une description des éléments qui amènent le Cabinet à conclure qu’il existe ou non un risque de préjudice sérieux aux personnes concernées;
- Si l’incident présente un risque de préjudice sérieux, les dates de transmission des avis à la Commission d’accès à l’information et aux personnes concernées, de même qu’une mention indiquant si des avis publics ont été donnés par le Cabinet et la raison pour laquelle ils l’ont été, le cas échéant;
- Une brève description des mesures prises par le Cabinet à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé.
- Évaluation approfondie de la situation et prévention. Lorsque toutes les étapes précédentes ont été complétées et afin d’éviter qu’un incident similaire se reproduise, le Responsable, en collaboration avec tout intervenant, doit effectuer un suivi des circonstances et des mesures prises aux étapes précédentes pour y apporter les améliorations nécessaires, le cas échéant. Ainsi, le Responsable pourrait, par exemple :
- Approfondir l’analyse des circonstances de l’incident de confidentialité et effectuer une description chronologique des événements et des actions prises face à cet incident, incluant les dates et les intervenants concernés;
- Répertorier et examiner les normes, guides, politiques ou directives internes en place au moment de l’incident, tant au niveau de la sécurité informatique qu’au niveau de la protection des renseignements personnels en général;
- Vérifier si ces normes, guides, politiques ou directives internes ont été suivies par les personnes impliquées ou identifier les raisons pour lesquelles elles n’ont pas été suivies, le cas échéant;
- S’il s’agit d’une erreur de procédure ou d’une défaillance opérationnelle, les consigner au dossier de l’incident et adapter les processus pour éviter qu’un tel incident ne se reproduise;
- Formuler des recommandations relatives aux solutions à moyen et long terme et aux stratégies de prévention;
- S’assurer de la réelle nécessité, au sein du Cabinet, de la collecte des renseignements personnels concernés par l’incident;
- Élaborer des formations et/ou des campagnes de sensibilisation sur la protection des renseignements personnels et ceux visés par le secret professionnel pour les membres du personnel du Cabinet et pour toute personne fournissant des services en son nom.
5.VALIDITÉ
-
-
- Cette politique a été approuvée le 1er janvier 2024 et elle est en vigueur à compter de ce jour, remplaçant toute autre politique ou pratique antérieure portant sur le même sujet.
-
- INTRODUCTION
-
Politique relative à la sécurité de l’information
- INTRODUCTION
- Afin de mener à bien ses activités, Morin Pelletier Avocats (le « Cabinet » ou « il » ou « nous ») génère, stocke, traite et communique des informations sous de nombreuses formes. Le Cabinet reconnaît que ces actifs informationnels, essentiels à son activité, doivent être évalués, utilisés de manière appropriée et protégés adéquatement tout au long de leur cycle de vie. Le Cabinet adhère à la nécessité de protéger la confidentialité des renseignements personnels ou visés par le secret professionnel qu’il détient et au droit à la vie privée de son personnel. À cette fin, il est nécessaire de mettre en œuvre un ensemble cohérent de mesures de sécurité déterminées par une approche de gestion des risques de sécurité basée sur les meilleures pratiques, dans le respect des exigences législatives et réglementaires.
- La présente politique constitue la politique de sécurité des actifs informationnels du Cabinet qui établit les pratiques à adopter pour se conformer à diverses obligations légales et administratives et pour protéger tous les actifs informationnels et prévenir les incidents de sécurité potentiels, notamment la fraude, les fuites d’information, les attaques informatiques, les erreurs accidentelles, les actions délibérées et les atteintes à la vie privée. De cette manière, l’Ordre protège ses actifs et atténue les risques liés à la confidentialité, à l’intégrité et à la disponibilité des informations.
- Les actifs informationnels couverts par la présente politique de sécurité comprennent non seulement les informations, mais aussi les équipements et les supports (papier ou numériques). Ils comprennent les données, les documents, les liens de communication interne, les sites d’hébergement, les technologies informatiques (TI), les appareils mobiles et autres équipements portables.
- Cette politique s’applique à tout actif informationnel détenu par le Cabinet y compris les informations recueillies dans le cadre d’activités contractuelles, réglementaires et légales. Sans limiter ce qui précède, aux fins de la présente politique, seront considérés comme des parties prenantes du Cabinet, son personnel, ses sous-traitants, ses fournisseurs et toutes autres personnes intervenant dans les activités du Cabinet.
- Les encadrements qui suivent doivent être appliqués à l’appui des besoins d’affaires du Cabinet et ne doivent en aucun cas devenir une contrainte sans valeur ajoutée ou l’empêchant d’offrir ses services à ses clients. Compte tenu de ce qui précède, il est possible que, dans le cours normal des opérations, des situations spécifiques rendent impossible le respect de certaines exigences en matière de sécurité de l’information. Dans un tel contexte, une procédure claire de gestion des non-conformités aux exigences de sécurité est nécessaire pour s’assurer qu’elles sont correctement analysées, approuvées et suivies.
- PRINCIPES GÉNÉRAUX
- Organisation interne. Afin d’assurer une gestion efficace de la sécurité de l’information au sein du Cabinet, il est important de définir la structure organisationnelle soutenant la planification, le développement, la mise en œuvre et le contrôle des mesures de sécurité. Le Conseil d’administration est chargée de veiller à ce que cette structure organisationnelle soit définie et mise en œuvre.
- Évaluation et gestion des risques liés aux actifs informationnels. Outre la gestion des risques du Cabinet, les mesures de sécurité mises en place sont fondées sur l’évaluation, l’analyse périodique et le traitement par le Cabinet des risques liés à la confidentialité, à l’intégrité et à la disponibilité des informations. Une évaluation des risques doit être réalisée avant de procéder à l’acquisition de nouveaux systèmes ou d’effectuer un changement susceptible d’avoir un impact sur la sécurité des actifs informationnels du Cabinet.
- Sécurité des ressources humaines. Le Cabinet doit établir des processus de sécurité des ressources humaines dans le but de réduire le risque d’erreur humaine, de vol, de fraude ou d’utilisation abusive des actifs informationnels du Cabinet avant l’embauche, pendant la période d’emploi et après le départ d’un membre du personnel et de toutes autres personnes agissant à titre d’intervenant.
- Gestion des actifs informationnels. Afin de mettre en place et de maintenir une protection appropriée, chaque actif informationnel doit être inventorié et doit se voir attribuer par le responsable de la sécurité de l’information un niveau de protection approprié.
- Contrôle d’accès aux actifs informationnels.
- Principe du « besoin de savoir ». Les informations ne doivent être divulguées qu’aux personnes qui ont besoin de ces informations dans le cadre de leurs fonctions et conformément aux obligations législatives et réglementaires.
- Gestion de l’accès. La gestion des accès doit être effectuée selon des procédures et des processus formels, convenus et communiqués aux personnes concernées. Lors d’un changement de poste ou lors d’un arrêt de travail, de cessation d’emploi, de contrat ou de mandat (licenciement, congé de longue durée, etc.) les accès seront revus. Le responsable de la sécurité de l’information, doit veiller à ce qu’un examen périodique des comptes d’utilisateurs soit effectué.
- Contrôle d’accès. Tout actif informationnel qui conserve des informations non classées comme publiques doit disposer d’un mécanisme d’authentification actif pour garantir que ces informations ne sont pas indûment divulguées, modifiées, supprimées ou rendues indisponibles. Les utilisateurs doivent disposer d’un identifiant unique et ne doivent en aucun cas le partager.
- Sécurité physique et environnementale. Tous les actifs informationnels doivent être protégés par des mesures de sécurité physique en fonction de leur niveau de sécurité, des risques associés ainsi que de leur valeur pour le Cabinet. L’accès aux bureaux doit être physiquement limité par un mécanisme de sécurité approprié.
- Gestion des opérations informatiques et télécommunication. À moins qu’elles n’aient été désignées comme « publiques », toutes les informations doivent être protégées contre toute divulgation non autorisée à des tiers. Les tiers peuvent avoir accès aux informations non classées comme publiques uniquement si un besoin a été démontré et si cette divulgation a été autorisée par le responsable de la sécurité de l’information et/ou le responsable identifié en vertu de la Politique relative à la gestion des incidents de confidentialité, ou par la loi.
- Acquisition, développement et mise à jour des systèmes. Les exigences de sécurité à respecter lors de l’acquisition, du développement, de la mise en œuvre et de la maintenance d’un actif informationnel doivent être déterminées. Les exigences de sécurité doivent tenir compte des évolutions technologiques et des nouveaux défis en matière de sécurité.
- Gestion des incidents. Le Cabinet doit établir et définir les responsabilités et les procédures à mettre en œuvre en cas d’incident de sécurité afin de garantir une réponse efficace et pertinente tout en assurant la mise en place d’une équipe capable de traiter les incidents.
- Reprise après sinistre. Le Cabinet doit mettre en œuvre un plan de reprise des technologies de l’information (ci-après, « plan de reprise après sinistre ») visant à réduire l’impact de l’indisponibilité d’un actif informationnel et à assurer ainsi une reprise des opérations dans les meilleurs délais. Les mesures de récupération doivent être vérifiées périodiquement afin de s’assurer de leur efficacité et de leur pertinence.
- Formation et sensibilisation. Le Cabinet doit informer le personnel et ses sous-traitants des menaces et des conséquences d’une violation de la sécurité afin que chacun puisse reconnaître les situations à risque et agir en conséquence. Il incombe au Cabinet de fournir à toute personne devant accéder aux actifs informationnels les directives nécessaires pour comprendre ses responsabilités en matière de sécurité de l’information. Tous les documents pertinents doivent être communiqués incluant la présente politique et les encadrements associés.
- RÔLES ET RESPONSABILITÉS
- Conseil d’administration. Le Conseil d’administration du Cabinet est chargé de veiller à ce que des encadrements de sécurité adéquats soient élaborés et maintenus au sein du Cabinet. Le Conseil d’administration est chargé d’approuver cette politique et de prendre tous les moyens nécessaires pour la mettre en œuvre ainsi que les autres documents associés. Le Conseil d’administration est également responsable, d’un point de vue affaires, des actifs informationnels qui sont nécessaires à la conduite des activités du Cabinet, à savoir :
- Déterminer la valeur de ses actifs informationnels pour sa gestion et assurer leur classification conformément à celle-ci;
- Identifier et assurer la mise en œuvre de mesures et de contrôles de sécurité pour garantir la protection des actifs informationnels en fonction du niveau de sécurité attribué et des évaluations des risques;
- Assurer le maintien des mesures de sécurité pour tous ses actifs tout au long de leur cycle de vie (création, entretien, conservation, destruction, etc.);
- Approuver l’attribution des droits d’accès aux actifs informationnels en fonction des besoins requis;
- S’assurer qu’un plan de reprise après sinistre est en place et est testé régulièrement.
- Responsable de la sécurité de l’information. Le responsable de la sécurité de l’information est le principal représentant du Cabinet pour toutes les questions relatives à la sécurité des actifs informationnels. Sans limiter la généralité de ce qui précède, le responsable de la sécurité de l’information doit, entre autres choses :
- Rendre compte chaque année au Conseil d’administration de la conformité à la politique;
- Tenir la politique à jour en fonction des besoins, des obligations et des préoccupations du Cabinet;
- Veiller à l’implication des différentes parties prenantes dans l’élaboration de cette politique et des autres encadrements associés;
- Définir les critères de sécurité pour les technologies utilisées au sein du Cabinet;
- Fournir des conseils en matière de sécurité informatique;
- Réaliser des évaluations des risques et des vulnérabilités dans tous les projets impliquant un actif informationnel permettant de définir les besoins de sécurité pour assurer la protection des actifs informationnels;
- Sensibiliser tous les utilisateurs et utilisatrices à la sécurité des informations;
- Assurer une gestion efficace des incidents de sécurité et la maintenance du plan de reprise après sinistre basé sur le plan de continuité des activités;
- Utilisateur de l’actif informationnel. L’utilisateur d’un actif informationnel est une personne à qui le Conseil d’administration a accordé l’accès à un ou plusieurs actifs informationnels du Cabinet. L’utilisateur peut être un membre du personnel permanent, temporaire ou occasionnel, un contractuel, un consultant, un sous-traitant ou un tiers. Son rôle consiste, entre autres, à effectuer les tâches suivantes :
- N’utiliser les actifs informationnels qu’à des fins expressément définies par le Conseil d’administration;
- Respecter toutes les mesures de sécurité en place;
- S’abstenir de divulguer les informations en sa possession (sauf si elles ont été désignées comme publiques) sans l’autorisation du Conseil d’administration;
- Informer le responsable de la sécurité de l’information de toutes les situations où il pense que la sécurité d’un actif informationnel est vulnérable ou a été compromise;
- Se conformer à la présente politique.
- Conseil d’administration. Le Conseil d’administration du Cabinet est chargé de veiller à ce que des encadrements de sécurité adéquats soient élaborés et maintenus au sein du Cabinet. Le Conseil d’administration est chargé d’approuver cette politique et de prendre tous les moyens nécessaires pour la mettre en œuvre ainsi que les autres documents associés. Le Conseil d’administration est également responsable, d’un point de vue affaires, des actifs informationnels qui sont nécessaires à la conduite des activités du Cabinet, à savoir :
- VALIDITÉ
- Cette politique a été approuvée le 1er janvier 2024 et elle est en vigueur à compter de ce jour, remplaçant toute autre politique ou pratique antérieure portant sur le même sujet.
- INTRODUCTION
-
Calendrier de conservation des documents et procédure de destruction
- INTRODUCTION
- Morin Pelletier Avocats (le « Cabinet » ou « il » ou « nous ») est une entreprise fournissant des services de nature juridique en vertu des lois et règlements du Québec. Ses professionnels sont à ce titre régis notamment par le Code des professions (le « Code »), RLRQ, c. C -26, par la Loi sur le Barreau, RLRQ, c. B -1, et par le Code de déontologie des avocats, RLRQ, c. B-1, r. 3-1 (le « Code de déontologie »).
- Le Cabinet reconnaît l’importance de la confidentialité et de la sensibilité des renseignements qu’il obtient dans le cadre de l’accomplissement des mandats qui lui sont confiés par ses clients, de même que des renseignements qu’il transmet à ses clients. Ces renseignements sont recueillis, utilisés, divulgués et conservés conformément au Code civil du Québec, à la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P -39.1, au Code et au Code de déontologie (les « Lois »).
- Cette politique décrit les principes et les pratiques devant être suivies en matière en matière de conservation et d’élimination de ses documents. Les règles de conservation constituent une norme établissant la durée de conservation, le cheminement et le traitement des documents, peu importe leur support depuis leur création jusqu’à leur élimination.
- Le calendrier doit permettre l’atteinte de plusieurs objectifs, le tout dans le respect des lois et règlements applicables: diminuer la masse documentaire à conserver; préserver les documents qui ont une valeur administrative, légale ou historique; réduire le coût de conservation des documents; augmenter l’efficacité administrative et identifier les responsables des exemplaires principaux des documents.
- Le présent Calendrier doit être lu et appliqué en conjonction avec les autres politiques pertinentes du Cabinet notamment en matière de collecte, utilisation et conservation des renseignements personnels et de ceux visés par le secret professionnel.
- DOSSIERS D’EMPLOYÉS
- On entend par « Dossier d’employé » tout dossier nominatif qui regroupe les documents permettant de suivre la carrière de l’employé depuis son embauche jusqu’à son départ du Cabinet.
- On y retrouve des documents relatifs au mouvement de l’emploi et du cheminement de carrière (embauche, nomination, promotion, rétrogradation, congédiement, démission, départ à la retraite, décès), conditions de travail, évaluation, rémunération, formation et perfectionnement, relations de travail (lettre d’entente, mesure disciplinaire), assurances collectives, congés et absences, tests et tests psychométriques, informations médicales (tests médicaux à l’embauche, restrictions et limitations) et autres.
- Les documents peuvent être sur papier ou support numérique/électronique. Certains documents sur support papier peuvent être numérisés et détruits après validation exhaustive du contrôle de la qualité de la numérisation.
- Le Dossier d’employé est conservé pendant toute la durée de l’emploi. Suivant la fin du lien d’emploi, peu importe la cause, le dossier sera conservé pour une période de trois (3) ans, puis sera détruit conformément à la procédure de destruction décrite ci-après.
- DOSSIERS CLIENTS
- On entend par « Dossier client » tout dossier nominatif qui regroupe les documents et informations permettant de réaliser le mandat confié par le client, de même que les documents et informations de nature financière quant aux honoraires et frais engendrés dans le cadre de la prestation du mandat.
- On y retrouve des documents de toute sorte, tels que notamment des courriels, lettres, télécopies, notes manuscrites, notes de services ou opinions juridique, procédures judiciaires, documents ou renseignements provenant du client ou de tiers, et autres.
- Les documents peuvent être sur papier ou support numérique/électronique. Certains documents sur support papier peuvent être numérisés et détruits après validation exhaustive du contrôle de la qualité de la numérisation.
- Le Dossier client est conservé pendant toute la durée du mandat confié par le client. Suivant la fin du mandat, peu importe la cause, le dossier sera conservé pour une période de sept (7) ans et au maximum dix (10) ans, puis détruit conformément à la procédure de destruction décrite ci-après.
- Lors de la fin du mandat, le client est informé de la fermeture du dossier et est invité à récupérer les documents originaux qu’il a fourni antérieurement au Cabinet. À défaut de le faire, ces documents seront traités de la même façon que tous autres documents se retrouvant au dossier.
- DOSSIERS ADMINISTRATIFS
- À l’exception de ce qui suit au paragraphe suivant, tout dossier ou document de nature administrative est conservé jusqu’à la réalisation de la réalisation de l’activité à l’origine du dossier. Toutefois, tout dossier relatif à un contrat de nature administrative conclu par le Cabinet (notamment avec un fournisseur de service) doit être conservé jusqu’à trois (3) ans après l’échéance ou sa résiliation dudit contrat. Une fois le délai de conservation atteint, le dossier sera détruit conformément à la procédure de destruction décrite ci-après.
- Cependant, tout dossier relatif à des demandes d’accès à des renseignements personnels (incluant notamment les demandes de communication, de rectification ou de révision, des avis de réception ou des réponses du responsable de la protection des renseignements personnels) ou encore à des plaintes reçues en vertu de la Politique relative à la protection des renseignements personnels du Cabinet (incluant notamment, les plaintes, les notes d’enquêtes, les réponses du responsable) est conservé trois (3) ans après la demande ou la plainte ou après la fermeture du dossier en cas de contestation de la réponse donnée par le responsable de la protection des renseignements personnels. Les documents peuvent être sur support papier ou numérique/électronique et certains documents sur support papier peuvent être numérisés et détruits après validation exhaustive du contrôle de la qualité de la numérisation. Une fois le délai de conservation atteint, le dossier sera détruit conformément à la procédure de destruction décrite ci-après.
- DOSSIERS FINANCIERS
- On entend par « Dossier financier » tout dossier qui regroupe les documents relatifs aux comptes payables ou recevables du Cabinet, relatifs à ses états financiers et comptables, de même qu’à ses interactions avec les organismes gouvernementaux et ses institutions financières.
- Les documents peuvent être sur papier ou support numérique/électronique. Certains documents sur support papier peuvent être numérisés et détruits après validation exhaustive du contrôle de la qualité de la numérisation.
- Tout Dossier financier est conservé pendant toute la durée de la relation avec le fournisseur de service ou le client du Cabinet, de même que pendant toute interaction spécifique avec un organisme gouvernemental ou une institution financière. Suivant la fin de la relation, le dossier sera conservé pour une période de sept (7) ans, puis sera détruit conformément à la procédure de destruction décrite ci-après.
- PROCÉDURE DE DESTRUCTION
- Peu importe la nature du document ou du dossier, une fois le délai de conservation atteint, la procédure de destruction est la suivante :
- La destruction des documents et dossiers sur support papier est confiée à une firme spécialisée en la matière qui voit à leur destruction de manière sécuritaire et définitive;
- La destruction des documents et dossiers sur support numérique est accomplie de manière sécuritaire et définitive par le fournisseur du logiciel de gestion documentaire juridique spécialisé utilisé par le Cabinet.
- Peu importe la nature du document ou du dossier, une fois le délai de conservation atteint, la procédure de destruction est la suivante :
- CONFORMITÉ
- Le responsable de la présente Politique est Me Mélanie Morin.
- VALIDITÉ
- Cette politique a été approuvée le 1er janvier 2024 et elle est en vigueur à compter de ce jour, remplaçant toute autre politique ou pratique antérieure portant sur le même sujet.
- INTRODUCTION