819 205-1094
OBTENEZ RAPIDEMENT UNE CONSULTATION
Close

Schedule a consultation quickly

Submit your details and we will be pleased to communicate with you as soon as possible.

    Nom complet*

    Courriel*

    Téléphone*

    Catégorie de droit

    Brève explication*

    Politiques et pratiques encadrant la gouvernance des renseignements personnels

    Caroline Simard avocate inc. s’engage à protéger la confidentialité et à assurer la sécurité des renseignements personnels, ci-après « RP », conformément à la Loi 25 et aux règles déontologiques de la profession.

    Cette politique s’applique à tous les avocats, notaires, parajuristes, employés et sous-traitants du cabinet, ainsi qu’à tous les RP gérés par le cabinet, quelle que soit leur forme : papier, numérique, orale.

    1. Rôles et responsabilités

    Responsable de la protection des renseignements personnels (RPRP)

    Caroline Simard, avocate, présidente et unique actionnaire.
    Coordonnées : avocate@carolinesimard.ca

    La RPRP supervise l’application de toutes les politiques, gère les demandes d’accès/rectification, et agit comme point de contact avec la Commission d’accès à l’information, ci-après « CAI ».

    Responsabilités de la direction

    Assurer les ressources nécessaires (formation, technologie) pour la protection des RP.

    Responsabilités du personnel

    Formation obligatoire, devoir de confidentialité renforcée en regard du secret professionnel lié à la profession d’avocat, signalement immédiat de tout incident et maintien de la confidentialité par défaut (voir section Sécurité technologique et confidentialité par défaut).

    2. Collecte et utilisation des renseignements personnels

    Principe de minimisation (Loi 25)

    Ne collecter que les RP strictement nécessaires à l’exécution du mandat, par exemple : vérification des conflits d’intérêts, représentation légale, facturation.

    Consentement

    Procédure documentée pour obtenir un consentement libre et éclairé : « Fiche d’ouverture de dossier et convention d’honoraires professionnels ». Gestion du retrait de consentement. Le retrait du consentement doit être aussi simple que la manière de le donner.

    Utilisation

    Interdiction stricte d’utiliser les RP à des fins secondaires, par exemple pour le marketing et les études de cas, sans un consentement explicite et distinct, sauf si la loi l’autorise.

    3. Conservation et destruction des renseignements personnels

    Politique de conservation

    Respecter le délai minimum de conservation imposé par les règles du Barreau du Québec soit 7 ans après la fin du mandat.

    Procédures de destruction

    Destruction physique : Utilisation systématique d’un déchiqueteur de haute sécurité (coupe croisée) pour les documents papier.

    Destruction numérique : Utilisation de méthodes de suppression sécurisée ou de démagnétisation pour les fichiers et supports de stockage, assurant l’impossibilité de récupération.

    Anonymisation : Procédures pour anonymiser les données à des fins statistiques ou d’archivage (si applicable), en s’assurant que la personne ne peut plus être identifiée directement ou indirectement. La destruction des RP est documentée.

    4. Mesures de sécurité (protection et accès)

    Sécurité physique

    Contrôle d’accès aux bureaux, archivage des dossiers dans des armoires verrouillées.
    Protocoles pour le travail à distance (sécurisation des documents sortis du bureau).

    Sécurité technologique et confidentialité par défaut

    Chiffrement (cryptage) : Chiffrement des communications par courriel contenant des informations sensibles et des bases de données clients.

    Gestion des accès : Accès aux dossiers clients basé sur le principe du besoin de savoir; seuls les avocats et le personnel directement impliqués dans le mandat y ont accès.

    Mots de passe : Politique de mots de passe complexes et renouvelés régulièrement.

    Confidentialité par défaut : Tous les systèmes d’information du cabinet sont configurés, par défaut, pour assurer le plus haut niveau de confidentialité sans intervention de l’utilisateur.

    Transfert de données hors Québec

    Exiger une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant tout transfert, en s’assurant que les lois du pays destinataire offrent une protection adéquate (ex: utilisation de services Cloud américains).

    5. Gestion des demandes d’exercice de droits (Clients)

    Réception de la demande

    Toutes les demandes doivent être adressées à la RPRP par écrit. (voir section sur la RPRP)

    Vérification d’identité

    Procédure rigoureuse pour vérifier l’identité du demandeur, afin de ne pas révéler des informations confidentielles à la mauvaise personne.

    Délai de traitement

    Répondre aux demandes d’accès ou de rectification dans les 30 jours suivant la réception, soit le délai légal.

    Refus

    Procédure de refus motivé, notamment si la divulgation contrevient au secret professionnel ou si cela risquerait de nuire à un tiers. La réponse au refus doit indiquer les recours possibles auprès de la CAI.

    6. Gestion des incidents de confidentialité (fuites de données)

    Définition

    Identification d’un incident : accès, utilisation ou divulgation non autorisée de RP.

    Protocole d’intervention

    1. Contenir l’incident, par exemple : déconnecter l’appareil, changer les mots de passe.
    2. Évaluer le risque de préjudice grave. Évaluation des facteurs de gravité, incluant la sensibilité des RP concernés, les conséquences appréhendées, et la probabilité d’utilisation à des fins préjudiciables.
    3. Aviser la CAI : Obligation d’aviser la Commission d’accès à l’information si le risque de préjudice est sérieux.
    4. Aviser la personne concernée : Obligation d’aviser la personne dont les données ont été compromises.
    5. Documentation : Tenir un registre détaillé de tous les incidents de confidentialité, qu’ils nécessitent un avis ou non.

    Vous avez une question ou un problème juridique?

    Rencontrez un de nos avocats dès aujourd'hui.

    Obtenir une consultation