CIVDEV — Politique de confidentialité

Version 1.0 — Mise à jour : 10 septembre 2025

1) Objet et portée

La présente politique explique comment CIVDEV collecte, utilise, communique, conserve et protège les renseignements personnels conformément à la Loi sur la protection des renseignements personnels dans le secteur privé modernisée par la Loi 25. Elle s’applique à toutes les activités de CIVDEV et à toute personne concernée (clients, prospects, candidats, fournisseurs/mandataires, partenaires et employés).

2) Définitions

  • Renseignement personnel : information concernant une personne physique et permettant, directement ou indirectement, de l’identifier.
  • Renseignement sensible : information dont la divulgation présente un risque élevé de préjudice (par exemple renseignements financiers, identifiants gouvernementaux).
  • Incident de confidentialité : accès, utilisation ou communication non autorisés, perte ou toute autre atteinte à la protection d’un renseignement personnel.
  • Anonymisation : traitement irréversible rendant impossible l’identification d’une personne.

3) Rôles et responsabilités (RPRP)

La personne ayant la plus haute autorité chez CIVDEV est imputable de la protection des renseignements personnels et a délégué cette fonction au Responsable de la protection des renseignements personnels (RPRP).

RPRP désigné : Antoinette Mandolese, Gestionnaire Immobilier — conformite@civdev.com — (514) 254-1000.

Le RPRP approuve les politiques et pratiques, répond aux demandes d’accès/rectification/portabilité/cessation de diffusion, participe aux évaluations des facteurs relatifs à la vie privée (EFVP), tient le registre des incidents et coordonne les notifications aux personnes concernées lorsque requis.

4) Principes directeurs

  • Minimisation : CIVDEV ne collecte que les renseignements nécessaires aux fins déterminées.
  • Confidentialité par défaut : les paramètres de confidentialité sont définis au niveau le plus protecteur compatible avec l’activité.
  • Exactitude : les renseignements sont tenus à jour et corrigés au besoin.
  • Responsabilisation : les rôles, processus et contrôles sont documentés et revus périodiquement.

5) Catégories de renseignements et sources

CIVDEV traite notamment des renseignements d’identification et de contact (nom, prénom, adresse, téléphone), des identifiants gouvernementaux (numéro d’assurance sociale, date de naissance, lorsque requis pour les dossiers locatifs) ainsi que des renseignements financiers (entreprise). 

Ces données sont principalement gérées via Microsoft 365 (Outlook/OneDrive) et l’application de gestion HOPEM.

6) Finalités et fondements de traitement

Les renseignements sont collectés pour :

  • Ouverture et gestion des dossiers de location et des baux.
  • Gestion comptable et financière.
  • Communications avec les clients, fournisseurs et partenaires.
  • Sécurité et continuité des opérations.

Selon le contexte, le traitement repose sur le consentement, l’exécution d’un contrat, des obligations légales ou l’intérêt légitime reconnu par la Loi.

7) Moyens de collecte

Les renseignements sont recueillis par courriel, formulaires, communications téléphoniques et via des systèmes métier (ex. HOPEM). 

Certains renseignements peuvent transiter par courriel et être stockés sur OneDrive.

8) Information fournie lors de la collecte (transparence)

Lors de la collecte, CIVDEV indique les fins de l’utilisation, les moyens de collecte, les catégories de personnes ayant accès, la durée de conservation, les droits des personnes, l’identité du RPRP et, le cas échéant, les tiers ou transferts envisagés.

9) Consentement et retrait

Lorsque requis, CIVDEV obtient un consentement manifeste, libre, éclairé et spécifique. Le consentement peut être retiré en tout temps, sous réserve des restrictions légales et contractuelles et d’un préavis raisonnable.

10) Communication à des tiers et transferts hors Québec

CIVDEV peut communiquer des renseignements personnels à des fournisseurs ou mandataires, strictement aux fins identifiées et sous des engagements contractuels de confidentialité et de sécurité. Dans le cadre de l’ouverture de dossiers de baux, certains renseignements peuvent être transmis à une agence d’application de crédit (CECQ).

Lorsque des renseignements sont communiqués hors Québec, CIVDEV réalise au préalable une évaluation des facteurs relatifs à la vie privée (EFVP) et s’assure d’un niveau de protection adéquat avant toute communication.

11) Décisions automatisées et profilage

Si CIVDEV devait rendre une décision fondée exclusivement sur un traitement automatisé, la personne concernée serait informée de la logique sous-jacente, de son droit de présenter des observations et, le cas échéant, de demander la révision de la décision. Toute technologie d’identification, de localisation ou de profilage est utilisée avec information préalable et consentement lorsque la Loi l’exige.

12) Mesures de sécurité

Les mesures de sécurité sont proportionnelles à la sensibilité, à la finalité, à la quantité et au support des renseignements :

  • Contrôles d’accès (moindre privilège) et authentification forte lorsque disponible.
  • Sécurisation des postes et appareils mobiles (verrouillage, mots de passe/PIN, biométrie).
  • Solutions infonuagiques sécurisées et procédures pour prévenir la perte, l’accès ou la communication non autorisés.
  • Exigences contractuelles envers les fournisseurs quant à la sécurité, aux sauvegardes et à la continuité des activités.

13) Conservation et destruction

CIVDEV conserve les renseignements uniquement pour la durée nécessaire aux fins visées, puis les détruit de manière sécuritaire ou les anonymise. Un calendrier de conservation interne précise les catégories de documents et les délais applicables. Les sauvegardes sont gérées pour éviter une conservation indue.

Mesures spécifiques prévues : mise en place de stratégies de rétention/suppression dans Microsoft 365 pour les courriels et fichiers OneDrive/SharePoint, afin d’éliminer les contenus non détruits à échéance.

14) Droits des personnes

Toute personne peut : accéder à ses renseignements, demander la rectification, retirer son consentement lorsqu’applicable, demander la cessation de diffusion, la désindexation/réindexation dans les conditions prévues, et obtenir la communication de ses renseignements dans un format technologique structuré. Pour exercer ces droits, communiquer avec le RPRP (coordonnées à la section 3).

15) Incidents de confidentialité et registre

CIVDEV tient un registre des incidents de confidentialité, évalue les risques et, en cas de risque sérieux de préjudice, avise rapidement les personnes concernées. Des mesures sont prises pour réduire les risques et éviter la répétition. Une procédure interne précise l’identification, la classification, la réponse, la notification et la clôture des incidents.

16) Gouvernance et EFVP

CIVDEV maintient des politiques et pratiques de gouvernance, réalise des EFVP lorsque requis (notamment pour la communication hors Québec ou les projets à risque accru) et offre des activités de sensibilisation et de formation au personnel. Un registre des activités de traitement est tenu et revu périodiquement.

17) Témoins (cookies) et technologies de suivi

Le cas échéant, CIVDEV publie un avis décrivant les catégories de témoins, leurs fins, leurs durées et les choix offerts. Les technologies d’identification, de localisation ou de profilage sont utilisées conformément à la Loi et avec consentement lorsqu’exigé.

18) Sous-traitants et responsabilité

CIVDEV demeure responsable des renseignements confiés à des tiers. Les contrats prévoient des obligations de confidentialité, de sécurité, de sauvegarde, d’assistance en cas d’incident et de suppression/retour des renseignements à la fin du mandat.

19) Mise à jour et publication

Cette politique peut être mise à jour pour refléter des changements légaux, technologiques ou opérationnels. La version en vigueur est publiée à un emplacement facilement accessible par le public. Toute modification significative est communiquée par les canaux appropriés.

20) Coordonnées du RPRP

Responsable de la protection des renseignements personnels (RPRP) : Antoinette Mandolese, Gestionnaire Immobilier — conformite@civdev.com — (514) 254-1000.