Date de dernière mise à jour : 3 mars 2026

Politique-cadre sur la gouvernance à l'égard des renseignements personnels (résumé)

Le présent résumé de la Politique-cadre sur la gouvernance à l’égard des renseignements personnels (ci-après désignée : la « Politique ») a pour objet d’informer les utilisateurs (ci-après désignés : « vous » ou « vos ») des règles dont Groupe Medway inc. et ses sociétés liées et/ou affiliées (ci-après désignées collectivement « Medway » ou « nous » ou « notre ») se sont dotées pour encadrer la collecte, l’utilisation, la conservation et la destruction des renseignements personnels, ainsi que les droits des personnes concernées et les responsabilités du personnel.

Medway accorde une grande importance à la protection des renseignements personnels qu’elle détient.

La Politique a été élaborée en conformité avec le cadre législatif applicable, dont notamment les articles 35 à 40 du Code civil du Québec, la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1) et les autres lois applicables (ci-après désignées : la « Loi »).

1. Traitement des renseignements personnels

La protection de vos renseignements personnels est assurée par Medway tout au long de leur cycle de vie (collecte, utilisation, conservation, destruction ou anonymisation) dans le respect des principes suivants, sauf exception prévue par la Loi.

1.1. Collecte :

  • Medway recueille uniquement les renseignements personnels nécessaires pour accomplir sa mission et réaliser ses activités.
  • Les personnes sont informées des fins de la collecte et de leurs droits.
  • Lorsqu’un consentement est requis par la Loi, celui-ci doit être manifeste, libre, éclairé et donné à des fins spécifiques.
  • Sur demande, une personne peut également être informée des catégories de personnes ayant accès à ses renseignements personnels, de leur durée de conservation et des coordonnées du responsable de la protection des renseignements personnels.

1.2. Utilisation

  • Les renseignements personnels sont utilisés uniquement aux fins pour lesquelles ces renseignements ont été recueillis, à moins que la personne y consent préalablement.
  • Les renseignements personnels peuvent être utilisés à des fins secondaires sans le consentement de la personne seulement dans les cas permis par la Loi.
  • L’accès aux renseignements personnels est limité qu’aux membres du personnel de Medway qui ont qualité pour le connaître, et uniquement dans la mesure où ce renseignement est nécessaire à l’exercice de leurs fonctions.

1.3. Communication

  • Les renseignements personnels peuvent être communiqués à des tiers qu’avec le consentement requis ou lorsque la Loi le permet ou l’exige.
  • Toute communication de renseignements personnels à un fournisseur ou sous-traitant est encadrée par une entente écrite comportant des obligations strictes, dont celles prescrites par la Loi.
  • Le cas échéant, une évaluation des facteurs relatifs à la vie privée (ÉFVP) est réalisée avant toute communication de renseignements personnels à l’extérieur du Québec.

1.4. Conservation et sécurité

  • Les renseignements personnels sont conservés uniquement pour la durée nécessaire aux fins pour lesquels ils ont été recueillis ou autrement pour la durée prescrite par la Loi.
  • Les renseignements personnels sont conservés dans des environnements sécurisés, selon leur nature et leur sensibilité.
  • Des mesures de sécurité appropriées sont mises en place afin d’assurer la protection des renseignements personnels.
  • Les paramètres de confidentialité des outils technologiques offerts au public sont configurés par défaut au niveau le plus élevé de protection.

1.5. Destruction ou anonymisation

  • Les renseignements personnels sont détruits ou anonymisés de façon sécuritaire lorsque les fins pour lesquels ils ont été recueillis sont accomplies, sous réserve des obligations de conservation prévue par la Loi.
2. Droit des personnes concernées

2.1. Sous réserve des exceptions prévues par la Loi, toute personne dont les renseignements personnels sont détenus par Medway peut notamment :

  • Obtenir confirmation de l’existence de renseignements personnels la concernant et en recevoir copie;
  • Demander la rectification de renseignements personnels inexacts, incomplets ou équivoques;
  • Demander la rectification de renseignements personnels si leur collecte, communication ou conservation ne sont pas autorisées par la Loi;
  • Demander la suppression de renseignements personnels périmés ou non justifiés;
  • Formuler des commentaires à verser à son dossier;
  • Exercer son droit à la portabilité des renseignements informatisés;
  • Retirer son consentement lorsque applicable;
  • Demander la cessation de diffusion ou la désindexation dans les cas prévus par la Loi;
  • Être informée lorsqu’une décision est fondée exclusivement sur un traitement automatisé et demander un réexamen.

2.2. Les demandes doivent être adressées par écrit au Responsable de la protection des renseignements personnels. Medway répond dans un délai maximal de 30 jours et prête assistance lorsque la demande est imprécise ou incomplète.

2.3. Des frais raisonnables peuvent être exigés dans les cas permis par la Loi.

3. Incidents de confidentialité

3.1. Medway tient un registre des incidents de confidentialité, conformément aux exigences de la Loi.

3.2. Lorsque Medway a des motifs de croire qu’un incident de confidentialité s’est produit, elle prend les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et prévenir d’autres incidents de même nature.

3.3. Si un incident de confidentialité présente un risque de préjudice sérieux, Medway avise la Commission d’accès à l’information et les personnes concernées.

4. Évaluation des facteurs relatifs à la vie privée (ÉFVP)

4.1. Medway réalise une ÉFVP notamment dans les cas suivants :

  • Lors de projets d’acquisition, de développement et de refonte d’un système technologique impliquant la collecte et le traitement de renseignements personnels;
  • Avant de communiquer des renseignements personnels à l’extérieur du Québec;
  • Avant de communiquer des renseignements personnels sans le consentement des personnes concernées, à des fins d’étude, de recherche ou de production de statistique.

 

4.2.La réalisation d’une ÉFVP permet notamment à Medway de protéger les renseignements personnels collectés jusqu’à leur destruction ainsi que d’implanter des mesures afin de les protéger adéquatement.

4.3. L’ÉFVP réalisée est proportionnée à la sensibilité des renseignements personnels concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.

5. Traitement des plaintes

5.1. Toute plainte relative à la protection des renseignements personnels doit être transmise par écrit au responsable de la protection des renseignements personnels (RPRP).

5.2. Lorsque le RPRP reçoit une plainte, celui-ci doit:

  • Accuser réception de la plainte;
  • Analyser la situation évoquée;
  • Transmettre une réponse écrite motivée dans un délai maximal de 30 jours;
  • Le cas échéant, informer la personne des recours possibles auprès de la Commission d’accès à l’information du Québec.

5.3. Toute plainte est traitée de manière confidentielle et diligente.

6. Responsabilité

6.1. Responsable de la protection des renseignements personnels (RPRP) :

Coordonnées :

Me Jean-François Hébert

Courriel : responsableprp@med-way.ca

Téléphone : 418-496-6603

6.1.1. Dans le cadre de ses fonctions, le RPRP s’occupe notamment de :

  • Veiller à la conformité de Medway à la Loi;
  • Superviser le traitement des demandes d’accès, de rectification et de portabilité;
  • Gérer les incidents de confidentialités et les avis requis, le cas échéant;
  • Participer aux évaluations des facteurs relatifs à la vie privée (ÉFVP);
  • S’assurer de la mise en œuvre et de la mise à jour des politiques et pratiques internes.

6.2. Vice-président(e) Ressources humaines

6.2.1. Dans le cadre de ses fonctions, le(la) Vice-président(e) s’occupe notamment de :

  • Veiller à l’application interne de la Politique;
  • Contribuer à la formation et à la sensibilisation du personnel;
  • Déterminer et appliquer, au besoin, les mesures disciplinaires appropriées en cas de non-respect.

6.3. Personnel :

6.3.1. Toute personne ayant accès à des renseignements personnels doit notamment :

  • Respecter la Politique;
  • Limiter l’accès aux renseignements personnels nécessaires à ses fonctions;
  • Protéger la confidentialité des renseignements personnels;
  • Signaler sans délai tout incident ou manquement.
7. Sanctions 

7.1. Le non-respect de la Politique par les employés de Medway peut entraîner des mesures appropriées conformément aux règles internes de Medway.

8. Mise à jour

8.1. La Politique peut être modifiée afin de tenir compte de l’évolution du cadre légal et des pratiques internes.