Imperial Tobacco Canada - Politique sur la protection des renseignements personnels des employés

Imperial Tobacco Canada (« ITCAN ») et ses filiales canadiennes (ITCAN et ses filiales canadiennes étant nommées « Imperial Tobacco » ou « nous ») est consciente de l’importance de la confidentialité des renseignements personnels de ses employés et reconnait le besoin d’une protection adéquate de ces renseignements.

L’objectif de la présente politique est d’établir les principes applicables à la gestion des renseignements personnels d’une manière qui reconnait à la fois le droit des employés à la protection des leurs renseignements personnels et le besoin d’Imperial Tobacco de recueillir, d’utiliser et de communiquer de tels renseignements dans le cadre de la relation employeur- employé.

Toute violation de la présente politique sera prise au sérieux et est susceptible de donner lieu à des mesures disciplinaires telles que la suspension et le congédiement.

1. Portée et application

Le groupe British American Tobacco (« BAT ») est formé de plusieurs compagnies affiliées faisant affaires dans plus de 180 pays. La présente politique s’applique aux activités d’Imperial Tobacco et vise uniquement les renseignements personnels relatifs aux individus visant à devenir, étant ou ayant été des employés d’Imperial Tobacco ou des employés de BAT en assignation auprès d’Imperial Tobacco (ci-après «employé»).

Est un renseignement personnel de l’employé, tout renseignement concernant un employé et permettant de l’identifier, quelle que soit la nature de son support et quelle que soit le format sous lequel il est accessible : écrit, graphique, sonore, visuel, informatique ou autre. La notion de renseignement personnel inclut, mais n’est pas limitée à l’information enregistrée sur les systèmes des RH et accessible à partir de ceux-ci.

La présente politique est conçue de manière à respecter les lois canadiennes relatives à la protection des renseignements personnels et, lorsqu’applicable, le Règlement général sur la protection des données (« RGDP »). Elle s’applique aux renseignements personnels détenus par ou sous le contrôle d’Imperial Tobacco, incluant les renseignements qu’elle a échangés avec d’autres membres du groupe BAT et les renseignements communiqués à des tiers pour des fins d’entreposage ou de traitement.

En plus de la présente politique, Imperial Tobacco a adopté une série de politiques dans le but de faire face à d’autres préoccupations liées aux renseignements personnels et susceptibles d’affecter ses employés. Le respect de ces politiques, telles que modifiées périodiquement, est obligatoire, notamment : les Normes de conduite au travail, la Politique de sécurité technologie de l’information, les Instructions de la sécurité des TI, les Instructions en matière de sécurité des technologies de l’information relatives aux clés USB, les Instructions en matière de sécurité des technologies de l’information des réseaux sans fil, la Politique d’utilisation des dispositifs mobiles, la Sécurité des technologies de l’information – Instructions relatives à la réattribution temporaire d’un compte et les Consignes de gestion des documents. Si vous avez des doutes quant à savoir quelle politique est applicable ou si vous désirez obtenir plus d’information au

sujet de la présente politique, veuillez contacter le bureau de l’Agent(e) de protection des renseignements personnels dont les coordonnées sont mentionnées dans la section 6.

2. Consentement

Le consentement de l’employé à la communication ou l’utilisation de ses renseignements personnels doit être manifeste, libre et éclairé. Il doit être donné à des fins spécifiques et de manière à ce que l’employé comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation et de la communication de ses renseignements personnels.

En fonction de la nature et de la sensibilité des renseignements personnels, le consentement peut être explicite (un tel consentement peut être donné oralement, par écrit ou par voie électronique) ou implicite (lorsque l’employé fournit volontairement des renseignements personnels par exemple).

Le consentement donné par l’employé demeure habituellement valide pour toute la durée de la relation employeur-employé. Toutefois, un consentement plus spécifique pourrait être uniquement valide pour la période de temps requise pour atteindre les fins recherchées. Un consentement peut être retiré en tout temps, sous réserve des restrictions légales et contractuelles et d’un préavis raisonnable.

Généralement, Imperial Tobacco obtiendra le consentement de l’employé à la communication ou l’utilisation de renseignements personnels au moment de la collecte des renseignements, sauf lorsque requis ou autorisé par la loi.

3. Collecte et utilisation de renseignements personnels

Dans la plupart des cas, Imperial Tobacco recueillera les renseignements personnels directement auprès de l’employé, que ce soit oralement ou par voie d’un formulaire écrit. Toutefois, Imperial Tobacco peut également recueillir des renseignements personnels auprès de tiers avec le consentement de l’employé ou sans  son consentement si  la loi l’autorise, notamment lorsque la collecte auprès d’un tiers est nécessaire afin de garantir l’exactitude de l’information fournie (ex : vérification des antécédents, enquête, etc.) et si le tiers est autorisé à communiquer de tels renseignements.

Imperial Tobacco ne recueille que les renseignements personnels concernant ses employés qui sont nécessaires à l’établissement, à la gestion et au maintien de la relation d’emploi. Sans limiter la portée de ce qui précède, ceci comprend les informations d’identification, telles que le nom, l’adresse, le numéro de téléphone, l’adresse de courrier électronique, la date de naissance et:

•  Pour la détermination initiale d’éligibilité à un poste, y compris la vérification des références et des qualifications ainsi qu’aux fins de sélection de promotion et de gestion : information concernant l’éducation, la formation, l’expérience de travail, l’historique professionnel, les références professionnelles et personnelles, le curriculum vitae initial ou le formulaire de demande d’emploi soumis ainsi que le curriculum vitae ou le formulaire mis-à-jour, les documents médicaux et les vérifications pré-emploi (références, antécédents criminel et de crédit) lorsque requis;
•  Aux fins de la gestion des ressources humaines et de l’administration : les lettres d’offre et d’acceptation d’emploi, les contrats d’emploi, les formulaires d’acceptation des politiques, l’historique professionnel et l’historique salarial;
•  L’information requise pour la préparation de la paie incluant le numéro d’assurance sociale, l’institution financière et le numéro de compte;
•  Les formulaires relatifs aux demandes d’avantages de santé et sécurité, incluant l’invalidité de courte ou longue durée, les soins médicaux ou dentaires, l’information portant sur le statut médical ou dentaire et le traitement des réclamations liées à l’emploi (ex : indemnisation pour préjudice survenu sur les lieux du travail, réclamations d’assurance, etc);
•  L’information provenant de collègues, gestionnaires et clients relative à la performance et au comportement de l’employé et contenue, par exemple, dans des évaluations professionnelles, aux fins de l’établissement des exigences liées à la formation et au développement, pour l’évaluation des qualifications d’un poste ou d’une tâche en particulier et, dans le cadre d’une enquête, pour la collecte de preuves en matière de mesures disciplinaires ou de congédiement;
•  L’information requise aux fins d’identification et de sécurité;
•  L’information sur la personne à contacter en cas d’urgence;
•  Toute autre information requise ou à laquelle l’accès est autorisé par la loi (notamment, en conformité avec les lois du travail ou aux fins de confection des répertoires internes);
•  L’information visant à mettre en œuvre les fins précédemment décrites avec les autres
  membres du groupe BAT, lorsque nécessaire.

Les renseignements personnels de l’employé ne seront pas utilisés à des fins autre que celles lui ayant été initialement décrites, à moins d’avoir obtenu le consentement de l’employé en question ou dans les cas et aux conditions prévus par la loi.

4. Communication de renseignements personnels

Imperial Tobacco reconnaît que, hormis les cas décrits ci-après, la communication de renseignements personnels à un tiers requiert généralement le consentement de l’employé.

L’accès aux renseignements personnels au sein d’Imperial Tobacco n’exige pas le consentement de l’employé mais est strictement limité aux personnes pour qui les renseignements sont nécessaires à l’exercice de leurs fonctions et responsabilités. De la même manière, l’échange de renseignements personnels de l’employé entre Imperial Tobacco et les autres membres du groupe BAT ne requiert pas le consentement de celui-ci si les renseignements personnels sont nécessaires pour leur permettre de prêter assistance à Imperial Tobacco dans le but d’établir, de gérer et de maintenir la relation d’emploi.

Imperial Tobacco peut également partager des renseignements personnels, sans le consentement de l’employé, avec des agents externes, des mandataires, des conseillers, des spécialistes en informatique, des fournisseurs de services et autres tiers qui ont besoin de cette

information dans le cadre d’activités liées à celles d’Imperial Tobacco ou afin d’assister Imperial Tobacco relativement à la gestion de la relation d’emploi. De tels agents, mandataires, conseillers, spécialistes en informatique, fournisseurs de services et autres tierces parties s’assureront que les renseignements personnels communiqués par Imperial Tobacco seront utilisés aux seules fins de fournir des services spécifiques et qu’ils resteront confidentiels, en conformité avec la présente politique, puis qu’ils seront retournés, sans en faire de copie, à Imperial Tobacco une fois le service fourni.

Imperial Tobacco peut également, sans le consentement de l’employé, communiquer des renseignements personnels contenus dans son dossier si cela est autorisé ou requis par la loi.

Dans chaque situation où Imperial Tobacco est en droit de communiquer des renseignements personnels au sujet de l’employé, elle tentera de communiquer uniquement ce qui est nécessaire, eu égard aux circonstances.

Si une tierce partie à qui Imperial Tobacco communique des renseignements personnels au sujet de l’employé se trouve dans une juridiction étrangère, la législation qui y est applicable est susceptible de permettre à des tiers d’avoir autrement accès aux renseignements personnels en question sans le consentement de l’employé.

5. Exactitude et mesures de sécurité

Imperial Tobacco a mis en place une série de mesures de sécurité visant à protéger les renseignements personnels de l’employé contre la perte, le vol, la consultation, la communication, la copie, l’utilisation ainsi que la modification de ces renseignements.

Ces mesures peuvent varier compte tenu de la sensibilité des renseignements, de leur finalité, de leur quantité et de leur diffusion ainsi que du support utilisé pour les conserver, notamment:

•  mesures physiques, incluant :
  Accès limité à nos bureaux par des personnes ne faisant pas partie du personnel. Classeurs avec tiroirs verrouillés et accès restreint au bâtiment ainsi qu’aux étages;
•  mesures organisationnelles, incluant :
  Accès restreint aux renseignements personnels des employés; autorisation pour la communication des renseignements personnels des employés, lorsque requise; numérisation et centralisation de certains renseignements personnels des employés sur le système informatique SAP et dans la voute situé dans le département RH; renseignements sensibles (ex. : informations au sujet de  la  santé et sécurité des employés ainsi que les informations médicales, cotes de crédit et antécédents criminels) enregistrés dans des dossiers séparés avec un accès restreint.
•  mesures technologiques, incluant:
  Ordinateurs et ordinateurs portatifs protégés appartenant à l’entreprise (certificats, mots de passe, cryptage du disque dur, verrouillage de l’écran, système de prevention
  des intrusions, antivirus, rustines (patches) automatisées et politiques de groupe); renseignements enregistrés sur le système informatique SAP sont protégés par des codes d’accès; accès limités aux employés, gestionnaires et à des tiers au besoin; tous les accès aux systèmes informatiques incluant SAP nécessitent une approbation; dispositifs Flash approuvés par la division TI; compagnie d’archivage de données située à l’extérieur de l’entreprise devant posséder des systèmes qui empêchent la diffusion de renseignements confidentiels non-autorisés; le réseau d’Imperial Tobacco est protégé par un coupe-feu et l’accès à distance est protégé par un réseau privé virtuel; tous les mots de passe sont contrôlés : longueur, expiration, complexité, politique de verrouillage, historique, etc.

Imperial Tobacco met également en place les mesures nécessaires pour s’assurer que tous ses gestionnaires et employés soient informés au sujet du contenu de la présente politique et qu’ils s’y conforment en tout temps.

Imperial Tobacco reconnaît de plus qu’il est important que les renseignements personnels soient exacts, complets et à jour et met en place des mesures raisonnables afin de s’assurer de l’exactitude et de la mise à jour des renseignements qu’elle utilise pour prendre une décision concernant la personne en question. Toutefois, les employés sont responsables d’informer Imperial Tobacco de tout changement significatif relativement aux renseignements personnels qui pourrait survenir au cours de leur emploi.

Imperial Tobacco détruira, effacera ou rendra anonymes les renseignements personnels de l’employé qui ne sont plus nécessaires à la réalisation de la finalité pour laquelle ils ont été recueillis ou afin de respecter les exigences légales ou protéger ses intérêts commerciaux légitimes.

6. Procédure de plaintes et demandes d’accès et de rectification

Toute question relative à la présente politique ou au sujet de la collecte, de l’utilisation ou de la communication des renseignements personnels de l’employé, incluant les demandes d’accès ou de rectification, doivent être formulées par écrit et adressées à l’Agent(e) de protection des renseignements personnels d’Imperial Tobacco:

Agent(e) de protection des renseignements personnels
Imperial Tobacco Canada Limitée
3711, rue St-Antoine OuestMontréal (Québec) H4C 3P6

data_protection_donnees@bat.com

Généralement, tout employé a le droit de consulter ou d’obtenir communication des renseignements personnels le concernant et qui sont détenus par Imperial Tobacco. Un employé peut également demander que les renseignements personnels soient rectifiés s’ils sont inexacts, incomplets ou équivoques et que toute information non justifiée par les fins du dossier soit supprimée.

Imperial Tobacco répondra à toute demande d’accès ou de rectification dans les 30 jours de la
date de la réception d’une  demande écrite. En cas de refus de fournir ou corriger les

renseignements, Imperial Tobacco fournira à l’employé les motifs au soutien de son refus, sous réserve des restrictions prévues dans la loi, et elle informera cette personne de ses recours.

Si un employé croit que la présente politique a été violée ou s’il a des inquiétudes concernant son application, il devra transmettre une plainte écrite détaillée à l’Agent(e) de protection des renseignements personnels aussi tôt que possible. La plainte devra inclure les noms des individus impliqués et les noms de tout témoin et toute autre preuve pertinente liée à la plainte.

Toute plainte est confidentielle et fera l’objet d’une enquête par l’Agent(e) de protection des renseignements personnels. Un employé qui de bonne foi dépose une plainte ou fournit de la preuve concernant une violation alléguée de la présente politique ou d’un usage impropre des ressources d’Imperial Tobacco, ne fera pas l’objet de mesures de représailles par Imperial Tobacco. Si vous n’êtes pas satisfait du traitement de votre plainte par Imperial Tobacco ou de la manière que cette dernière traite vos renseignements personnels, vous pouvez soumettre une plainte à l’autorité compétente telle que la Commission d’accès à l’information du Québec (http://ww.cai.gouv.qc.ca/ ou au Commissariat à la vie privée du Canada (http://ww.priv.gc.ca/).

7. Traitement  des  renseignements  personnels  des  personnes  se  trouvant  dans
l’espace économique européen (EEE)

La présente section s’applique exclusivement au traitement des renseignements personnels en lien avec l’EEE, dans la mesure où ce traitement a lieu alors que les personnes concernées se trouvent dans cet espace et lorsque les activités de traitement sont liées à l’offre de bien ou de services ou au suivi du comportement de ces personnes qui a lieu au sein de l’EEE. Les dispositions de la présente section ont préséance sur celles de la présente politique, en cas de conflit.

7.1 Consentement

Si votre consentement est fourni dans une déclaration écrite qui traite d’autres sujets, Imperial Tobacco s’assurera que la demande de consentement visant le traitement de renseignements personnels est clairement distincte. Imperial Tobacco devra obtenir votre consentement explicite pour procéder au traitement de données personnelles relatives à l’origine ethnique, à la vie sexuelle ou l’orientation sexuelle, aux opinions politiques, aux croyances religieuses ou philosophiques, à l’appartenance à un syndicat ainsi qu’aux données de santé ou aux données génétiques ou biométriques.

7.2 Collecte, conservation et utilisation des renseignements personnels

Tel que précédemment mentionné, Imperial Tobacco ne conservera pas des renseignements personnels plus longtemps que cela est nécessaire pour mettre en œuvre les fins pour lesquelles ils ont été recueillis et Imperial Tobacco prendra les mesures raisonnables pour faire connaitre à l’avance la période pendant laquelle ces renseignements personnels pourront être conservés ou les critères permettant de déterminer cette période.

7.3 Prise de décisions individuelles automatisées

Imperial Tobacco reconnaît que vous avez le droit de savoir si vos renseignements personnels sont traités par un système automatisé de prise de décision. Sur demande, Imperial Tobacco vous fournira l’information sur le fonctionnement de ce système automatisé. À moins que cela ne soit requis ou autorisé par la loi, vous avez le droit de refuser qu’une décision basée exclusivement sur un système automatisé soit prise à votre égard, lorsque cette décision a des conséquences légales pour vous.

7.4 Analyse d’impacts relative à la protection des renseignements personnels

Imperial Tobacco procèdera à une analyse d’impacts relative à la protection des renseignements personnels avant de mettre en œuvre des nouvelles technologies qui sont grandement susceptibles de porter atteinte à vos droits et libertés, incluant votre droit à la vie privée.

7.5 Droit à l’effacement

Lorsque la loi le prévoit, vous avez le droit de requérir d’Imperial Tobacco qu’elle procède au
retrait et à l’effacement de renseignements personnels, sans délai.

7.6 Exactitude et protection

Imperial Tobacco mettra en œuvre, avant de recueillir des renseignements personnels, des mesures techniques et organisationnelles appropriées pour assurer la protection des renseignements personnels telles que la limitation de la collecte et la pseudonymisation.

Imperial Tobacco ne partagera des renseignements personnels avec les autres membres du groupe BAT ou des agents, mandataires, consultants, entreprises de traitement de données ou fournisseurs de services externes que lorsque ceux-ci l’assurent que des mesures appropriées ont été mises en place afin de protéger les renseignements personnels. Le traitement de données personnelles par BAT ou les agents, mandataires, consultants, entreprises de traitement de données ou fournisseurs de services externes font l’objet d’un contrat ou d’un autre type de document légal.

7.7 Responsabilité

Imperial Tobacco s’assure qu’elle est responsable de la protection des renseignements personnels et qu’elle est en mesure de démontrer son respect du RGPD lorsqu’elle procède au traitement de renseignements personnels. À cette fin, elle tient un registre des traitements, lorsque cela est requis et procède à la formation de ses employés en matière de protection des renseignements personnels.

7.8 Procédure de plainte, droit d’accès ou de rectification

Imperial Tobacco prendra les mesures nécessaires pour faciliter l’exercice de votre droit d’accès, de rectification ou d’obtention de renseignements personnels. Vous pouvez toujours obtenir d’Imperial Tobacco la confirmation que des renseignements personnels vous concernant font l’objet d’un traitement.

Toute rectification ou effacement de renseignements personnels sera communiquée aux tiers auxquels ces renseignements auront été divulgués.

8. Interprétation et révision de la politique

L’interprétation de la présente politique relève de l’Agent(e) de protection des renseignements personnels. Dans l’éventualité où il y aurait une incohérence entre la présente politique et les lois canadiennes et provinciales en matière de vie privée, la présente politique devra être interprétée d’une manière qui est en conformité avec ces lois et qui leur donne plein effet.

Cette politique peut être mise-à-jour de temps à autre. Toute mise-à-jour ou révision sera rapidement mise à la disposition de tous les employés d’Imperial Tobacco ainsi qu’aux autres individus pouvant avoir accès aux renseignements personnels des employés d’Imperial Tobacco.

Entrée en vigueur le 21 Décembre 2012. Dernière mise à jour le 23 février 2021 (uniquement le titre de l’Agent(e) de protection des renseignement personnels ainsi que son adresse courriel ont été mis à jour. Aucun autre changement n’a été effectué au présent document depuis la dernière mise à jour faite le 14 janvier 2019).