Introduction

Avec la promulgation de la Loi 25, il est essentiel d’assurer que la gestion des données est effectuée de manière systématique et fiable afin de garantir la conformité aux exigences légales en matière de conservation, telles que celles énoncées dans les lois applicables en matière de protection des données et renseignements personnels. L’application des mesures de rétention des données réduisent également les coûts et les risques de divulgation associés à la conservation d’informations inutiles.

Cette politique de conservation des données et le calendrier de conservation des données qui l'accompagne ont été développés afin d'informer et aider Carrus Technologies (Carrus) ainsi que ses clients à gérer les données conservées soit par Carrus (via l’utilisation du service de stockage infonuagique offert aux clients de Carrus), soit directement par les clients de Carrus utilisant des versions de produits (SMS ou JMS) sur site où des registres sont tenus. Cette politique est transmise a titre de recommandation. Il est de la responsabilité de chaque client ou partenaires de Carrus de s’assurer d'être en conformité avec les lois applicables en matière de protection des données et renseignements personnels.

La politique et le calendrier présentent la durée proposée pendant laquelle différents types de données doivent être conservées et la manière dont ils doivent être stockés, transférés et détruits. Si vous avez des questions sur un élément de cette politique, contactez l'équipe du service client de Carrus Technologies.

Objectif

L’objectif de cette politique est d’aider les clients de Carrus Technologies à :

• identifier et capturer des enregistrements précis et authentiques,
• conserver des données pour répondre aux besoins commerciaux de Carrus et ses clients,
• éliminer les données qui ne sont plus nécessaires de manière appropriée,
• protéger les enregistrements vitaux, et
• se conformer aux exigences légales et réglementaires relatives à la conservation des données.

Qu'est-ce qu'une donnée ou un renseignement personnel ?

Un renseignement est personnel lorsqu’il concerne une personne physique et qu’il en permet, directement ou indirectement, l’identification. Voici ce qui le caractérise :

• il doit faire connaitre quelque chose à quelqu’un;
• il doit avoir un rapport avec une personne physique;
• il doit être susceptible de distinguer cette personne par rapport à une autre ou de reconnaitre sa nature.

Note : Cette définition inclut les employés.

Réf.: Gouvernement du Québec ( https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/definitions-concepts/concepts)

Rétention des données

Les enregistrements doivent être conservés aussi longtemps que l’exigent les lois et réglementations applicables et conformément à vos besoins commerciaux. Les périodes de conservation suggérées dans l'Annexe ont été établies par type de donnée afin de vous aider à répondre à ces besoins et exigences.

Si plusieurs types d’enregistrement décrivent la même donnée, Carrus suggère de conserver cette donnée conformément à la période de conservation la plus longue. Carrus pourrait dans le futur modifié le calendrier suggéré avec des types d'enregistrement supplémentaires, et ces mises à jour seront fournies à tous les clients de Carrus.

Carrus recommande que les données soient détruites ou anonymisées à l’expiration de la période de conservation pertinente, tel qu'indiqué dans l’annexe. Les données ne doivent idéalement pas être conservées plus longtemps que cette période, et elles doivent être éliminées ou anonymisées comme décrit ci-dessous sous « Élimination ou anonymisation des données ».

Duplicatas, sauvegardes et copies pratiques

Carrus recommande de conserver un duplicata d’une donnée uniquement lorsque requis pour des raisons professionnelles valables et jamais plus longtemps que la période de conservation applicable indiquée dans l'annexe ou toute période de suspension applicable.

Responsabilités

Il est entendu que le “responsable de l’enregistrement” est la personne ou le service qui a rédigé ou créé l’enregistrement, reçu un enregistrement créé en externe ou qui est autrement principalement responsable de l’enregistrement. Il est de la responsabilité du responsable de l’enregistrement de conserver correctement l’enregistrement et les données et de les éliminer / anonymiser en temps opportun et de manière appropriée.

Élimination ou anonymisation des données

Carrus recommande à tous ses clients de s’inspirer de la présente politique afin d'éliminer les enregistrements dans le cours normal des affaires. Une preuve d'élimination ou d’anonymisation des enregistrements devrait être conservée par le responsable de l’enregistrement.

Références

Gouvernement du Québec

https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/a-propos

ANNEXE - CALENDRIER DE CONSERVATION DES DONNÉES

Ce calendrier de conservation des données (enregistrements) accompagne et est inclus pour référence dans la politique de conservation des données Carrus. Il définit les périodes pendent lesquelles Carrus suggère de conserver les différents types de données / d’enregistrements à des fins commerciales et juridiques.

La liste des types d’enregistrements inclus dans cette annexe est une liste suggérée par Carrus, et les périodes de conservation suggérées sont basées sur une logique d’affaires ainsi que les exigences habituelles en lien avec les entreprises au Quec. Cette liste est non exhaustive et doit être utilisée comme aide à la compréhension de la loi 25. SVP vous référer au site du gouvernement du Québec pour plus d’informations.