Politique de Segma Recherche en matière de protection des renseignements personnels
Introduction
Segma Recherche est une entreprise qui se spécialise dans les secteurs de la recherche marketing et sociale et du sondage d’opinion publique. Dans ce contexte, Segma Recherche recueille et manipule, sur une base quotidienne, une multitude de renseignements (opinion, perception, habitude, caractéristiques sociales et démographiques) fournis par des individus ou des entreprises. La plupart du temps, l’individu qui nous a fourni l’information n’est pas identifiable. Toutefois, ceci n’est pas toujours le cas. Il arrive à l’occasion que nous puissions identifier (nom et numéro de téléphone ou adresse) l’individu ou l’organisation qui nous a fourni les renseignements. Dans ce cas, tous les renseignements fournis deviennent des renseignements dits personnels.
Au fil des années, Segma Recherche a mis en place plusieurs mécanismes pour protéger la confidentialité des renseignements dits personnels. Ce document présente ces mesures basées sur 10 principes interdépendants :
- La responsabilité;
- La détermination des fins de la collecte des renseignements personnels;
- Le consentement;
- La limitation de la collecte;
- La limitation de l’utilisation, de la communication et de la conservation;
- L’exactitude;
- Les mesures de sécurité;
- La transparence;
- L’accès aux renseignements personnels;
- La possibilité de porter plainte contre le non-respect des principes.
1. La responsabilité
Principe :
Un organisme est responsable des renseignements personnels dont il a la gestion et doit désigner une ou des personnes qui devront s’assurer du respect des principes énoncés ci-dessous.
Mesure(s) prise(s) par Segma Recherche :
Segma Recherche désigne M. Raynald Harvey, président, pour s’assurer du respect des mesures mises en œuvre pour encadrer la protection des renseignements personnels recueillis et traités par notre entreprise.
Celui-ci est responsable, au nom de Segma Recherche :
- De la mise en œuvre des mesures prises par Segma Recherche pour protéger les renseignements personnels détenus par l’entreprise;
- Du traitement des plaintes et des demandes d’accès aux renseignements personnels;
- De la formation du personnel et de la transmission au personnel de l’information relative aux pratiques de Segma Recherche en matière de protection des renseignements personnels;
- De la rédaction des documents explicatifs concernant les mesures prises par Segma Recherche pour protéger les renseignements personnels.
2. La détermination des fins de collecte des renseignements personnels
Principe :
Les fins pour lesquelles des renseignements personnels sont recueillis doivent être déterminées par l’organisme avant ou au moment de la collecte.
Mesure(s) prise(s) par Segma Recherche :
Sauf quelques exceptions, Segma Recherche recueille des renseignements personnels pour le compte de l’un de ses clients.
Dans ces cas, les fins pour lesquelles les renseignements personnels sont recueillis sont connues avant la collecte et documentées par le client de Segma Recherche, soit dans un appel d’offres, soit dans un devis de recherche ou encore consignées par un chargé de projet sur un document résumant l’entente verbale.
De plus, au moment de la collecte, lorsque l’intervieweur se présente, il précise également le but de l’étude avant d’obtenir le consentement du répondant.
En fait, tous les intervieweurs de Segma Recherche reçoivent une formation spécifique à chaque collecte de données. À cette formation, ils reçoivent les explications concernant le but de la collecte de renseignements de façon à ce qu’ils puissent être en mesure de l’expliquer clairement au répondant afin d’obtenir son consentement.
3. Le consentement
Principe :
Toute personne doit être informée et consentir à toute collecte, utilisation ou communication de renseignements personnels qui la concernent, à moins qu’il ne soit pas approprié de le faire.
Mesure(s) prise(s) par Segma Recherche :
Que ce soit pour des sondages téléphoniques, web ou en face à face, des groupes de discussion ou des entrevues en profondeur, la participation des répondants aux études réalisées par Segma Recherche est toujours volontaire et les intervieweurs de Segma Recherche ne forcent jamais aucun individu à répondre à un questionnaire ni même à une question en particulier. Également, en tout temps, le répondant peut mettre fin à une entrevue, sans préjudice de la part de Segma Recherche.
Pour les sondages téléphoniques, en face à face, les groupes de discussion et les entrevues en profondeur, le consentement du répondant est obtenu par l’intervieweur ou le recruteur une fois que ce dernier se soit présenté et ait expliqué le but de l’étude
Pour les sondages postaux et par internet, le fait que le répondant accepte de compléter et retourner un questionnaire démontre également leur consentement.
Par ailleurs, dans les situations où un client de Segma Recherche lui transmet une liste de ses clients actuels ou potentiels pour les fins d’un sondage, d’un groupe de discussion ou d’une entrevue personnelle, en aucun temps, Segma Recherche ne se porte responsable d’obtenir le consentement de ces individus ou organisations pour la transmission de cette information.
Cette responsabilité revient au client de Segma Recherche.
Sauf quelques rares exceptions, Segma Recherche ne transmet jamais de renseignements personnels à une tierce partie (autre que son client).
Même les bases de données renfermant des renseignements personnels sont anonymisées (retrait des renseignements pouvant identifier un individu) avant de les retourner à nos clients à moins d’une demande spécifique de notre client qui voudrait lui-même y ajouter de l’information à partir de ses bases de données internes. Ceci survient généralement lorsque l’information qu’il ajoute est très confidentielle et que notre client ne voulait justement pas nous la communiquer avec l’échantillon afin de protéger ces renseignements.
4. La limitation de la collecte
Principe :
L’organisme ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite.
Mesure(s) prise(s) par Segma Recherche :
Dans tous les mandats réalisés pour le compte de ses clients où des renseignements personnels sont fournis ou recueillis, Segma Recherche s’engage à ne recueillir aucun renseignement pour son usage ou pour tout usage autre que ce qui est nécessaire aux fins déterminées par/ou avec son client.
En d’autres mots, Segma Recherche ne se servira pas des sondages, groupes de discussion ou entrevues personnelles réalisés pour le compte de ses clients pour tenter d’obtenir des renseignements personnels des répondants et desquels Segma Recherche pourrait tirer profit.
5. La limitation de l’utilisation, de la communication et de la conservation
Principe :
Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des finalités déterminées.
Mesure(s) prise(s) par Segma Recherche :
Dans tous ses mandats, Segma Recherche s’engage à n’utiliser les renseignements recueillis à nulle autre fin que la réalisation des travaux requis par ses clients.
Chaque intervieweur de Segma Recherche doit signer un engagement à la confidentialité stipulant qu’il s’engage à n’utiliser des renseignements nominatifs que pour les besoins du mandat et qu’il s’expose à des représailles (suspension, congédiement, poursuite) s’il fait défaut à son engagement (voir annexe A).
Les fichiers et les copies papier contenant des renseignements personnels sont conservés tant et aussi longtemps que notre client ne nous donne pas l’autorisation écrite de les détruire.
La destruction se fait par déchiquetage pour les copies papier et par effacement logique avec un logiciel de réécriture pour les fichiers de données stockés sur le système informatique de Segma Recherche.
6. L’exactitude
Principe :
Les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins pour lesquelles ils sont utilisés.
Mesure(s) prise(s) par Segma Recherche :
Renseignements transmis par nos clients
L’exactitude des renseignements personnels fournis par nos clients dans les listes qu’ils nous transmettent pour des fins d’échantillonnage ou de recrutement est sous la responsabilité de nos clients.
Par contre, Segma Recherche vérifie toutes les listes qui lui sont fournies pour fin d’échantillonnage ou de recrutement pour s’assurer qu’elles contiennent toute l’information requise pour sélectionner l’échantillon. Dans le cas contraire, elles sont retournées au client pour corrections.
Personnel intervieweur fiable et compétent
L’assurance de l’exactitude des renseignements personnels recueillis par Segma Recherche commence par l’embauche d’un personnel compétent, une formation serrée et la conception de questionnaires ou de guide de discussion ou d’entrevue précis.
Segma Recherche a des critères très précis pour embaucher du personnel intervieweur compétent. Les candidats retenus :
- S’expriment de façon claire et confiante;
- Démontrent une capacité évidente de comprendre et d’intégrer les normes relatives à la conduite d’entrevue de sondage de qualité;
- Font preuve d’intégrité;
- Sont bilingues.
Dès leur embauche, chaque intervieweur reçoit 6,5 heures de formation générale sur la façon d’aborder et d’interroger les individus de façon à réduire les biais d’intervieweur au minimum.
Cette formation initiale est complétée par de la formation continue donnée par les superviseurs directement auprès des intervieweurs.
Puis, à chaque projet, le chargé de projet forme les intervieweurs sur le contenu du questionnaire spécifique au projet. Chaque question est lue et expliquée si nécessaire, de même que les choix de réponses et leur signification.
Questionnaires et guides clairs
Les questionnaires et les guides de discussion ou d’entrevues sont conçus par des conseillers ou chargés de projet puis révisés par un expert méthodologique pour s’assurer d’avoir des questions et des choix de réponses clairs, que la séquence des questions soit logique, qu’elle n’introduise pas de biais et que les sauts de questions ne comportent pas d’erreur.
Les questionnaires sont prétestés auprès d’un certain nombre de répondants pour vérifier, entre autres, la compréhension des questions et des choix de réponses et les sauts de questions.
Les questionnaires, avant et après le prétest, doivent être approuvés par le client.
Système de saisie éliminant les erreurs
Nos sondages téléphoniques sont réalisés à l’aide d’un système d’entrevue téléphonique assistée par ordinateur (CATI). Notre système importe directement les questionnaires en format Word pour éviter les erreurs de retranscription.
Il permet également une validation automatique des réponses fournies et saisies par les intervieweurs pour éviter toute erreur à ce chapitre.
Nos sondages par internet sont également réalisés à l’aide d’un système d’entrevue assistée par ordinateur qui est une adaptation de notre système CATI. Les mêmes fonctionnalités de validation de données sont disponibles pour éviter les erreurs de saisies.
Pour les sondages postaux ou en face à face, lors de la saisie des réponses, cette opération est faite en double avec comparaison (double saisie) pour éliminer les erreurs à cette étape.
7. Les mesures de sécurité
Principe :
Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.
Mesure(s) prise(s) par Segma Recherche :
Réception des renseignements personnels
Lors de la transmission et jusqu’à leur réception chez Segma Recherche, nos clients demeurent responsables de la sécurité des renseignements personnels qu’ils nous transmettent, par exemple, pour fins d’échantillonnage ou de recrutement.
Une fois reçus, les renseignements personnels sont transmis à un technicien en sondage affecté aux projets dits confidentiels et toute copie est effacée ou détruite suite à cette transmission interne.
Le technicien en sondage identifie spécifiquement les fichiers contenant des renseignements personnels de façon à ce qu’aucune copie de sécurité permanente ne soit prise automatiquement par notre système ultérieurement.
Les listes transmises sur papier sont, quant à elles, conservées sous clé jusqu’à leur utilisation et également à la fin de chaque journée, après qu’elles aient été utilisées.
Tous les employés qui seront appelés à manipuler les renseignements personnels doivent signer un engagement à la protection des renseignements personnels.
Mesures de sécurité informatique entourant le stockage des données
En cours d’utilisation et de collecte de renseignements supplémentaires, les renseignements personnels stockés sur le système sont protégés avec de multiples mesures de sécurité informatique.
Ces mesures de sécurité informatique sont revues périodiquement afin de les adapter aux évolutions de l’environnement, aux modifications des besoins de sécurité, aux progrès des techniques d’attaques ou à la découverte de nouvelles vulnérabilités.
Les mesures de sécurité informatiques de Segma Recherche permettent :
- D’assurer la disponibilité constante de tous ses outils informatiques;
- D’assurer l’intégrité des renseignements personnels qu’elle a stockés dans son système informatique;
- De préserver la confidentialité de ces renseignements personnels.
Pour atteindre le niveau de sécurité requis, Segma Recherche s’est fixé l’objectif suivant : protéger les systèmes informatiques de l’entreprise contre les risques et ce, d’une manière qui est adaptée à l’entreprise, à son environnement et à l’état de son outil informatique.
Identification et analyse des risques
Pour bien intégrer ces mesures de sécurité informatique, Segma Recherche identifie les risques et les menaces, qu’elles soient internes et externes ou même d’origine accidentelle ou intentionnelle; ce qui implique l’identification des systèmes informatiques vulnérables sur lesquels pèsent des menaces significatives.
Puis, pour chacun d’eux, Segma Recherche détermine le seuil critique afin d’évaluer le meilleur équilibre entre risques et coût de protection.
Les mesures prises pour…
… assurer la disponibilité constante de tous les outils informatiques de Segma Recherche :
- Désigner un technicien en informatique responsable de la maintenance du système informatique;
- Les serveurs de fichiers sont munis de systèmes RAID de disques redondants;
- Les serveurs de fichiers sont protégés des brèves pannes de courant par un UPS.
… assurer l’intégrité et la confidentialité des renseignements personnels que Segma Recherche a stockés dans son système informatique :
- Mise en place d’une procédure pour ne pas sauvegarder les fichiers contenant des renseignements personnels en multiples copies et ne les conserver qu’à un seul endroit.
- Mise en place de mesures de sécurité du réseau :
- Les deux bureaux de Segma Recherche disposent d’un accès internet indépendant;
- Tout le trafic entre le réseau local et internet passe obligatoirement par un coupe-feu PIX de Cisco, en limitant l’accès entrant au strict nécessaire, soit l’accès aux serveurs Web et de courrier électronique. Il n’y a donc aucun accès entrant possible vers les serveurs de fichiers, les ordinateurs personnels des employés et le bureau de Montréal. Les coupe-feux permettent l’accès sortant vers internet aux ordinateurs autorisés;
- La communication réseau entre les deux bureaux de Segma Recherche (Québec et Montréal) passe un lien crypté VPN (réseau privé virtuel) maintenu en permanence entre les PIX des deux bureaux;
- Il y a une surveillance automatique des messages d’activité réseau anormale des PIX.
- Mise en place de mesures de sécurité des serveurs :
- Les serveurs de fichiers et de base de données sur lesquels résident les données utilisées par nos applications de production ne sont pas accessibles de l’extérieur de Segma Recherche;
- L’accès à ces serveurs nécessite un compte utilisateur et un mot de passe qui ne sont accordés qu’aux techniciens qui en ont directement besoin;
- La salle des serveurs est toujours fermée à clé lorsque le technicien est absent de son bureau.
- Destruction des renseignements personnels en fin de projet :
- Sur autorisation écrite de notre client, nous détruisons les renseignements personnels (liste fournie, renseignements recueillis) à la fin du projet. Les fichiers peuvent être détruits en entier ou seuls les renseignements identifiant un répondant (par exemple le nom, le numéro de téléphone et/ou l’adresse) peuvent être détruits. Ceci est effectué en utilisant un logiciel d’effacement de données par réécriture.
8. La transparence
Principe :
Un organisme doit mettre à la disposition de toute personne des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels.
Mesure(s) prise(s) par Segma Recherche :
La politique de Segma Recherche en matière de protection des renseignements personnels peut être obtenue en adressant une demande écrite à l’adresse courriel info@segmarecherche.ca ou sur un hyperlien inclus dans les questionnaires web.
9. L’accès aux renseignements personnels
Principe :
Un organisme doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de la consulter. Il sera aussi possible de contester l’exactitude et l’état complet des renseignements et d’y faire apporter les corrections appropriées.
Mesure(s) prise(s) par Segma Recherche :
Lorsqu’un répondant demande à un intervieweur où il a pris son nom et son numéro de téléphone, l’intervieweur doit lui répondre franchement et donner la source de renseignements.
Si un répondant veut savoir et/ou consulter quels renseignements nous détenons à son sujet, il peut en faire la demande au chargé de projet qui verra à lui fournir dans un délai maximal d’une semaine.
Si un répondant veut apporter des corrections aux renseignements que notre client nous a transmis, nous le référons à ce dernier.
Si un répondant veut consulter et apporter des correctifs à ses réponses fournies à un sondage ou à un groupe de discussion, il doit en faire la demande au chargé de projet. Celui-ci pourra le faire tant et aussi longtemps que l’information permettant d’identifier le répondant n’aura pas été détruite suite à l’autorisation de notre client.
10. La possibilité de porter plainte contre le non-respect des principes
Principe :
Toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec le ou les individus responsables de les faire respecter au sein de l’organisme concerné.
Mesure(s) prise(s) par Segma Recherche :
Toute personne voulant se plaindre du non-respect des principes énoncés dans cette politique peut le faire par écrit ou par téléphone à M. Raynald Harvey, responsable de la politique.
Toutes les plaintes seront examinées sérieusement par Segma Recherche et les actions appropriées seront prises pour que les mesures soient appliquées.
Un registre des plaintes écrites sera développé et toute plainte formulée par écrit (incluant par courriel) y sera consignée pour une période minimale de 5 ans. Ce registre sera revu périodiquement par la direction de Segma Recherche pour vérifier si des améliorations peuvent être apportées à sa politique en matière de protection des renseignements personnels.