Politique sur la confidentialte

Déclaration de principe

Oncidium s’est engagé à collecter, utiliser et divulguer les renseignements personnels conformément à la législation en vigueur et d’une manière qu’une personne raisonnable jugerait appropriée dans les circonstances.

Champ d’application

Cette politique régit la collecte, l’utilisation, la divulgation et le traitement des renseignements personnels dans le cadre de l’activité commerciale d’Oncidium et de Cira Health Solutions.

Introduction

L’activité commerciale d’Oncidium est soumise à la législation applicable en matière de protection de la vie privée. La loi fédérale sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s’applique lorsque les renseignements personnels traversent les frontières provinciales et dans toutes les provinces et territoires, à l’exception de l’Alberta, de la Colombie-Britannique et du Québec. L’Alberta, la Colombie-Britannique et le Québec ont adopté des lois sur la protection de la vie privée fondées sur des principes similaires à ceux de la LPRPDE et qui s’appliquent dans chaque province. La présente politique est fondée sur les principes et les règles énoncés dans toutes les lois applicables en matière de protection de la vie privée.

Définitions (uniquement spécifiques à cette politique)

Renseignements personnels désigne les renseignements concernant une personne identifiable, mais ne comprennent pas les renseignements relatifs aux cartes professionnelles

Responsable de la protection de la vie privée désigne la ou les personnes nommées de temps à autre par Oncidium pour être responsables de la conformité d’Oncidium à la présente politique de protection de la vie privée et aux politiques connexes.

Renseignements accessibles au public désigne les renseignements qui sont censées être accessibles au public conformément à la législation applicable en matière de protection de la vie privée.

Renseignements relatifs à la carte professionnelle désigne les renseignements relatifs à la vie professionnelle ou à la profession d’une personne qui sont exclues de la définition des renseignements personnels dans la législation applicable en matière de protection de la vie privée - par exemple, le nom, le nom du poste, l’adresse et le numéro de téléphone au travail.

Violation des mesures de sécurité désigne la perte d’un accès non autorisé ou la divulgation non autorisée de renseignements personnels résultant d’une violation des mesures de sécurité d’Oncidium.

Les principes de protection de la vie privée

Politique 1 – Responsabilité

Oncidium est responsable de tous les renseignements personnels sous son contrôle et désignera une ou plusieurs personnes qui seront chargées de veiller à ce que l’organisation respecte la législation applicable en matière de protection de la vie privée ainsi que ses politiques et procédures.

La personne nommée pour être responsable de la conformité d’Oncidium sera désignée comme le responsable de la confidentialité. Oncidium désignera à ce titre une personne appropriée disposant d’une autorité suffisante au sein de l’organisation pour assurer la conformité.

Le ou la responsable de la protection de la vie privée peut être contacté(e) comme suit:

Agent de protection de la vie privée
3700 Avenue Steeles Ouest, Bureau 600
Vaughan (Ontario) L4L 8K8
Sans frais : 1-877-366-6816
Courriel : privacy@cloudmd.ca

Oncidium utilisera des mesures adéquates pour garantir que les renseignements personnels bénéficient d’un niveau de protection comparable lorsqu’elles sont traitées par un prestataire de services. Ceci se fera en appliquant une diligence raisonnable lors de la sélection de tiers, de la conclusion de contrats avec des tiers et de la collaboration avec des tiers.

Oncidium utilise actuellement un outil de relation client qui est hébergé aux États-Unis et qui peut être utilisé pour transmettre et stocker des renseignements personnels. Les employés, les entrepreneurs et les fournisseurs de services d’Oncidium peuvent également travailler depuis l’extérieur du Canada en utilisant les systèmes d’Oncidium qui sont hébergés au Canada. Les fournisseurs de services sont autorisés par Oncidium à recueillir, à utiliser et à divulguer des renseignements personnels pour faciliter la prestation du service.

Politique 2 - Détermination des objectifs

Oncidium identifiera les objectifs pour lesquels Oncidium collecte des renseignements personnels au moment, ou avant le moment, où les informations sont collectées auprès des personnes.

Oncidium peut choisir d’identifier ces objectifs oralement ou par écrit. Les notifications écrites seront utilisées chaque fois que cela sera possible. Les objectifs courants de la collecte sont les suivants:

• vérifier les circonstances entourant la perte, le dommage ou la blessure;
• vérifier le montant à payer pour les pertes, dommages ou blessures;
• vérifier la disponibilité des prestations payables en vertu de la police;
• vérifier les circonstances ayant conduit à la création du contrat d’assurance;
• protection d’Oncidium et/ou de l’assureur et/ou du client contre les inexactitudes;
• protection d’Oncidium et/ou de l’assureur et/ou du client contre la fraude

Oncidium peut choisir d’expliquer oralement les raisons pour lesquelles les renseignements personnels sont collectées, puis simplement placer une note dans le dossier des personnes concernées indiquant que cela a été fait.

Oncidium identifiera toute nouvelle finalité qui se présente au cours du traitement des renseignements personnels - et obtiendra un consentement préalable pour cette nouvelle utilisation - même si Oncidium a déjà identifié certaines finalités initiales. Toutefois, Oncidium ne le fera que lorsque la nouvelle finalité envisagée constitue réellement une « nouvelle » utilisation (c’est-à-dire lorsque la finalité proposée est suffisamment différente de la finalité initialement identifiée).

Politique 3 – Consentement

Oncidium obtiendra le consentement approprié des personnes pour la collecte, l’utilisation ou la divulgation de leurs renseignements personnels, sauf lorsque la loi prévoit une exemption.

Oncidium peut obtenir un consentement explicite pour la collecte, l’utilisation ou la divulgation de renseignements personnels ou déterminer que le consentement a été implicite en raison des circonstances. Tout consentement doit être éclairé et obtenu de manière équitable, sans tromperie.

Le consentement exprès est une autorisation affirmative donnée par la personne à Oncidium, soit oralement, soit par écrit. Les experts médicaux chargés d’évaluer une demande, par exemple, obtiennent généralement le consentement exprès des demandeurs.

Le consentement implicite est celui dans lequel Oncidium n’a pas reçu d’autorisation affirmative mais les circonstances font qu’il est raisonnable de croire qu’une personne comprend comment Oncidium va collecter, utiliser ou divulguer des renseignements personnels et qu’elle a donné son accord à Oncidium.

Le consentement écrit exprès implique que le/la client(e) :

• signe un formulaire de consentement
• fournisse une lettre, un formulaire de demande ou tout autre document autorisant certaines activités; et
• fournisse une autorisation par voie électronique (via un ordinateur)

Le consentement exprès, oral, peut être donné en personne ou par téléphone. Si Oncidium obtient un consentement oral exprès, Oncidium en fera mention dans le dossier.

Sous réserve d’exceptions légales, le consentement peut être retiré à tout moment. Oncidium exige généralement que ce retrait se fasse par écrit. Le fait de ne pas donner ou de retirer son consentement peut avoir des conséquences graves, telles que l’incapacité d’Oncidium à enquêter correctement sur une réclamation présentée ou sur les circonstances entourant une réclamation en responsabilité.

Selon qu’une nouvelle finalité est identifiée au cours du traitement des renseignements personnels, Oncidium peut choisir de demander un nouveau consentement.

Exceptions - certaines circonstances énoncées dans la législation applicable permettent à Oncidium de recueillir, d’utiliser ou de divulguer des renseignements personnels sans consentement. La portée des exceptions varie dans chaque loi applicable.

Politique 4 - Limitation de la collecte

Les renseignements personnels recueillis par Oncidium se limitent à ceux qui sont nécessaires aux fins identifiées par Oncidium.

Oncidium ne recueillera des renseignements personnels qu’à des fins spécifiques et légitimes. Oncidium ne recueillera pas de renseignements personnels sans discernement.

Oncidium ne recueillera des renseignements que par des moyens équitables et légaux et non en trompant ou en induisant en erreur les personnes quant à la finalité de la collecte de renseignements.

Les politiques et procédures d’Oncidium relatives aux limitations de la collecte de renseignements personnels seront communiquées aux membres du personnel qui collectent des renseignements personnels.

Oncidium peut avoir besoin d’obtenir des renseignements personnels sur des personnes auprès de tierces personnes, par exemple les personnes identifiées dans un formulaire de consentement.

Politique 5 - Limitation de l’utilisation, de la divulgation et de la conservation des données

Les renseignements personnels ne seront pas utilisés ou divulgués à des fins autres que celles pour lesquelles ils ont été recueillis, sauf avec le consentement de la personne concernée ou si la loi l’exige. Oncidium ne conservera les renseignements personnels que le temps nécessaire à la réalisation de ces objectifs.

Oncidium n’utilisera ou ne divulguera les renseignements personnels qu’à des fins légitimes et identifiées.

Oncidium ne conservera les renseignements personnels que le temps nécessaire à la réalisation des objectifs pour lesquels elles ont été collectées.

Oncidium établira des périodes de conservation minimales et maximales pour les dossiers contenant des renseignements personnels sur les assurés, les demandeurs et les clients.

Les renseignements personnels qui ont été utilisés pour prendre une décision au sujet d’une personne seront conservés suffisamment longtemps pour permettre à la personne d’y avoir accès une fois la décision prise.

Les renseignements personnels qui ne sont plus nécessaires pour atteindre les objectifs fixés seront détruits, effacés ou rendus anonymes. Voir la politique 7 – Sauvegardes.

Politique 6 - Précision

Les renseignements personnels recueillies par Oncidium seront aussi exactes, complètes et à jour que nécessaire pour les fins auxquelles elles sont destinées.

Oncidium prendra, en permanence, des mesures raisonnables pour garantir l’exactitude et l’exhaustivité des renseignements personnels sous sa responsabilité et son contrôle.

Les personnes qui fournissent leurs renseignements personnels à Oncidium doivent le faire de manière précise et complète. L’objectif d’Oncidium est de minimiser la possibilité que des renseignements inexacts soient utilisés pour prendre une décision concernant toute personne dont les renseignements personnels sont traités par Oncidium.

Le processus visant à garantir l’exactitude et l’exhaustivité des données comprendra les éléments suivants:

• collecte initiale auprès de l’assureur ou d’un autre donneur d’ordre, de préférence par écrit
• contact avec le demandeur/la demandeuse/l’assuré(e)/client(e) ou témoin et, le cas échéant, consignation des informations dans une déclaration ou par lettre ou courrier électronique
• vérification de l’exactitude, le cas échéant, en contactant des tiers (par exemple, les autorités chargées de l’immatriculation des véhicules à moteur et des permis de conduire, la police, les services d’incendie, les services d’incendie, les autorités compétentes, les courtiers d’assurance, d’autres experts et toute autre partie qui peut prouver le type et la nature d’un événement ou d’une circonstance), y compris la date, l’heure et le lieu des personnes qui ont pu être présentes et sur lesquelles l’assuré(e), le demandeur/la demandeuse ou le/la client(e) se fonde pour étayer sa demande d’indemnisation en cas de perte, de dommage ou de blessure
• facilitation des évaluations effectuées par des professionnels de la santé compétents

Policy 7 – Sauvegardes

Oncidium protégera les renseignements personnels sous son contrôle d’une manière adaptée à la sensibilité de ces renseignements.

Oncidium protège les renseignements personnels, quel que soit le format dans lequel ils sont conservés, contre la perte ou le vol, ainsi que contre l’accès, la divulgation, la copie, l’utilisation ou la modification non autorisés.

Les renseignements plus sensibles seront protégés par un niveau de protection plus élevé.

Pour déterminer les mesures de protection appropriées, Oncidium tiendra compte de tous les facteurs pertinents tels que, par exemple :

• la sensibilité de l’information;
• la quantité d’informations détenues;
• le format dans lequel l’information est conservée ; et
• les risques prévisibles

Lors du transfert de renseignements personnels à un tiers, Oncidium supprimera ou masquera toute information qui n’est pas raisonnablement nécessaire au tiers.

Les méthodes de protection d’Oncidium peuvent inclure :

• des mesures physiques, telles que des classeurs verrouillés et un accès restreint;
• des mesures organisationnelles, telles que les habilitations de sécurité et la limitation de l’accès sur la base du besoin de savoir;
• des mesures technologiques, telles que l’utilisation de mots de passe et de cryptage;
• des protocoles pour assurer la sécurité des dossiers physiques pendant les déplacements;
• des protocoles pour effectuer des tâches à distance;
• les règles régissant l’utilisation des mots de passe et des informations d’ouverture de session
• une communication régulière auprès des employés et d’autres personnes pour soutenir la sécurité des données.

Oncidium veillera à ce que les politiques et procédures de protection des renseignements personnels soient raisonnablement communiquées et accessibles aux employés par les moyens suivants :

• la formation du personnel sur le thème de la protection des renseignements personnels : et
• l’organisation de réunions périodiques du personnel au cours desquelles Oncidium examinera les procédures et les révisera le cas échéant.

Oncidium prendra des précautions raisonnables lors de l’élimination ou de la destruction des renseignements personnels afin d’empêcher les parties non autorisées d’avoir accès à ces renseignements. Ces mesures peuvent inclure destruction sécurisée de documents physiques et suppression d’informations stockées électroniquement d’une manière qui empêche leur récupération facile.

Tous les employés doivent signaler rapidement toute violation connue ou présumée des mesures de sécurité (tous les « incidents ») au/à la responsable de la protection de la vie privée. Oncidium enquêtera sur tous les rapports et répondra de manière appropriée en vue de comprendre les incidents, de les contenir, d’atténuer le potentiel de préjudice et d’améliorer les pratiques de sauvegarde afin d’éviter de futurs incidents.

Oncidium notifiera les personnes et les organismes de réglementation de toute violation des garanties de sécurité conformément aux lois et réglementations applicables, et notifiera les personnes lorsqu’il conclura qu’un incident donne lieu à un risque réel de préjudice important.

Politique 8 – Ouverture

Oncidium mettra à la disposition des individus des informations spécifiques sur les politiques et procédures relatives à la gestion des renseignements personnels qui sont sous le contrôle de la société.

Les personnes pourront se renseigner sur les politiques et les procédures sans effort déraisonnable.

Tous les membres du personnel sauront qui est la personne chargée de la protection de la vie privée afin que les membres du public puissent facilement être informés.

Oncidium peut choisir de rendre les informations sur les politiques et procédures disponibles de diverses manières, par exemple :

• l’envoi de renseignements par la poste;
• l’établissement d’une section primaire sur le site web;
• la mise en place d’un numéro de téléphone gratuit; ou
• l’établissement d’un libellé normalisé à inclure dans les lettres et les courriels adressés à l’assuré(e)/au demandeur/à la demandeuse/au client/à la cliente dans le cadre de leur première communication écrite.

 Les renseignements qu’Oncidium met à la disposition du public sont les suivants :

• le nom ou le titre et l’adresse du/ de la responsable de la protection de la vie privée;
• les moyens d’accéder aux renseignements personnels détenus par la Société;
• une description du type de renseignements personnels détenus par Oncidium et un compte rendu général de leur utilisation;
• des informations écrites expliquant la politique; et
• une liste générale des types de renseignements personnels mis à la disposition d’autres organisations (par exemple, les compagnies d’assurance et autres tiers)

Politique 9 – Accès individuel

Sur demande, une personne sera informée de l’existence, de l’utilisation et de la divulgation de ses renseignements personnels qui sont sous le contrôle d’Oncidium, et elle pourra avoir accès à ces renseignements et en contester l’exactitude et l’exhaustivité conformément à la loi applicable.

Oncidium agira en tant que mandataire de l’assureur ou de l’administrateur d’un régime auto-assuré et lorsqu’une personne demande par écrit à être informée du fait qu’Oncidium détient ou non des renseignements personnels à son sujet, Oncidium doit immédiatement transmettre cette demande à son donneur d’ordre et lui demander des instructions.

Dans la mesure où Oncidium n’est pas l’agent d’un donneur d’ordre, sur demande écrite, une personne sera informée du fait qu’Oncidium détient ou non des renseignements personnels la concernant. Si Oncidium détient de tels renseignements personnels, sur demande écrite, Oncidium fournira l’accès à ces renseignements, ainsi qu’un compte rendu général de leur utilisation, conformément à la loi applicable.

La manière dont l’accès sera accordé peut varier, en fonction du format dans lequel les renseignements sont détenus (c.-à-d., copie papier ou électronique), de la quantité de renseignements détenus et d’autres facteurs. Oncidium peut fournir des renseignements de source originale, mais pas la documentation qui ne fait que répéter ou incorporer les renseignements dans notre produit de travail interne.

Sur demande écrite, Oncidium fournira une liste des tiers auxquels Oncidium a pu divulguer les renseignements personnels d’une personne. Si Oncidium ne sait pas exactement quels tiers ont pu recevoir les renseignements, Oncidium fournira une liste des tiers susceptibles d’avoir reçu les renseignements en question

.

Les personnes devront fournir suffisamment de renseignements à Oncidium pour permettre à la Société de rendre compte de l’existence, de l’utilisation et de la divulgation des renseignements personnels.

La procédure à suivre pour faire une demande est la suivante:

• Toute demande doit être faite par écrit.
• Oncidium répondra à une demande dans les 30 jours suivant sa réception, à moins qu’Oncidium n’informe au préalable la personne qu’elle a besoin d’un délai plus long pour répondre.
• Raisons - Si Oncidium refuse une demande, Oncidium informera la personne par écrit du refus, en expliquant les raisons et les recours possibles, y compris la possibilité de déposer une plainte auprès du commissaire à la protection de la vie privée du Canada ou des commissaires à la protection de la vie privée provinciaux.
• Présomption de refus - Nonobstant les sous-paragraphes (2) et (3), si Oncidium ne répond pas dans le délai susmentionné, Oncidium sera considéré comme ayant refusé la demande.
• Frais de réponse - Oncidium peut exiger le paiement d’une somme modique pour couvrir les frais administratifs liés à la préparation d’une réponse (et le faire conformément à la loi applicable).

Il existe également des exceptions dans la législation applicable en matière de protection de la vie privée qui peuvent autoriser ou obliger Oncidium à refuser tout accès. La législation en vigueur peut, par exemple, permettre à Oncidium de refuser un accès dans les cas suivants:

• des renseignements personnels concernant une autre personne pourraient être révélés;
• des informations commercialement confidentielles pourraient être révélées;
• la vie ou la sécurité d’une personne pourrait être menacée;
• les renseignements ont été recueillis sans consentement à des fins liées à une enquête sur la violation d’un accord ou la contravention à la loi; ou
• les renseignements ont été générés au cours d’une procédure formelle de règlement des différends.

Politique 10 – Possibilité de porter plainte

Une personne peut s’adresser au/à la Responsable de la protection de la vie privée pour contester la conformité aux politiques et procédures susmentionnées.

Sur demande, les personnes qui souhaitent s’informer ou déposer une plainte sur la manière dont Oncidium a traité leurs renseignements personnels - ou sur les politiques et procédures d’Oncidium en matière de renseignements personnels - seront informées des procédures de plainte applicables.

Pour déposer une plainte, une personne doit informer Oncidium par écrit en fournissant des informations de base et une description de la nature de la plainte.

La procédure à suivre pour déposer une plainte concernant Oncidium est la suivante :

• une demande écrite doit être déposée auprès du responsable de la protection de la vie privée;
• Oncidium accusera immédiatement réception de la plainte;
• Oncidium désignera une personne pour enquêter;
• Oncidium donnera à la personne chargée de l’enquête un accès illimité aux dossiers et au personnel, etc.;
• Oncidium clarifiera les faits directement avec le/la plaignant(e), le cas échéant ; et
• Oncidium informera le/la plaignant(e), par écrit du résultat de son enquête, y compris des mesures prises pour rectifier le problème, le cas échéant.

Oncidium consignera toutes les plaintes, ainsi que les mesures prises en réponse aux plaintes, en notant ces détails dans le dossier de la personne concernée et dans un fichier principal de confidentialité.