POLITIQUE GLOBALE DE PROTECTION DE LA VIE PRIVÉE ET DES DONNÉES

OBJECTIF ET CHAMP D’APPLICATION

La protection de la vie privée des individus est essentielle à la réussite commerciale de Polycor et au respect des lois et réglementations en vigueur. La présente politique globale de protection de la vie privée et des données (la « Politique ») s’applique à tous les directeurs, cadres, gestionnaires et autres employés de Polycor Inc. et de chacune de ses filiales, ainsi qu’aux personnes entretenant une relation de type salarial avec Polycor. Tout au long de la Politique, ces entreprises seront désignées par le terme « Polycor » ou « l’Entreprise » et toutes les personnes auxquelles la Politique s’applique seront désignés par le terme « Employés ».

La Politique établit des processus et des procédures pour le programme de protection de la vie privée de Polycor, y compris les responsabilités des différents Employés et fonctions. L’objectif de la Politique est d’établir une structure permettant de gérer les risques de conformité, de réputation et autres liés à la confidentialité des données.

Les Employés sont tenus de préserver la confidentialité et la sécurité des données personnelles des Employés, des candidats et des consommateurs.

DÉFINITIONS ET TERMES RELATIFS À LA PROTECTION DE LA VIE PRIVÉE

Une « atteinte » aux renseignements personnels a le sens défini dans la loi applicable en matière de protection de la vie privée. En règle générale, une violation, également appelée « incident de confidentialité » (Québec), désigne la perte ou la destruction accidentelle, non autorisée ou illégale, l’accès, l’altération ou la divulgation de renseignements personnels résultant d’une violation des mesures de sécurité et de protection d’une organisation, ou d’un manquement à la mise en œuvre de ces mesures de sécurité ou de protection.

Les « données » sont des renseignements stockés électroniquement, sur un ordinateur ou dans des systèmes d’archivage sur papier.

Les « renseignements personnels » ou « données personnelles » sont tout renseignement concernant une personne physique identifiée ou identifiable (également appelée « personne concernée »). En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale sur la protection de la vie privée pour les organisations du secteur privé, et en vertu de la législation provinciale sur la protection de la vie privée (à l’exception du Québec), la définition des renseignements personnels s’étend aux personnes décédées jusqu’à 20 ans après leur décès. Au Québec et dans l’Espace économique européen (« EEE ») (y compris la France), la loi ne s’applique qu’aux personnes physiques vivantes.

Le « traitement » est tout usage qui est fait des données, ce qui peut inclure la manière dont elles sont utilisées, stockées, modifiées, consultées, divulguées, transférées, conservées ou détruites.

Les « renseignements personnels sensibles » sont les renseignements personnels qui impliquent des attentes élevées en matière de respect de la vie privée. Il peut s’agir, sans toutefois s’y limiter, de catégories de renseignements personnels telles que l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l’appartenance à un syndicat, les données génétiques, les données biométriques, les données financières, les données relatives à la santé ou à l’orientation sexuelle. Au Canada, tout renseignement personnel peut s’avérer sensible en fonction du contexte. Dans l’EEE, il existe un régime particulier pour les « catégories spéciales de données à caractère personnel », identifiées comme sensibles. Les données financières ne sont pas considérées comme relevant de ce régime.

RÔLES ET RESPONSABILITÉS

Tous les Employés ont un rôle à jouer dans le bon fonctionnement du programme de protection de la vie privée de Polycor et certains ont des tâches particulières à accomplir pour garantir la conformité.

Rôle	Responsabilités
Tous les Employés	Examiner et agir en conformité avec la présente Politique et les procédures connexes en vigueur. Identifier les pratiques commerciales qui ne sont pas conformes à la présente politique et les communiquer au responsable de la protection de la vie privée et des données.
Président-directeur général	Favoriser une culture d’Entreprise dans laquelle protection de la vie privée est valorisée. Désigner une personne responsable de la protection des renseignements personnels.
Autres cadres supérieurs	Veiller à ce que les opérations et les fonctions de soutien soient conformes aux lois et réglementations en matière de protection de la vie privée et à la présente Politique. Fournir les ressources nécessaires pour répondre aux exigences de la présente Politique et des procédures connexes en vigueur. Soutenir les Employés dans l’exercice de leurs responsabilités au titre de la présente Politique.
Responsable de la protection de la vie privée et des données	Élaborer, mettre en œuvre, superviser et approuver la stratégie, le cadre, les politiques et les procédures de protection des données, les évaluations des risques en matière de protection de la vie privée, les demandes liées aux droits en matière de protection de la vie privée et la formation. Contrôler et rendre compte de la conformité à la présente politique. Servir de point de contact entre Polycor et les autorités de réglementation en matière de protection de la vie privée.
Chef de la sécurité des technologies de l’information	Définir, mettre en œuvre, maintenir et appliquer les politiques, les procédures et les mesures de protection relatives aux technologies de l’information (TI) et aux systèmes électroniques d’enregistrement, en fonction de la sensibilité des données traitées. Recevoir les rapports d’incidents liés à la cybernétique ou à la technologie, à la protection de la vie privée et des données, diriger les mesures de confinement et les rapports, et soutenir les mesures d’atténuation et les enquêtes, le cas échéant.

PRINCIPES ET PROCÉDURES

1. Responsabilité

Polycor est responsable des renseignements personnels sous son contrôle, y compris des données partagées avec les fournisseurs de services (voir la section 8.1 « Fournisseurs de services et diligence des tiers »).

1.1. Personne responsable de la protection des renseignements personnels

La personne responsable de la protection des renseignements personnels chez Polycor est le responsable de la protection de la vie privée et des données, qui est désigné par le président-directeur général à titre de responsable de la conformité de Polycor avec les lois sur la confidentialité des données. Le responsable de la protection de la vie privée et des données est responsable de la protection des renseignements personnels des Employés, des candidats et des consommateurs. Le responsable de la protection de la vie privée et des données peut déléguer certaines de ses responsabilités en cas de besoin, comme la délégation des mesures de protection techniques au chef de la sécurité informatique.

France/EEE

Polycor ne répond pas à l’exigence du RGPD de désigner un délégué à la protection des données, mais la Commission Nationale de l’Informatique et des Libertés (CNIL) a encouragé toutes les organisations exerçant des activités en France à désigner un délégué à la protection des données.

2. Transparence

Polycor publiera, dans un endroit et format facilement accessibles, des renseignements détaillés sur ses politiques et pratiques en matière de protection de la vie privée, dans un langage clair et simple.

2.1. Avis de confidentialité

Polycor fournira des renseignements sur ses pratiques en matière de protection de la vie privée par le biais d’avis de confidentialité, qui seront affichés sur les sites web et là où les renseignements personnels sont recueillis. Au minimum, les avis de confidentialité comprendront (s’il y a lieu) :

• Le titre et les coordonnées du responsable de la protection de la vie privée et des données.
• Les raisons pour lesquelles les renseignements personnels sont recueillis.
• Les moyens et/ou les sources par lesquels les renseignements personnels sont recueillis.
• Une liste des catégories d’entités auxquelles les renseignements personnels sont divulgués et le but de la divulgation.
• Les informations relatives aux transferts de renseignements personnels en dehors de la juridiction.
• Les droits des individus en matière de protection de la vie privée.
• Les périodes de conservation des renseignements personnels.
• L’existence d’une prise de décision automatisée (sans intervention humaine), si elle existe.
• L’utilisation de technologies incluant des fonctions d’identification, de localisation ou de profilage, et les moyens disponibles pour désactiver ces fonctions.
• Les informations de contact pour soumettre une demande d’accès à l’information.

France/EEE (en plus de ce qui précède)

• Les motifs légaux du traitement des données.

Lorsque les renseignements personnels sont recueillis par des moyens technologiques, Polycor publiera un avis de confidentialité numérique sur son site Web.

3. Limitation de la collecte et de l’utilisation

La collecte et l’utilisation de renseignements personnels se limiteront aux données nécessaires pour permettre à Polycor pour mener à bien ses activités. Les fins auxquelles les renseignements personnels sont recueillis doivent être précisées par Polycor avant ou au moment de la collecte des données. Le traitement des renseignements personnels doit être licite et ne doit pas donner lieu à un traitement injuste, contraire à l’éthique ou discriminatoire, contraire au droit en matière de droits de la personne.

Si Polycor décide d’utiliser des renseignements personnels à de nouvelles fins après que ces renseignements aient été recueillis ou générés, elle informera les personnes concernées du nouveau traitement envisagé et obtiendra leur consentement si nécessaire. En France et dans l’EEE, il s’agit notamment d’informer la personne concernée des motifs juridiques justifiant le traitement des données.

Polycor prendra en compte les incidences sur la vie privée dès la phase de conception des initiatives, afin de minimiser les incidences négatives sur les renseignements personnels.

4. France/EEE – Fondement juridique du traitement (suite)

• Exécution d’un contrat – Le traitement est nécessaire à l’exécution d’un contrat auquel la personne est partie, ou pour prendre des mesures à la demande de la personne concernée avant de conclure un contrat.
• Obligation juridique – Le traitement est nécessaire au respect d’une obligation juridique à laquelle Polycor est soumise.
• Protection des intérêts vitaux – Le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne.
• Pour l’intérêt public – Le traitement est nécessaire à l’exécution d’une tâche effectuée dans l’intérêt public ou dans l’exercice de l’autorité publique.
• Intérêts légitimes de Polycor ou d’un tiers – Le traitement est nécessaire aux fins des intérêts légitimes de Polycor ou d’un tiers, sauf si les intérêts ou les libertés et droits fondamentaux de la personne concernée l’emportent sur ces intérêts.

5. Consentement

Polycor doit obtenir le consentement d’une personne avant ou au moment de la collecte de renseignements personnels. Le consentement doit être clair, éclairé et sans ambiguïté, et doit être donné librement. Le consentement doit être explicite, sauf lorsque la loi permet de se fier à un consentement implicite, en tenant compte des attentes raisonnables de la personne concernée et de la sensibilité des renseignements personnels. Polycor ne doit pas, comme condition à la fourniture d’un produit ou d’un service, exiger d’une personne qu’elle consente au traitement de ses renseignements personnels au-delà de ce qui est nécessaire pour atteindre l’objectif pour lequel ils ont été recueillis.

5.1. Renseignements personnels sensibles

Polycor doit exiger un consentement explicite lorsqu’elle recueille des renseignements personnels sensibles en vue de leur traitement.

5.2. Marketing, témoins et suivi en ligne

Le département marketing de Polycor, conformément aux lignes sur la protection de la vie privée en matière de marketing adoptées de temps à autre, gère les procédures visant à répondre aux demandes de refus d’utilisation des données personnelles à des fins de marketing, de publicité, d’analyse, de vente de renseignements personnels à des tiers pour leurs propres fins ou d’utilisation de témoins non essentiels.

5.3. Retrait du consentement

Une procédure permettant aux consommateurs de choisir de refuser l’utilisation de leurs données à des fins de marketing ciblé, de publicité ou d’analyse sera gérée par le département de marketing de Polycor.

Les personnes seront informées de leur droit de retirer leur consentement à l’utilisation de leurs renseignements personnels à des fins de prospection et à d’autres fins non nécessaires à l’objectif de la collecte. Les personnes en France et dans l’EEE qui retirent leur consentement pour des activités de traitement nécessaires au respect d’obligations contractuelles ou légales ou pour d’autres motifs juridiques de traitement seront informées des conséquences au moment de leur retrait.

5.4. Canada

• Le consentement peut être explicite ou implicite selon les circonstances et le type de renseignements personnels, en tenant compte des attentes raisonnables de la personne concernée.
• Le consentement doit être explicite lors du traitement de renseignements personnels sensibles.
• Le consentement peut être retiré à tout moment, sous réserve de restrictions légales ou contractuelles et d’un préavis raisonnable.

Canada – Exceptions au consentement :

• La collecte et l’utilisation sont clairement dans l’intérêt de la personne concernée et le consentement ne peut être obtenu en temps utile.
• La collecte et l’utilisation avec consentement compromettraient la disponibilité ou l’exactitude des renseignements liés à une enquête sur une violation d’un accord ou une infraction à la loi.
• La divulgation est nécessaire pour se conformer à une citation à comparaître, à un mandat, à une ordonnance d’un tribunal ou aux règles de procédure relatives à la production de documents.
• La divulgation est raisonnable aux fins d’une enquête sur une violation d’un accord ou une infraction à la loi qui a été, est en train ou est sur le point d’être commise, et il est raisonnable de s’attendre à ce que la connaissance ou le consentement de la personne concernée compromette l’enquête.
• La divulgation est raisonnable aux fins de la détection ou de la suppression d’une fraude ou de la prévention d’une fraude susceptible d’être commise, et il est raisonnable de s’attendre à ce que la connaissance ou le consentement de la personne concernée compromette la capacité de prévenir, détecter ou réprimer la fraude.
• La collecte, l’utilisation ou la divulgation est requise par la loi.

Uniquement au Québec (en plus de ce qui précède pour le Canada) :

• Le consentement doit être demandé pour chaque finalité.
• Lorsqu’une demande de consentement est faite par écrit, elle doit être présentée séparément de toute autre information.
• Le consentement ne sera valable que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé.

Québec – Exceptions au consentement :

• La communication des renseignements personnels est nécessaire à la conclusion d’une transaction commerciale.
• À des fins d’étude et de recherche.

5.5. France/EEE

• Comme décrit dans la section 4 « Base juridique du traitement », le consentement est l’un des fondements juridiques pour le traitement des renseignements personnels. Polycor limitera l’utilisation du consentement comme fondement juridique du traitement aux circonstances où il n’existe aucun autre fondement juridique raisonnable.
• Le consentement ne doit être valable qu’aux fins précisées.
• Polycor exigera soit un acte affirmatif clair pour obtenir le consentement et respectera le choix d’une personne concernée de mettre fin à la partie du traitement de ses renseignements personnels permise par son consentement si elle en fait la demande.
• Le consentement doit être explicite pour le traitement de catégories particulières de renseignements personnels.

France/EEE – Exceptions au consentement :

• Lorsqu’il existe un autre fondement juridique pour le traitement, le consentement peut ne pas être requis.

5.6. États-Unis

• Lors de l’obtention du consentement, Polycor exigera une action affirmative de la part de la personne concernée pour signifier son accord au traitement de ses renseignements personnels.
• Polycor obtiendra un consentement explicite lorsque des renseignements personnels sont divulgués ou vendus à un tiers, lorsque ces données seront utilisées aux fins du tiers et que Polycor n’aura plus de contrôle sur le traitement de ces données.

6. Registre des données (France/EEE uniquement)

Comme l’exige la loi, Polycor doit conserver des dossiers sur les renseignements personnels qu’elle recueille et traite en tenant un registre de données. Les Employés responsables des fonctions opérationnelles qui traitent les renseignements personnels doivent utiliser le modèle de registre de données et tenir à jour le registre de données pour l’exercice de leur fonction. Le registre de données doit être revu régulièrement (au moins une fois par an).

7. Analyse

Polycor peut utiliser différentes stratégies et différents outils, comme la modélisation statistique et les algorithmes, pour effectuer des analyses dans le but de créer des informations significatives à partir des renseignements personnels.

7.1. Anonymisation et pseudonymisation

Dans la mesure du possible, Polycor utilisera des techniques de pseudonymisation ou d’anonymisation afin de réduire le risque lié au traitement des renseignements personnels. Les données pseudonymisées sont toujours considérées comme étant des renseignements personnels. En rendant les renseignements personnels anonymes, Polycor peut continuer à traiter les données à des fins autres que celles pour lesquelles les renseignements personnels ont été recueillis ou générés à l’origine.

7.2. Prise de décision automatisée et profilage

Lorsqu’il existe une prise de décision automatisée ou un profilage, Polycor informera les personnes concernées que leurs renseignements personnels sont utilisés pour la prise de décision automatisée et le profilage, et leur permettra de contester les décisions prises uniquement par des moyens automatisés. Des efforts doivent être faits pour éviter les effets discriminatoires dans les décisions automatisées et pour prévenir les préjugés indirects. Polycor n’utilisera pas de caractéristiques personnelles (telles que l’âge, la race, l’origine ethnique) dans les décisions automatisées.

France/EEE

Polycor permettra aux particuliers de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui a un effet juridique ou significatif sur eux.

8. Divulgation des données et transferts transfrontaliers de données

Polycor ne partagera les renseignements personnels qu’avec les utilisateurs commerciaux, les fournisseurs de services et les catégories de tiers identifiés dans les avis de confidentialité. Les personnes concernées doivent être informées que leurs renseignements personnels peuvent être envoyés dans un pays étranger à des fins de traitement et qu’ils peuvent être accessibles aux tribunaux et aux autorités chargées de l’application de la loi et de la sécurité nationale de cette juridiction.

8.1. Fournisseurs de services et diligence des tiers

Polycor maintiendra un programme de diligence raisonnable à l’égard des tiers afin de s’assurer que la protection de la vie privée est prise en compte à toutes les étapes du cycle de vie des données, même lorsqu’elles sont traitées par un tiers sous-traitant. Le programme comprendra :

• Sélection – Un questionnaire sur les risques à remplir au cours du processus de sélection et avant l’intégration d’un tiers.
• Intégration – Le libellé du contrat doit inclure des dispositions relatives aux obligations des tiers, aux sous-traitants et aux filiales, ainsi qu’à la sécurité des données.
• Contrôle continu – Polycor adoptera une approche fondée sur le risque pour le contrôle continu des sous-traitants tiers afin de s’assurer de leur conformité continue aux conditions contractuelles.
• Gestion des départs – Polycor veillera à ce que tous les renseignements personnels détenus par le tiers soient renvoyés ou détruits conformément au contrat ou à la loi, et à ce que l’accès à ces renseignements personnels soit supprimé.

8.2. Transferts transfrontaliers de données

8.2.1. Canada

Polycor ne transférera les renseignements personnels que si elle est convaincue qu’ils seront adéquatement protégés par voie contractuelle ou autrement, à condition que cela entraîne un niveau de protection qui respecte ou dépasse les exigences légales et la présente politique.

Uniquement au Québec

Avant de transférer des renseignements personnels concernant des résidents du Québec à l’extérieur de la province de Québec, Polycor procédera à une évaluation des impacts relatifs à la vie privée, en tenant compte des éléments suivants :

• La sensibilité des renseignements personnels
• Les fins auxquelles les renseignements personnels seront utilisés
• Les mesures de protection, y compris les protections contractuelles, qui s’appliqueraient
• Le cadre juridique applicable dans la juridiction dans laquelle les renseignements personnels seraient communiqués, en particulier les lois et les règlements de protection des données de cette juridiction

8.2.2. France/EEE

Avant de transférer des renseignements personnels en dehors de l’EEE, Polycor devra:

• Déterminer s’il existe une « décision d’adéquation » pour le pays tiers vers lequel les renseignements personnels seront transférés. Dans l’affirmative, Polycor peut transférer les données.
• Lorsqu’il n’existe pas de « décision d’adéquation », Polycor devra réaliser une évaluation des impacts relatifs aux transferts et s’assurer qu’une autre mesure de protection appropriée en vertu du Règlement général sur la protection des données et de la Loi sur la protection des données (France) est en place, telle que des clauses contractuelles approuvées par la Commission européenne, des règles d’entreprise contraignantes, l’adhésion à un code de conduite ou à un mécanisme de certification acceptable.

9. Conservation et destruction

Polycor ne conservera les renseignements personnels que pendant la période nécessaire à leur traitement aux fins pour lesquelles ils ont été recueillis, et maintiendra un cadre pour la conservation et la destruction des renseignements personnels conformément à sa procédure de conservation des données. Polycor ne conservera pas les renseignements personnels à des fins potentielles futures, à moins que les données ne soient manifestement nécessaires à l’entreprise ou autorisées par la loi. Polycor peut conserver les données rendues anonymes pendant une période plus longue.

10. Exactitude

Polycor doit conserver les renseignements personnels aussi exacts, complets et à jour que l’exigent les fins auxquelles ils seront traités. Polycor prendra toutes les mesures raisonnables pour que les données inexactes soient rectifiées ou supprimées sans délai. Les personnes concernées seront informées de leur responsabilité en ce qui concerne la mise à jour de leurs renseignements personnels.

11. Mesures de protection

Polycor adoptera les mesures organisationnelles, physiques et techniques appropriées pour s’assurer que les renseignements personnels sont sécurisés et protégés contre l’accès non autorisé ou illégal, le traitement et la perte, la destruction ou l’endommagement accidentels. Cela comprend les conditions dans lesquelles Polycor peut divulguer des renseignements personnels tant à l’interne qu’à l’externe. Les mesures de sécurité doivent être raisonnables par rapport aux éléments suivants :

• Le degré de sensibilité des renseignements personnels.
• Les objectifs pour lesquels les renseignements personnels seront utilisés.
• La qualité et la diffusion des renseignements personnels.
• Le support sur lequel les renseignements personnels sont stockés.

Polycor maintiendra un programme de sécurité de l’information pour gérer la sécurité des données électroniques. Les renseignements personnels stockés sur papier, sur des clés de mémoire, sur des disques durs portables ou sur d’autres supports de stockage amovibles doivent être conservés dans des classeurs ou des tiroirs verrouillés lorsqu’ils ne sont pas utilisés par les Employés autorisés.

11.1. Accès

Polycor limitera l’accès aux renseignements personnels aux personnes qui ont besoin de les connaître pour s’acquitter de leurs fonctions ou de leurs services. Les renseignements personnels ne doivent être utilisés qu’à des fins autorisées telles que décrites dans les avis de confidentialité ou conformément à la loi.

11.2. Intervention en cas de violation

Tous les Employés doivent informer le responsable de la protection de la vie privée et des données de toute violation présumée ou avérée des données en envoyant un courrier électronique à l’adresse suivante : privacy@polycor.com. Polycor mettra en œuvre une procédure d’intervention en cas de violation afin de gérer le traitement des violations de données relatives aux renseignements personnels. La procédure comprendra les rôles et les responsabilités des parties prenantes, les éléments à prendre en compte pour l’évaluation d’une violation présumée, les seuils et les critères de notification aux autorités réglementaires, aux personnes concernées et à d’autres organisations, le cas échéant, y compris :

11.2.1. Canada

• Notification obligatoire au Commissariat à la protection de la vie privée du Canada, à la Commission d’accès à l’information du Québec ou à toute autre autorité réglementaire compétente, dans les meilleurs délais, de toute violation entraînant un « risque réel de préjudice grave ».
• Notification obligatoire aux personnes concernées, dans les meilleurs délais, de toute violation entraînant un « risque réel de préjudice grave ».
• Notification obligatoire à toute autre organisation ou institution gouvernementale susceptible de réduire le risque de violation. (facultatif pour le Québec)
• Polycor conservera un registre des violations pour une durée d’au moins cinq ans (au Québec) ou vingt-quatre mois (dans le reste du Canada).

11.2.2. France/EEE

• Notification obligatoire à l’autorité réglementaire compétente dans les meilleurs délais et, dans la mesure du possible, au plus tard 72 heures après avoir pris connaissance de l’incident.
• Communication à la personne concernée sans délai indu lorsque la violation des données est susceptible d’entraîner un risque élevé pour les droits et libertés de la personne.

11.2.3. États-Unis

• Les lois américaines sur la notification des violations de données varient entre les 50 États et territoires des États-Unis. Chaque loi doit être appliquée à chaque scénario factuel pour déterminer si une obligation de notification est déclenchée.
• Polycor se tiendra informée des exigences de chaque État en matière de notification aux personnes et aux organismes gouvernementaux ou réglementaires, transmettra les notifications ainsi requises le plus rapidement possible et sans délai déraisonnable, et dans le nombre de jours imparti après avoir été informée de l’incident.

12. Droits individuels à la vie privée

Tous les Employés doivent informer le responsable de la protection de la vie privée et des données de toute demande d’exercice des droits à la vie privée émanant d’un autre Employé, d’un candidat, d’un consommateur ou d’une autre entité autorisée, en lui envoyant un courrier électronique à l’adresse suivante : privacy@polycor.com.

Polycor mettra en œuvre une procédure relative aux droits en matière de protection de la vie privée afin de permettre aux personnes d’exercer leurs droits en matière de protection des données. La procédure comprendra une description des droits en fonction de la juridiction de résidence de la personne concernée, avec les exceptions applicables. Les droits peuvent inclure, sans s’y limiter :

• Le droit d’être informé de la manière dont Polycor utilise les renseignements personnels, y compris l’existence d’une prise de décision automatisée et d’un profilage.
• Le droit d’accéder à une copie des renseignements personnels que Polycor détient sur une personne.
• Le droit de rectification, pour demander à Polycor de corriger toute inexactitude ou incomplétude dans les renseignements personnels détenues.
• Le droit de s’opposer à la manière dont Polycor utilise les renseignements personnels d’une personne concernée, y compris le traitement à des fins de marketing direct, de traitement automatisé ou de profilage, ou à d’autres fins.
• Le droit à l’effacement des renseignements personnels dans certaines circonstances.
• Le droit de demander le transfert de certains renseignements personnels à une autre organisation dans un format électronique commun.
• Le droit de déposer une plainte ou de contester le respect par Polycor des lois sur la protection de la vie privée.

13. Évaluation des facteurs relatifs à la vie privée

Polycor mettra en œuvre une procédure d’évaluation des facteurs relatifs à la vie privée (EFVP) afin d’évaluer et de gérer systématiquement les risques pour la vie privée, lorsque le traitement est susceptible d’entraîner un risque élevé pour les personnes, et d’atténuer ce risque. La procédure comprendra les éléments suivants :

• Examen initial pour déterminer si des renseignements personnels sont concernés.
• Examen secondaire pour déterminer si une évaluation EFVP approfondie est nécessaire.
• Préparation d’une EFVP fournissant des informations sur le projet, des questions relatives au traitement des renseignements personnels, une évaluation des risques en matière de confidentialité des données ainsi qu’une documentation sur l’acceptation et l’approbation des risques.

14. Enfants

Polycor ne recueillera pas sciemment les renseignements personnels d’enfants n’ayant pas atteint l’âge du consentement dans la juridiction concernée. Dans le cas où les informations personnelles des enfants sont nécessaires, le consentement des parents sera demandé.

14.1. Canada

Aucun âge minimum n’est indiqué, mais le consentement d’un parent ou d’un tuteur est généralement requis pour les enfants de moins de 13 ans (sauf au Québec, où le consentement à la collecte de renseignements personnels concernant un mineur de moins de 14 ans doit être donné par le titulaire de l’autorité parentale, à moins que la collecte des données ne soit manifestement dans l’intérêt du mineur).

14.2. France/EEE

L’âge minimum pour le consentement des mineurs est de 16 ans. Les États membres peuvent prévoir un âge inférieur à 16 ans, à condition que cet âge ne soit pas inférieur à 13 ans. En France, Polycor doit obtenir l’approbation du parent ou tuteur d’un mineur s’il est âgé de moins de 15 ans.

14.3. États-Unis

La loi sur la protection de la vie privée des enfants en ligne (Children’s Online Privacy Protection Act) (COPPA) s’applique aux sites web et aux services en ligne destinés aux enfants de moins de 13 ans.

15. Contrôle

Le programme de protection de la vie privée fera l’objet d’un suivi permanent et d’examens réguliers afin d’évaluer la conformité à la présente politique et aux processus connexes en vigueur. Polycor s’assurera de connaître et de réagir aux changements réglementaires et aux meilleures pratiques de l’industrie en matière de protection de la vie privée en suivant les développements externes et les changements dans le paysage des menaces et en révisant les avis, les politiques, les procédures et les processus relatif à la protection de la vie privée au moins une fois par an.

16. Formation

Polycor veillera à ce que tous les Employés soient informés de leur rôle et de leurs responsabilités en matière de protection des données par le biais de formation et de sensibilisation.