Politique cadre sur la protection des renseignements personnels

Dans le cadre de leurs activités, Groupe Grandio (13401537 Canada inc., ci-après la « Société mère »), ses filiales, sociétés et groupes de sociétés affiliées (collectivement, « Grandio »), traitent des renseignements personnels, notamment ceux des clients de leurs restaurants, des visiteurs de leurs sites web et applications, des membres de programmes de récompense, de leurs employés ainsi que des administrateurs et dirigeants. À ce titre, Grandio reconnaît l’importance de respecter la vie privée et de protéger les renseignements personnels qu’il détient.

Afin de s’acquitter de ses obligations selon la Loi sur la protection des renseignements personnels dans le secteur privé, Grandio s’est doté de la présente politique. Celle-ci énonce les principes-cadres applicables à la protection des renseignements personnels détenus tout au long de leur cycle de vie, les droits des personnes concernées et le rôle des parties prenantes dans la mise en oeuvre de la loi au sein de Grandio.

La présente politique complète la Politique de sécurité de l’information et de cybersécurité, sous l’angle de la protection des renseignements personnels.

La présente politique :

• énonce le cadre documentaire applicable aux renseignements personnels détenus par Grandio ;
• énonce les principes et les règles de gouvernance de Grandio à l’égard des renseignements personnels tout au long de leur cycle de vie ;
• définit les rôles et responsabilités des parties prenantes en matière de protection des renseignements personnels ;
• décrit les activités de formation et de sensibilisation que Grandio offre à son personnel.

La présente politique s’applique aux renseignements personnels recueillis ou détenus par la Société mère et à toute société ou groupe de sociétés affiliées qui détient des renseignements personnels dans le cadre de ses activités. Elle s’applique à toute personne qui traite des renseignements personnels pour ces sociétés. Lorsque la Société mère procède à l’acquisition d’une nouvelle société, cette dernière devra implanter le programme de protection des renseignements personnels au plus tard six mois suivant la clôture de la transaction, avec l’aide du comité PRP, au besoin.

La Société mère, les sociétés et groupes de sociétés affiliées incluent notamment :

• 13401537 Canada inc.
• Groupe Sportscene inc. et 13668843 Canada inc. (les restaurants La Cage – Brasserie sportive)
• Le Groupe Bistronomie inc.
• Restaurants Chez Lionel (Québec) inc. (les restaurants Chez Lionel – Brasserie française)
• Restaurants IRU (Québec) inc. (les restaurants IRU Izakaya – Brasserie japonaise)
• Le Groupe Restos Plaisirs inc. (notamment les restaurants Cochon Dingue, Le Ciel!, Lapin Sauté, Paris Grill et Café du Monde)
• 121657245 Canada inc. (le restaurant Moishes)
• 14707923 Canada inc. (le restaurant Gibbys)
• Niji Sushi Bar et Restaurant inc. (les restaurants Niji Sushi)
• 16096018 Canada inc. (les restaurant Il Teatro – Brasserie Italienne)
• 15679249 Canada inc. (les restaurants Brasseurs du Monde)
• Brasseurs du Monde inc. (la micro-brasserie)
• 9246-9394 Québec inc. (La Cage – Traiteur évènementiel)

Cette liste n’est pas exhaustive.

La conformité à cette politique est obligatoire et Grandio s’engage à la respecter.

Toute demande de dérogation à la présente politique doit être dûment justifiée et doit être soumise au RPRP pour approbation et communiquée au conseil d’administration de la Société mère par le RPRP. Une demande de dérogation est présentée et traitée conformément au cadre documentaire de Grandio, le cas échéant.

Cette politique est le document de référence du programme de conformité en matière de protection des renseignements personnels de Grandio, dont pourront découler des politiques, directives, procédures ou tout autre document couvrant des sujets comme :

• les modalités entourant l’exercice et le traitement des demandes de dérogation ;
• l’obtention de consentements valides ;
• la réalisation d’évaluations des facteurs relatifs à la vie privée ;
• la communication entre les entités de Grandio ;
• la communication à des tiers sans consentement ;
• la communication de renseignements personnels à l’extérieur du Québec ;
• l’exercice des droits des individus ;
• la conservation, l’archivage et la destruction ;
• le traitement des plaintes des individus.

Le programme de conformité de Grandio s’appuie sur un cadre documentaire défini comme suit :

• Politique-cadre. Elle énonce les principes directeurs de protection des renseignements personnels de Grandio et le mécanisme d’approbation des documents qui forment le cadre documentaire de Grandio.
• Politique interne ou directive. Elles visent à documenter les orientations, les exigences et les attentes quant à un sujet particulier, c’est-à-dire le « quoi faire ».
• Procédure, guide ou processus. Ils fournissent une séquence détaillée des étapes ou actions nécessaires à la mise en œuvre des directives ou politiques internes, c’est-à-dire le « comment faire ».

Aux fins de la présente politique, les termes suivants signifient :

« avis juste à temps » désigne l’avis de transparence donné à une personne concernée au moment où il lui est demandé de fournir ses renseignements personnels.

« cadre documentaire » désigne l’ensemble des documents d’encadrement juridique adoptés conformément à la présente politique pour mettre en œuvre le programme de protection des renseignements personnels de Grandio.

« CAI » désigne la Commission d’accès à l’information du Québec.

« comité de protection des renseignements personnels » ou « comité PRP » désigne le comité formé par la Société mère et qui veille à y assurer le respect et la mise en œuvre de la loi en matière de protection des renseignements personnels.

« coordonnées professionnelles » désigne les renseignements personnels qui concernent l’exercice d’une fonction au sein d’une entreprise, tel que le nom, le titre et la fonction, de même que l’adresse postale, électronique et le numéro de téléphone du lieu de travail.

« cycle de vie » désigne l’ensemble des étapes visant le traitement d’un renseignement personnel soit la collecte, l’utilisation, la communication, la conservation et la destruction.

« évaluation des facteurs relatifs à la vie privée » ou « ÉFVP » désigne la démarche visant à protéger les renseignements personnels et à respecter la vie privée des personnes physiques. Il s’agit d’une forme d’analyse d’impact. Elle est évolutive et doit être revue tout au long du projet.

« incident de confidentialité » désigne tout accès, utilisation ou communication non autorisée par la loi d’un renseignement personnel, ou toute perte ou autre atteinte à la protection de ce renseignement.

« loi » désigne la Loi sur la protection des renseignements personnels dans le secteur privé et tout règlement qui en découle.

« personne concernée » désigne une personne physique à qui se rapportent les renseignements personnels.

« président et chef de la direction de la Société mère » désigne la personne ayant la plus haute autorité au sein de la Société mère.

« profilage » désigne la collecte et l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.

« renseignement personnel » désigne toute information qui concerne une personne physique et qui permet de l’identifier directement — soit par le recours à cette seule information — ou indirectement — par combinaison avec d’autres informations.

« renseignement personnel à caractère public » désigne un renseignement personnel déclaré public par toute loi applicable.

« renseignement personnel sensible » désigne tout renseignement personnel qui — de par sa nature, notamment médicale, biométrique ou autrement intime, ou en raison de la manière dont il est utilisé ou communiqué — suscite un haut degré d’attente raisonnable en matière de vie privée.

« responsable de la protection des renseignements personnels » ou « RPRP » désigne la personne qui, au sein de la Société mère et de toute filiale et toute société affiliée à la Société mère, veille à y assurer le respect et la mise en œuvre de la loi en matière de protection des renseignements personnels.

La protection des renseignements personnels est assurée tout au long de leur cycle de vie dans le respect des principes suivants, sauf exception prévue par la loi. Les coordonnées professionnelles et les renseignements personnels à caractère public ne sont pas soumis aux principes directeurs.

6.1. Collecte

6.1.1. Grandio ne recueille que les renseignements personnels nécessaires à la réalisation de ses activités. Avant de recueillir des renseignements personnels, Grandio détermine les fins de leur traitement.

6.1.2. Au moment de la collecte, et par la suite sur demande, Grandio informe les personnes concernées du contenu obligatoire prévu par loi, notamment des finalités de la collecte, de l’utilisation de technologies permettant d’effectuer du profilage, le cas échéant, et du droit de retirer son consentement à l’utilisation ou la communication de renseignements personnels par Grandio.

6.1.3. L’information prévue au paragraphe 6.1.2 est donnée en termes simples et clairs, au moyen d’une politique de confidentialité ou d’un avis « juste à temps ».

6.1.4. La personne concernée qui fournit ses renseignements personnels après avoir reçu l’information au paragraphe 6.1.2 est présumée consentir à l’utilisation et à la communication aux fins déclarées.

6.2. Utilisation

6.2.1. Grandio n’utilise les renseignements personnels qu’aux fins pour lesquelles ces renseignements ont été recueillis. Cependant, Grandio peut modifier ces fins si la personne concernée y consent préalablement.

6.2.2. Elle peut également les utiliser à d’autres fins sans le consentement de la personne concernée, dans les seuls cas où l’utilisation projetée est permise par la loi.

6.3. Communication

6.3.1. Sous réserve des exceptions prévues par la loi, Grandio ne peut communiquer des renseignements personnels sans le consentement de la personne concernée.

6.3.2. Lorsque les renseignements personnels sont communiqués à l’extérieur du Québec, Grandio procède à une ÉFVP conformément à l’article 7 des présentes.

6.3.3. Grandio tient à jour un registre de certaines communications de renseignements personnels sans consentement. Le registre enregistre les communications visées par la loi, notamment les suivantes :

• à une personne ou à un organisme ayant le pouvoir de contraindre Grandio à lui communiquer des renseignements personnels et qui les requiert dans l’exercice de ses fonctions, par exemple, un policier a un mandat et vous demande des renseignements personnels sur un de vos employés soupçonné de fraude ;
• à une personne à qui cette communication doit être faite en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée ;
• à une personne ou à un organisme pour les fins d’un mandat ou d’un contrat de services ou d’entreprise, par exemple, le prestataire de services de traitement de la paie ;
• à l’autre partie à une transaction commerciale, si la communication est nécessaire aux fins de la conclusion de la transaction, par exemple, Grandio vend une de ses filiales et doit communiquer des renseignements personnels à cette fin ;
• à une personne qui peut les utiliser à des fins d’étude, de recherche ou de statistique ;
• à une personne que la loi autorise à recouvrer des créances pour autrui et qui le requiert à cette fin dans l’exercice de ses fonctions ;
• à une personne si le renseignement est nécessaire aux fins de recouvrer une créance de Grandio.

6.4. Conservation

6.4.1. Grandio prend toutes les mesures raisonnables afin que les renseignements personnels qu’il détient soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis ou utilisés.

6.4.2. Grandio conserve les renseignements personnels aussi longtemps que nécessaire pour réaliser les fins pour lesquelles ils ont été recueillis, sous réserve d’obligations de conservation qui pourraient s’appliquer, conformément à son calendrier de conservation.

6.5. Destruction et anonymisation

6.5.1. Lorsque les finalités pour lesquelles les renseignements personnels recueillis sont atteintes, ces renseignements sont détruits ou, dans certains cas, anonymisés suivant les délais prévus au calendrier de conservation et, le cas échéant, selon le cadre documentaire de Grandio.

7.1. La réalisation d’une ÉFVP sert à démontrer que Grandio a respecté toutes les obligations en matière de protection des renseignements personnels et que toutes les mesures ont été prises afin de protéger efficacement ces renseignements.

7.2. Grandio réalise une ÉFVP notamment dans les situations suivantes :

• avant d’entreprendre un projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services qui implique des renseignements personnels ;
• avant de communiquer des renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques ;
• avant de communiquer des renseignements personnels à l’extérieur du Québec

7.3. En effectuant une ÉFVP, Grandio tient compte de la sensibilité des renseignements à être traités, des fins de leur utilisation, de leur quantité, de leur distribution et de leur support, ainsi que de la proportionnalité des mesures proposées pour protéger les renseignements personnels. Grandio tient également compte des critères déterminés par la loi pour chaque ÉFVP.

7.4. Toute ÉFVP est réalisée conformément au cadre documentaire de Grandio.

8.1. À la demande d’une personne concernée, Grandio doit l’informer de ce qui suit :

• les renseignements personnels recueillis auprès d’elle ;
• les catégories de personnes qui ont accès à ces renseignements au sein de Grandio ;
• la durée de conservation de ces renseignements ;
• les coordonnées du RPRP de Grandio.

8.2. Dans la mesure prévue par la loi, toute personne physique à propos de laquelle Grandio détient des renseignements personnels dispose des droits suivants :

• le droit de retirer son consentement à l’utilisation et à la communication de renseignements personnels recueillis par Grandio ;
• le droit d’accéder aux renseignements personnels détenus par Grandio et d’en obtenir une copie, en format électronique ou autre ;
• à moins que cela ne soulève des difficultés pratiques sérieuses, à la demande d’une personne concernée, Grandio communique les renseignements personnels informatisés recueillis auprès d’elle dans un format technologique structuré et couramment utilisé
• le droit de faire rectifier tout renseignement personnel incomplet ou inexact détenu par Grandio ;
• le droit de demander la suppression d’un renseignement dans certaines circonstances, ou de formuler par écrit des commentaires à Grandio ;
• le droit d’être informée, le cas échéant, que des renseignements personnels sont utilisés pour prendre une décision fondée sur un traitement exclusivement automatisé ;
• le droit de demander à Grandio de cesser de diffuser un renseignement ou de désindexer tout hyperlien rattaché à son nom, à certaines conditions.

8.3. Le RPRP répond par écrit aux demandes d’exercice des droits prévues au paragraphe 8.1, avec diligence et au plus tard dans les 30 jours de la date de réception de la demande.

8.4. Toute demande d’exercice des droits est prise en charge conformément au cadre documentaire de Grandio.

9.1. Grandio met en place des mesures de sécurité raisonnables afin d’assurer la confidentialité, l’intégrité et la disponibilité des renseignements personnels recueillis, utilisés, communiqués, conservés ou détruits. Ces mesures tiennent notamment en compte du degré de sensibilité des renseignements personnels, de la finalité de leur collecte, de leur quantité, de leur localisation et de leur support.

9.2. Grandio gère les droits d’accès des membres son personnel afin que seuls ceux soumis à un engagement de confidentialité, le cas échéant, et ayant besoin d’y accéder dans le cadre de leurs fonctions aient accès aux renseignements personnels.

10.1. Tout incident de confidentialité est pris en charge conformément au cadre documentaire de Grandio.

10.2. Conformément à la loi, Grandio tient à jour un registre des incidents de confidentialité.

10.3. Si l’incident de confidentialité présente un risque de préjudice sérieux pour les personnes concernées, Grandio avise celles-ci avec diligence ainsi que la CAI.

10.4. Le registre est tenu à jour pendant cinq ans après le dernier incident ou la période du dernier incident.

11.1. Grandio offre des activités de formation et de sensibilisation à son personnel en matière de protection des renseignements personnels.

11.2. Le défaut de suivre les activités de formation et de sensibilisation obligatoires contrevient au cadre documentaire de Grandio et la personne concernée s’expose, selon la nature et la gravité de la faute, à des sanctions.

12.1. La protection des renseignements personnels que Grandio détient repose sur l’engagement de tous ceux qui traitent ces renseignements et plus particulièrement des parties prenantes qui suivent :

12.2. Le président et chef de la direction :

• veille à assurer la mise en oeuvre de la loi ;
• facilite l’exercice des fonctions du RPRP, notamment en s’assurant qu’il dispose des ressources appropriées pour la réalisation de son mandat et la mise en oeuvre du programme de protection des renseignements personnels de Grandio.

12.3. Le conseil d’administration de la Société mère :

• approuve la présente politique, ainsi que toute modification importante à celle-ci, sur recommandation du RPRP ;
• reçoit et analyse le rapport du RPRP ;
• est informé des activités en protection des renseignements personnels de Grandio et fait les interventions qu’il juge appropriées pour maintenir un niveau de risque acceptable pour Grandio.

12.4. Le comité PRP :

• approuve la présente politique et tout document formant le cadre documentaire de Grandio, ainsi que toute modification importante à ces documents, sur recommandation du RPRP ;
• reçoit et analyse tout enjeu relatif à la protection des renseignements personnels qui lui est soumis par le RPRP.

12.5. Le RPRP :

• veille à assurer le respect et la mise en oeuvre de la loi à travers Grandio ;
• est responsable de l’application et la mise en oeuvre de la présente politique et des autres documents formant le cadre documentaire de Grandio ;
• conçoit le cadre documentaire de Grandio et effectue toute mise à jour appropriée ;
• recommande au conseil d’administration de la Société mère tout document en lien avec le programme de protection des renseignements personnels ou tout enjeu qu’il juge approprié ;
• soutient les équipes de la Société mère, ainsi que les sociétés et groupes affiliés dans la mise en œuvre du programme, notamment en agissant à titre de répondant pour toute question qui s’y rattache ;
• au besoin, produit un rapport des activités liées au programme de protection des renseignements personnels de Grandio et le soumet au conseil d’administration de la Société mère dans le cadre de la présentation du rapport trimestriel sur la gestion des risques ;
• supervise la coordination de la réponse du comité PRP à un incident de confidentialité et la tenue du registre des incidents de confidentialité ;
• reçoit les demandes écrites d’exercice de droits des personnes concernées et s’assure d’y répondre conformément au cadre documentaire de Grandio ;
• est consulté, dès le début des évaluations des facteurs relatifs à la vie privée, et peut suggérer des mesures de protection des renseignements personnels pour atténuer les risques.

12.6. Toute personne qui traite des renseignements personnels que Grandio détient :

• agit avec précaution et intègre les principes et lignes de conduite énoncés au cadre documentaire à ses activités ;
• lorsqu’elle recueille des renseignements personnels auprès des personnes concernées, s’assure d’obtenir un consentement conformément à la loi et de le documenter suivant le cadre documentaire ;
• n’accède qu’aux renseignements nécessaires à l’exercice de ses fonctions ;
• conserve ses dossiers de manière à ce que seules les personnes autorisées y aient accès ;
• s’abstient de communiquer les renseignements personnels dont elle prend connaissance dans l’exercice de ses fonctions, à moins d’être dûment autorisée à le faire ;
• ne conserve pas, à la fin de son emploi ou de son contrat, les renseignements personnels obtenus ou recueillis dans le cadre de ses fonctions et maintient ses obligations de confidentialité ;
• conserve et détruit tout renseignement personnel conformément au cadre documentaire de Grandio ;
• participe aux activités de sensibilisation et de formation en matière de protection des renseignements personnels qui lui sont destinées ;
• détecte les situations qui nécessitent de réaliser une ÉFVP et complètent les documents appropriés du cadre documentaire ;
• signale sans délai tout manquement, incident de confidentialité ou toute autre situation ou irrégularité qui pourrait compromettre de quelque façon que ce soit la sécurité, l’intégrité ou la confidentialité de renseignements personnels au RPRP ;
• rapporte sans délai toute demande d’exercice des droits ou toute plainte relative aux pratiques de protection des renseignements personnels de Grandio au RPRP.

Toute plainte relative aux pratiques de protection des renseignements personnels de Grandio ou de sa conformité aux exigences de la loi qui concernent les renseignements personnels est transmise au RPRP, lequel y répond dans un délai de trente (30) jours.

La conformité à la présente politique et à tout autre document formant le cadre documentaire est obligatoire pour l’ensemble de Grandio. Le personnel qui ne s’y conforme pas s’expose à des mesures disciplinaires pouvant aller de l’avis disciplinaire au congédiement ou aux mesures et pénalités contractuelles prévues pour les consultants, lesquelles peuvent notamment prévoir la résiliation du contrat et la réclamation de dommages-intérêts. De la formation et de la sensibilisation supplémentaire peuvent également être offertes en cas de défaut de respecter la politique.

De manière à suivre l’évolution des lois applicables en matière de protection des renseignements personnels et à améliorer le programme de protection des renseignements personnels de Grandio, la présente politique pourra être mise à jour au besoin, au plus tard tous les trois ans.

La présente politique est sous la responsabilité du RPRP.

La présente politique entre en vigueur lors de son adoption par le conseil d’administration de la Société mère, sur recommandation du RPRP.

Date d’entrée en vigueur : 28 mars 2024.