Politique de protection des renseignements personnels

1.1 La responsabilité d'assurer le respect des politiques et des procédures définies dans le présent document revient au chef de la protection des renseignements personnels d'Apotex Inc., même si d'autres membres du groupe Apotex peuvent être chargés de la collecte et du traitement quotidiens des renseignements personnels. Le chef de la protection des renseignements personnels peut, à l'occasion, charger d'autres personnes d'agir en son nom.

1.2 Les coordonnées du chef de la protection des renseignements personnels d'Apotex Inc. sont accessibles par le biais du site internet d'Apotex Inc. à l'adresse www.apotex.ca ainsi que sur le site intranet d'Apotex Inc. elles seront également fournies sur demande en communiquant avec nos bureaux au (416)-749-9300.

1.3 Le groupe Apotex est responsable des renseignements personnels en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. Apotex doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie.

1.4 Le groupe Apotex a mis sur pied des politiques et des pratiques destinées à donner suite aux procédures et aux principes définis dans le présent document, y compris :

2.1 Le groupe Apotex doit documenter les fins auxquelles les renseignements personnels sont recueillis afin de se conformer au principe de la transparence (voir le principe 8) et au principe de l'accès aux renseignements personnels (voir le principe 9).

2.2 Le fait de préciser les fins de la collecte de renseignements personnels avant celle-ci ou au moment de celle-ci permet à chaque société du groupe Apotex de déterminer les renseignements dont elle a besoin pour réaliser les fins mentionnées. Suivant le principe de la limitation en matière de collecte (principe 4), la société du groupe Apotex ne doit recueillir que les renseignements nécessaires aux fins mentionnées.

2.3 Il faudrait préciser à la personne auprès de laquelle on recueille des renseignements, avant la collecte ou au moment de celle-ci, les fins auxquelles ils sont destinés. Selon la façon dont se fait la collecte, cette précision peut être communiquée de vive voix ou par écrit.

2.4 Avant qu'une société du groupe Apotex ne puisse se servir de renseignements personnels à des fins non précisées antérieurement, les nouvelles fins doivent être précisées avant l'utilisation. À moins que les nouvelles fins auxquelles les renseignements sont destinés ne soient prévues par une loi ou que le consentement ne soit pas requis en vertu de la loi sur la protection des renseignements personnels ou de toute autre loi pertinente, il faut obtenir le consentement de la personne concernée avant d'utiliser les renseignements à cette nouvelle fin.

2.5 Les employés d'Apotex de même que les tierces parties responsables de recueillir des renseignements personnels au nom d'une société du groupe Apotex doivent divulguer aux personnes concernées les fins auxquelles les renseignements personnels sont recueillis. Les tierces parties en question doivent mettre en œuvre des mesures et des pratiques de protection convenables répondant aux exigences des lois pertinentes sur la protection des renseignements personnels.

2.6 Les fins auxquelles des renseignements personnels concernant les employés d'Apotex peuvent être recueillis incluent notamment :

• l'administration de la paie et des programmes d'avantages sociaux;
• l'administration des frais de déplacements et de représentation;
• la tenue d'évaluations de rendement et la discipline;
• la formation et l'éducation;
• le déroulement des processus d'examen interne, d'enquête et de résolution des plaintes;
• le respect d'obligations juridiques et réglementaires.

2.7 Les fins auxquelles des renseignements personnels concernant les clients d'Apotex peuvent être recueillis incluent notamment :

• le traitement de transactions commerciales;
• la communication avec la clientèle;
• l'établissement et le maintien de rapports commerciaux;
• le développement, la commercialisation et la fourniture de produits et services;
• la surveillance, l'amélioration ou le rappel de produits;
• la gestion et le développement d'occasions d'affaires;
• le déroulement des processus d'enquête et de résolution des plaintes;
• le respect d'obligations juridiques et réglementaires.

3.1 Il faut obtenir le consentement de la personne concernée avant de recueillir des renseignements personnels à son sujet et d'utiliser ou de communiquer les renseignements recueillis. Généralement, toute société du groupe Apotex demande le consentement des personnes concernées relativement à l'utilisation et à la communication des renseignements personnels au moment de la collecte. Dans certains cas, le consentement concernant l'utilisation ou la communication des renseignements peut être obtenu après avoir recueilli ces renseignements, mais avant de s'en servir (par exemple, quand une société du groupe Apotex veut les utiliser à des fins non précisées antérieurement). Suivant ce principe, la société du groupe Apotex doit faire un effort raisonnable pour s'assurer que la personne est informée des fins auxquelles les renseignements sont recueillis, utilisés et communiqués. Les fins doivent être énoncées de façon qu'une personne raisonnable puisse les comprendre.

3.2 Dans certaines circonstances, il est possible de recueillir, d'utiliser et de communiquer des renseignements à l'insu de la personne concernée et sans son consentement. Ces circonstances doivent respecter les conditions décrites à la LPRPDÉ.

3.3 Les sociétés du groupe Apotex ne vont jamais exiger, comme condition d'approvisionnement de produits ou de services, le consentement de quiconque en vue de la cueillette, de l'utilisation et de la communication de renseignements personnels en sus de ceux qui sont nécessaires aux fins légitimes explicitement indiquées.

3.4 Au moment d'obtenir le consentement, les sociétés du groupe Apotex doivent tenir compte du caractère sensible des renseignements personnels ainsi que des attentes raisonnables des personnes concernées. Par exemple :

3.5 Apotex peut demander le consentement de diverses façons, selon les circonstances et la nature des renseignements à recueillir. Apotex demande généralement le consentement explicite lorsque les renseignements peuvent raisonnablement être considérés comme ayant un caractère sensible. Apotex va s'appuyer sur un consentement implicite seulement lorsque les renseignements personnels recueillis et utilisés sont directement liés à une transaction ou à un échange d'information auquel la personne concernée participe directement. Le consentement peut également être donné par un représentant autorisé comme un tuteur légal ou un mandataire disposant d'une procuration.

3.6 Le consentement peut être obtenu de l'une des façons suivantes :

• on peut se servir d'un formulaire de demande de renseignements pour obtenir le consentement, recueillir des renseignements et informer la personne de l'utilisation qui sera faite des renseignements; en remplissant le formulaire et en le signant, qu'il s'agisse d'un document papier ou électronique, la personne donne son consentement à la cueillette de renseignements et aux usages précisés;
• le consentement peut être donné de vive voix lorsque les renseignements sont recueillis par téléphone; ou
• le consentement peut être donné au moment où le produit ou le service est utilisé.

3.7 En général, le fait de remplir une demande d'emploi, d'accepter un emploi ou de bénéficier d'avantages sociaux est réputé constituer un consentement implicite de l'employé par les sociétés du groupe Apotex leur permettant de recueillir, d'utiliser et de communiquer des renseignements personnels aux fins déclarées.

Une personne peut retirer son consentement en tout temps, sous réserve de restrictions prévues par la loi ou par contrat et d'un préavis raisonnable. Les sociétés du groupe Apotex doivent informer la personne des conséquences d'un tel retrait. Les clients et les employés peuvent communiquer avec le chef de la protection des renseignements personnels pour obtenir de plus amples détails relativement aux conséquences du retrait de leur consentement.

4.1 Les sociétés du groupe Apotex ne doivent pas recueillir des renseignements de façon arbitraire. On doit restreindre tant la quantité que la nature des renseignements recueillis à ce qui est nécessaire pour réaliser les fins déterminées. Conformément au principe de la transparence (principe 6), Apotex doit préciser la nature des renseignements recueillis comme partie intégrante de ses politiques et pratiques concernant le traitement des renseignements.

4.2 L'exigence de recueillir des renseignements personnels de façon honnête et licite a pour objet d'empêcher une société du groupe Apotex de tromper les gens et de les induire en erreur quant aux fins auxquelles les renseignements sont recueillis. Cette obligation suppose que le consentement à la collecte de renseignements ne doit pas être obtenu par un subterfuge.

5.1 Lorsqu'une société du groupe Apotex compte utiliser des renseignements personnels à des fins non établies précédemment, la société du groupe Apotex doit documenter telles nouvelles fins et obtenir le consentement de la personne concernée avant d'utiliser les renseignements personnels en égard à ces nouvelles fins.

5.2 Apotex peut communiquer des renseignements personnels concernant ses employés :

• au personnel des ressources humaines, de la paie, des avantages sociaux, de gestion de l'information et au personnel médical et de sécurité;
• à des tierces parties fournissant des services liés à l'administration de la paie, des programmes d'avantages sociaux ou d'autres programmes d'Apotex confiés à des fournisseurs externes;
• aux sociétés affiliées d'Apotex Inc.;
• aux avocats et auditeurs internes et externes;
• au personnel de direction des sociétés du groupe Apotex;
• aux fins de la fourniture de références concernant des employés actuels ou d'anciens employés en réponse à une demande provenant d'employeurs éventuels, d'institutions financières ou de maisons de crédit;
• à d'éventuelles parties prenantes dans un contexte d'examen de diligence raisonnable;
• dans les cas où la loi l'exige.

5.3 Apotex peut communiquer des renseignements personnels concernant ses clients :

• aux avocats et auditeurs internes et externes;
• à Apotex Inc. et à ses sociétés affiliées;
• au personnel de direction des sociétés du groupe Apotex;
• à des tierces parties pour le développement, l'amélioration ou la commercialisation de produits et services Apotex;
• à des tierces parties qui fournissent des produits ou des services aux clients d'Apotex au nom d'Apotex;
• à un agent engagé par Apotex en rapport avec le recouvrement de comptes clients;
• à des tierces parties, lorsque le client consent à une telle communication;
• à d'éventuelles parties prenantes dans un contexte d'examen de diligence raisonnable; et
• dans les cas où la loi l'exige.

5.4 Exception faite de ce qui est exigé ou permis par la loi, lorsque des renseignements personnels sont communiqués à une tierce partie autre qu'une société du groupe Apotex ou un tiers fournisseur de produits et de services d'Apotex, il faut obtenir le consentement de la personne concernée. Dans tous les cas, Apotex doit prendre des mesures raisonnables et exiger de façon contractuelle que telles tierces parties mettent en œuvre des politiques et des procédures de protection des renseignements personnels qui soient conformes aux lois pertinentes.

5.5 À moins d'avoir l'autorisation de la personne concernée, Apotex ne vendra, ne louera ni n'échangera de renseignements personnels relatifs à ses employés ou à ses clients à des parties autres que les sociétés du groupe Apotex.

5.6 Les renseignements personnels seront conservés tant et aussi longtemps qu'il sera nécessaire ou pertinent de le faire en fonction des fins pour lesquelles ils ont été recueillis ou selon les exigences de la loi.

5.7 Le groupe Apotex a adopté des directives et des procédures régissant la conservation de renseignements personnels. Les renseignements personnels qui ne sont plus nécessaires ou qui ne sont plus pertinents en égard aux fins pour lesquelles ils ont été recueillis ou dont la loi exige la conservation seront détruits, effacés ou dépersonnalisés conformément à la politique d'Apotex régissant la conservation et la destruction de documents.

6.1Le degré d'exactitude et de mise à jour ainsi que le caractère complet des renseignements personnels dépendront de l'usage auquel ils sont destinés, compte tenu des intérêts de la personne et d'Apotex. Les renseignements personnels utilisés par Apotex doivent être suffisamment exacts, complets et à jour pour réduire le plus possible le risque que des renseignements inexacts soient utilisés pour prendre une décision au sujet de la personne concernée.

6.2 Apotex n'est cependant pas tenue de mettre à jour systématiquement les renseignements personnels qu'elle détient, à moins qu'une telle mise à jour soit nécessaire pour atteindre les fins pour lesquelles les renseignements ont été recueillis.

6.3 Les renseignements personnels qui servent en permanence, y compris les renseignements qui sont communiqués à des tiers, devraient normalement être exacts et à jour à moins que des limites se rapportant à l'exactitude de ces renseignements ne soient clairement établies.

7.1 Le groupe Apotex appliquera des mesures de sécurité destinées à protéger les renseignements personnels contre la communication non autorisée à des tiers, la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées, quelle que soit la forme sous laquelle les renseignements sont conservés.

7.2 La nature des mesures de sécurité dépend (i) de la sensibilité des renseignements recueillis, (ii) de la quantité, de la répartition et du format des renseignements ainsi que (iii) des méthodes de conservation.

7.3 Apotex a adopté des mesures physiques comme le verrouillage des classeurs et le contrôle de l'accès aux bureaux, de même que des mesures administratives comme la mise sur pied de codes de sécurité, d'un processus de nécessité d'accès et enfin, des mesures technologiques comme le recours aux mots de passe et à l'encodage, conformément à la politique d'Apotex régissant la conservation et la destruction de documents.

7.4 Apotex communique régulièrement à ses employés l'importance de préserver la confidentialité des renseignements personnels conformément à la présente politique.

7.5 Les renseignements personnels communiqués à des tiers doivent être protégés par entente contractuelle précisant le caractère confidentiel des renseignements fournis et les fins auxquelles ils doivent être utilisés.

8.1 Apotex fera preuve de transparence au sujet de ses politiques et pratiques concernant la gestion des renseignements personnels. Les clients et les employés doivent pouvoir obtenir sans efforts déraisonnables de l'information au sujet des politiques et des pratiques d'Apotex.

8.2 Apotex rendra cette information accessible par le biais d'un site internet public et de sites intranet qui comprendra notamment :

• le nom ou le titre et l'adresse du chef de la protection des renseignements personnels;
• la description du moyen d'accès à ses propres renseignements personnels qui sont détenus par Apotex;
• la description du genre de renseignements personnels détenus par Apotex, y compris une explication générale de l'usage auquel ils sont destinés;
• une copie de toute brochure ou autre document d'information expliquant la politique, les normes ou les codes d'Apotex; et
• la description de la nature des renseignements personnels communiqués à d'autres sociétés affiliées d'Apotex Inc.

9.1 Apotex devra informer tout client ou employé qui en fait la demande du fait qu'elle possède des renseignements personnels à son sujet, le cas échéant (sauf dans les cas où la loi autorise ou oblige Apotex à ne pas communiquer de renseignements personnels à cette personne) et devra lui donner une occasion raisonnable de consulter les renseignements personnels figurant à son dossier à peu de frais ou gratuitement. Apotex devra également informer la personne concernée de l'usage qu'elle fait ou a fait des renseignements et des tiers à qui ils ont été communiqués. Dans la mesure du possible, Apotex devra préciser la source des renseignements personnels recueillis.

9.2 Afin de préserver les renseignements personnels, le client ou l'employé sera appelé à fournir suffisamment de renseignements pour qu'Apotex puisse le renseigner sur l'existence, l'utilisation et la communication de renseignements personnels et autoriser l'accès au dossier de la personne concernée. L'information ainsi fournie doit servir à cette seule fin.

9.3 Apotex s'efforcera de compiler un relevé des tiers à qui elle a effectivement communiqué des renseignements personnels au sujet d'une personne donnée. Si cela s'avère impossible, Apotex fournira alors une liste des tiers à qui elle pourrait avoir communiqué de tels renseignements.

9.4 Apotex répondra dans un délai raisonnable aux demandes provenant des personnes concernées et ce, à peu de frais ou gratuitement. Les renseignements demandés doivent être fournis sous une forme généralement compréhensible. Par exemple, si des abréviations ou des codes servent à l'enregistrement des renseignements, Apotex fournira alors les explications nécessaires.

9.5 Si quelqu'un démontre que des renseignements personnels à son sujet sont inexacts ou incomplets, Apotex apportera les modifications nécessaires à ces renseignements. Selon la nature des renseignements qui font l'objet de la contestation, Apotex devra corriger, supprimer ou ajouter des renseignements. S'il y a lieu, l'information modifiée sera communiquée à des tiers ayant accès à l'information en question, conformément à la présente politique.

10.1 Apotex mettra sur pied une procédure permettant de traiter et de répondre aux plaintes et aux demandes de renseignements provenant de ses clients et de ses employés concernant le traitement des renseignements personnels par Apotex.

10.2 Apotex utilisera son site intranet et sur les sites internet pertinents pour faire connaître l'existence de ces procédures ainsi que l'accès aux procédures de traitement des plaintes.

10.3 Apotex fera enquête chaque fois qu'une plainte concernant le respect de cette politique est déposée. Si une plainte est jugée fondée, Apotex devra prendre les mesures qui s'imposent afin de résoudre la plainte y compris, au besoin, la modification de ses politiques et de ses procédures. Le client ou l'employé sera informé des conclusions de l'enquête menée au sujet de sa plainte.

10.4 Si la personne concernée n'est pas satisfaite de la réponse à sa plainte, elle peut communiquer directement avec le chef de la protection des renseignements personnels d'Apotex, 150 Signet Drive, Weston, Ontario, M9L 1T9 ou au (416) 749-9300. À défaut d'une réponse satisfaisante du chef de la protection des renseignements personnels d'Apotex, la personne concernée peut avoir d'autres recours en vertu de la loi régissant la protection des renseignements personnels pertinente. Pour de plus amples détails, communiquez avec le Commissaire à la protection de la vie privée du Canada à l'adresse www.privcom.gc.ca ou au 1-800-282-1376.