Politique de protection de la vie privée des clients affaires de TELUS

V.1.0, en vigueur à partir du 2 juin 2021

Introduction

La présente Politique de protection de la vie privée des clients affaires de TELUS (la « Politique de protection de la vie privée ») décrit la façon dont TELUS protège les renseignements personnels que lui confient ses clients. Les clients affaires de TELUS Santé sont couverts par une Politique de protection des renseignements personnels distincte. Voir la Politique sur la protection des renseignements personnels des clients d’affaires.

TELUS Communications inc. (« TELUS ») offre une vaste gamme de produits et services de communication, notamment des services mobiles, des services de transmission de données et de la voix, des services IP, des services de télévision, de vidéo, de divertissement et de sécurité d’entreprise.  Nous entretenons une relation directe avec de nombreux consommateurs et nous sommes également un fournisseur de services pour nos clients. Nous comprenons l’importance de garantir la protection de la vie privée des utilisateurs finaux de nos clients. Dans le cadre de notre engagement à accorder la priorité aux clients, nous avons à cœur de protéger les renseignements personnels qu’ils nous confient et de respecter la vie privée de leurs utilisateurs finaux.  

Les pratiques de protection de la vie privée de TELUS sont établies selon les lois canadiennes sur la protection de la vie privée en vigueur (notamment, mais non exclusivement, la Loi sur la protection des renseignements personnels et les documents électroniques [LPRPDE] ainsi que les lois provinciales sur la protection de la vie privée essentiellement similaires), et selon nos engagements contractuels. Les pratiques de protection de la vie privée de TELUS sont aussi conçues pour aider nos clients à respecter leurs propres exigences en matière de protection de la vie privée, notamment en ce qui concerne le Règlement général sur la protection des données (RGPD) de l’Union européenne. Bien que TELUS compte sur le fait que ses clients prennent les mesures requises pour obtenir tous les consentements nécessaires ou disposent autrement de toutes les autorisations nécessaires pour traiter les renseignements personnels sur les clients et les utilisateurs finaux, TELUS s’engage à collaborer avec eux pour protéger la vie privée dans toutes les offres de services pertinentes.  

Cette Politique de protection de la vie privée doit être lue au même titre que tout contrat conclu par un client avec TELUS. En cas de conflit entre la présente Politique de protection de la vie privée et tout contrat, le contrat prévaut. 

Liens rapides

Définitions

Portée et application

Responsabilité

Consentement

Collecte et utilisation

Déclarations et transferts aux fins de traitement

Rétention

Exactitude

Mesures de sécurité

Transparence des politiques et des pratiques

Accès aux renseignements personnels

Gestion des incidents

Pour nous joindre

 

Définitions 

Aux fins de la présente Politique de protection de la vie privée :

Les renseignements personnels désignent les renseignements sur une personne identifiable, peu importe leur format, mais excluent les coordonnées professionnelles (sauf si ces renseignements sont régis par la législation relative à la protection de la vie privée applicable). Pour plus de précision, les renseignements personnels n’incluent pas les renseignements anonymisés ou regroupés qui ne peuvent être raisonnablement associés à une personne en particulier.

Les coordonnées professionnelles désignent le nom, le titre, l’adresse professionnelle (y compris l’adresse de courriel professionnelle), ainsi que les numéros de téléphone et de télécopieur au travail de l’employé d’une organisation recueillis, utilisés ou divulgués afin de communiquer avec cette personne relativement à son emploi, à son entreprise ou à sa profession.

Le client désigne un client de TELUS qui est une entreprise ou un autre type d’organisation, mais pas un consommateur individuel concluant directement un contrat avec TELUS

Les renseignements personnels sur le client désignent les renseignements personnels fournis à TELUS par le client ou recueillis par TELUS en son nom afin de lui fournir des services et peuvent comprendre les renseignements personnels des utilisateurs finaux du client.

Un utilisateur final désigne un client, un contractuel ou un employé d’un client dont les services de TELUS ne sont pas fournis dans le cadre d’une entente individuelle avec TELUS.

Retour au haut de la page

 

Portée et application

La présente Politique de protection de la vie privée s’applique à tout client de TELUS qui est une entreprise ou un autre type d’organisation, mais qui n’est pas un consommateur individuel concluant directement un contrat avec TELUS.  Les engagements de TELUS envers les consommateurs individuels figurent dans l’Engagement de TELUS en matière de protection de la vie privée

La présente Politique de protection de la vie privée s’applique aux renseignements personnels sur le client en la possession ou sous la garde de TELUS et utilisés par TELUS pour fournir des services au nom de tout client. Ces renseignements incluent les renseignements personnels sur le client en la possession des fournisseurs engagés pour fournir des services au nom de TELUS. 

Tous les employés, contractuels et mandataires de TELUS ayant accès aux renseignements personnels sur le client doivent traiter ces renseignements conformément à la présente Politique de protection de la vie privée. 

Retour au haut de la page

 

Responsabilité

Notre engagement en matière de responsabilité

À titre de fournisseur de services, TELUS est responsable des renseignements personnels sur le client en sa possession ou sous sa garde, y compris les renseignements qui ont été transférés par TELUS à ses fournisseurs de services ou à un tiers et utilisés pour fournir des services aux clients de TELUS. 

Responsabilité de la direction

La protection de la vie privée fait partie intégrante de nos services. Tous les membres de l’équipe de la haute direction de TELUS sont tenus de veiller à ce que les activités qui relèvent de leur responsabilité soient conformes aux politiques et procédures de TELUS en matière de protection de la vie privée, et à ce que toutes les unités d’affaires soient dûment au fait des obligations de TELUS touchant la protection de la vie privée et disposent des ressources nécessaires au respect de ces obligations.

Responsabilité des employés

Dans la foulée de l’engagement de TELUS, tous les membres de l’équipe TELUS doivent suivre une formation annuelle obligatoire sur la protection de la vie privée pour qu’ils soient toujours au fait des lois applicables et de nos politiques et qu’ils les respectent, y compris la présente Politique de protection de la vie privée. Nous reconnaissons que tous les employés ont un rôle à jouer pour gagner et conserver la confiance des clients et nous prenons des mesures de sensibilisation pour créer une culture de protection de la vie privée à TELUS.  

Bureau du chef des données et des relations de confiance

TELUS a nommé une personne responsable de diriger le Bureau des données et des relations de confiance. Le mandat du Bureau consiste à mettre en place un programme de gestion de la protection de la vie privée spécialement conçu pour protéger la vie privée des utilisateurs finaux de nos clients. Le Bureau doit aussi établir des politiques et des procédures pour gagner et conserver la confiance des clients à l’égard de nos pratiques de traitement des données. 

Les principaux composants du programme de protection de la vie privée de TELUS sont énoncés dans le document-cadre du programme de gestion de la vie privée. Le document-cadre établit nos engagements en matière de protection de la vie privée d’une manière conforme à la présente Politique de protection de la vie privée. Le document-cadre précise en outre certains des moyens par lesquels nous veillons à concrétiser ces engagements, et la structure organisationnelle que nous avons mise en place à cette fin.  

Finalement, conformément au principe de la prise en compte du respect de la vie privée dès la conception, nous avons adopté sept principes fondamentaux de protection de la vie privée que nous nous efforçons d’intégrer à nos processus de conception de produits et services.

Retour au haut de la page

Consentement

Comme TELUS n’a pas de relation directe avec les utilisateurs finaux de ses clients, elle compte sur les clients pour qu’ils obtiennent tous les consentements nécessaires auprès de leurs utilisateurs finaux, qu’ils fournissent à leurs utilisateurs finaux tous les avis nécessaires et qu’ils disposent des autorisations nécessaires pour permettre la collecte, l’utilisation et la divulgation des renseignements personnels sur le client par TELUS et par le client. En fait, TELUS exige que ses clients prennent ces mesures.

Retour au haut de la page

 

Collecte et utilisation

Nous faisons preuve de transparence quant aux fins pour lesquelles nous recueillons et utilisons les renseignements personnels sur le client. TELUS reçoit de ses clients des renseignements personnels sur le client et recueille aussi de tels renseignements auprès d’autres entités ou personnes au nom des clients. Nous limitons la collecte de renseignements personnels sur le client aux données nécessaires aux fins définies dans le présent document ou dans l’entente contractuelle avec le client.  TELUS exige que les clients limitent leur partage de renseignements personnels sur le client avec elle aux seuls renseignements obtenus légalement et nécessaires et suffisants aux fins indiquées dans la présente Politique de protection de la vie privée et dans tout contrat conclu entre TELUS et le client. 

Sous réserve de la présente Politique de protection de la vie privée et des modalités du contrat conclu avec le client, TELUS recueille et utilise les renseignements personnels sur le client aux fins suivantes :

  • Établir et maintenir une relation commerciale responsable avec le client et assurer un service continu.

  • Cerner les besoins et les préférences du client et de ses utilisateurs finaux.

  • Concevoir, améliorer, promouvoir ou fournir des produits et des services au client.

  • Gérer et développer notre entreprise et nos activités, y compris le diagnostic de problèmes techniques ou l’amélioration de fonctionnalités, et maintenir et améliorer la sécurité du client.

  • Respecter la loi et la réglementation et les dispositions contractuelles.

  • Enquêter sur les incidents et les plaintes ou différends du client et des utilisateurs finaux et les résoudre.

  • Fournir des produits et services au nom du client (conformément aux obligations contractuelles), y compris à des fins de facturation.

TELUS n’utilise pas les renseignements personnels sur le client à d’autres fins que celles énoncées dans la présente Politique de protection de la vie privée et dans les modalités de tout contrat conclu avec le client, sauf dans la mesure où la loi applicable l’exige ou l’autorise. 

Retour au haut de la page

 

Déclarations et transferts aux fins de traitement

TELUS ne divulgue les renseignements personnels sur le client que dans la mesure où ils sont requis ou permis en vertu des modalités de tout contrat avec le client, à moins que les lois en vigueur l’exigent ou l’autorisent. TELUS peut transférer les renseignements personnels sur le client aux fins de traitement à un fournisseur de services qui agit au nom de TELUS à titre de contractuel.

À moins d’indication contraire dans le contrat du client, les renseignements personnels sur le client peuvent être stockés, transférés, consultés, traités ou autrement utilisés à l’extérieur du Canada par TELUS ou ses fournisseurs de services. Ces renseignements sont protégés au moyen de mesures appropriées, mais des entités d’un gouvernement étranger peuvent y accéder en vertu de certaines lois. Plus précisément, les renseignements personnels sur le client peuvent être stockés dans le nuage, ce qui peut impliquer un transfert de données à l’extérieur du Canada.

Le stockage, le traitement et le transfert des renseignements personnels et des données sur le client pourraient être régis par une loi ou une réglementation qui diffère de celle du Canada lorsque le client utilise le service d’itinérance à l’étranger.

Retour au haut de la page

 

Rétention

TELUS dispose d’une politique en matière de conservation des documents et d’un échéancier de conservation des documents connexe. C’est ainsi qu’elle conserve les renseignements personnels sur le client seulement dans la mesure où ils demeurent nécessaires ou pertinents aux fins définies ou conformément aux modalités de tout contrat avec le client, à moins d’indication contraire dans la loi ou la réglementation. Après ce délai, TELUS retourne ou détruit les renseignements personnels sur le client conformément aux modalités de tout contrat avec le client. 

Retour au haut de la page

 

Exactitude

TELUS compte sur ses clients pour garantir l’exactitude et l’exhaustivité des renseignements personnels sur le client qu’ils lui ont fournis aux fins définies et afin qu’elle fournisse les services.

Retour au haut de la page

 

Mesures de sécurité

TELUS maintient un programme de gouvernance en matière de sécurité de l’information afin de protéger les renseignements personnels sur le client. 

Conformément à sa politique de sécurité et à sa norme de sécurité des centres de données, TELUS utilise des mesures de sécurité qui correspondent au degré de sensibilité de l’information dans le but de protéger les renseignements personnels sur le client contre des risques comme la perte ou le vol, et l’accès, la divulgation, la copie, l’utilisation, la modification et la destruction non autorisés. 

Dans la mesure du possible et dans le cadre des services, TELUS met en œuvre, maintient, met à jour et surveille les mesures techniques, administratives et organisationnelles suivantes pour mieux protéger la sécurité, l’intégrité, la disponibilité et la confidentialité des renseignements personnels :

Mesures techniques :

  • Mettre en œuvre une méthodologie de sécurité intégrée dans nos processus de travail, le cas échéant.

  • Restreindre et sécuriser l’accès aux applications, aux systèmes d’exploitation et aux plateformes réseau de TELUS en utilisant des contrôles d’accès, des noms d’utilisateur et des mots de passe uniques et l’authentification à deux facteurs, de façon à assurer l’accès uniquement aux représentants autorisés de TELUS.

  • Protéger les données au moyen de coupe-feu réseau et pour applications web, ainsi que par des systèmes de détection et de prévention d’intrusion.

  • Utiliser des technologies comme la création de jetons, l’anonymisation, le chiffrement standard pour les données stockées et en transit et d’autres mécanismes de protection des renseignements personnels, selon le cas.

  • Utiliser un logiciel de sécurité de point d’extrémité qui analyse les fichiers d’application et les systèmes de fichiers sensibles pour détecter les maliciels et prendre les mesures appropriées pour s’en défendre.

  • Surveiller les réseaux et les applications pour détecter les incidents de sécurité et mettre régulièrement à l’essai les plans d’intervention d’urgence.

  • Maintenir un plan d’urgence de continuité des affaires qui s’applique à l’ensemble de nos activités et qui est examiné et mis à jour chaque année afin de corriger les lacunes importantes.

  • Tester régulièrement nos mesures de protection et notre programme de sécurité général.

Mesures administratives :

  • Mettre en place une structure de gouvernance qui encourage et valorise la protection de la vie privée, et qui permet à chacun des membres de l’équipe de déployer chaque jour les bonnes stratégies pour préserver la confidentialité des renseignements personnels des clients qu’il traite.

  • Exiger la destruction sécurisée de tout support contenant des renseignements personnels sur le client.

  • Interdire l’usage des renseignements personnels sur le client dans les environnements de démonstration ou non liés à la production, sauf avec le consentement exprès du client ou à moins que les lois en vigueur l’exigent ou l’autorisent.

  • Limiter l’accès aux renseignements personnels sur le client aux personnes qui ont absolument besoin d’y accéder et appliquer les principes de droits d’accès minimaux et d’accès basés sur les rôles.

  • Définir et évaluer les risques raisonnablement prévisibles pour l’intégrité, la confidentialité ou la disponibilité des renseignements personnels sur le client que nous détenons et appliquer des mesures de protection raisonnables pour réduire ces risques.

  • Collecter, utiliser et divulguer les renseignements personnels sur le client pour fournir les services achetés par le client et selon les exigences et les instructions du client.

  • Exiger que tous les employés et sous-traitants de TELUS :

    • donnent priorité à la protection de la vie privée lorsqu’ils traitent des renseignements personnels sur le client;

    • reçoivent une formation obligatoire décrivant leurs obligations en matière de protection de la vie privée des clients;

    • connaissent le programme de gestion de la vie privée de TELUS, qui documente les principaux engagements de TELUS en matière de protection de la vie privée de ses clients et qui précise certains des moyens par lesquels nous veillons à concrétiser ces engagements et la structure organisationnelle que nous avons mise en place à cette fin;

    • se conforment aux politiques de sécurité de TELUS qui traitent de l’autorisation, du contrôle d’accès, des privilèges, de la surveillance, de la résiliation et de la révocation de l’accès aux applications de TELUS ainsi qu’à l’infrastructure de TI et aux plateformes réseau connexes;

    • signent des conventions d’emploi qui comprennent des dispositions contractuelles pour la protection et l’utilisation appropriée des renseignements confidentiels (y compris les renseignements personnels sur le client) accessibles à nos employés dans le cadre de leur emploi, et pour la prise de mesures disciplinaires appropriées, au besoin.

    • Utiliser des mesures contractuelles ou d’autres moyens pour protéger les renseignements personnels sur le client partagés avec les fournisseurs de services pour faire en sorte que les fournisseurs de services offrent un degré de sécurité comparable à celui de TELUS lorsqu’ils traitent des renseignements personnels sur le client.

Protections physiques :

  • Les installations de TELUS sont sécurisées et conformes aux normes et aux certifications de l’industrie.

  • L’accès aux zones de haute sécurité est restreint, et les représentants de TELUS portent des cartes d’accès et doivent soit les numériser, soit entrer des codes d’accès pour pénétrer dans ces zones.

  • Les visiteurs doivent s’inscrire avant d’entrer ou être accompagnés en tout temps lorsqu’ils circulent dans les centres de données et les installations de production de TELUS.

  • Ces centres de données sont hébergés dans des installations indiscernables dont l’accès est strictement contrôlé en périphérie et aux points d’entrée par des professionnels de la sécurité qui utilisent la vidéosurveillance, des systèmes de détection des intrusions et d’autres outils électroniques.

  • Les centres de données de TELUS utilisent un système de détection et d’extinction des incendies qui comprend des détecteurs de fumée dans l’ensemble des environnements, des espaces réservés aux infrastructures mécaniques et électriques, des salles de refroidissement et des salles de génératrices.

  • Les systèmes d’alimentation électrique des centres de données sont conçus pour être entièrement redondants et résistants sans incidence sur les activités, en tout temps.

  • Des unités d’alimentation sans coupure fournissent une alimentation de secours en cas de panne électrique pour les charges essentielles dans les installations. Les centres de données utilisent des génératrices pour fournir une alimentation de secours à l’ensemble de l’immeuble.

  • Les centres de données sont conçus pour maintenir des conditions ambiantes optimales. Les systèmes et les représentants de TELUS surveillent et contrôlent la température et l’humidité.

Retour au haut de la page

 

Transparence des politiques et des pratiques

TELUS s’efforce de rendre l’information sur ses politiques et pratiques accessible et facile à comprendre. Cette Politique de protection de la vie privée est disponible sur notre page de confidentialité à l’adresse https://www.telus.com/fr/about/privacy.

Retour au haut de la page

 

Accès aux renseignements personnels

À moins qu’un contrat ne l’engage spécifiquement à le faire en fournissant ses services à un client, TELUS ne répond généralement pas directement aux demandes d’accès, de correction ou aux questions des utilisateurs finaux de ses clients.  Néanmoins, nous faisons des efforts raisonnables pour diriger les questions et demandes des utilisateurs finaux vers le client approprié. 

Retour au haut de la page

 

Gestion des incidents

TELUS a établi des pratiques et des procédures de préparation et d’intervention en cas d’incident afin de déterminer la cause, l’étendue et la nature d’un incident mettant en cause des renseignements personnels sur le client et de signaler la situation sans tarder au client, selon les modalités de son contrat. Sous réserve des dispositions énoncées ci-dessous, le client est généralement responsable de gérer les incidents liés à la sécurité avec ses utilisateurs finaux. TELUS fournit dans les délais les plus courts possible un soutien raisonnable à ses clients en matière d’enquête. Elle les aide aussi à respecter leurs obligations consistant, s’il y a lieu, à aviser les personnes touchées, incluant les utilisateurs finaux et à signaler l’incident aux autorités réglementaires ou à toute autre partie.

S’il y a infraction aux mesures de sécurité de TELUS en ce qui a trait aux données du Service TELUS d’un utilisateur final du client et que le service est fourni à l’utilisateur final directement par TELUS, TELUS sera responsable de toute obligation d’informer les personnes concernées ou de signaler l’incident aux autorités de réglementation ou à d’autres parties. Nous comptons sur le client pour offrir une aide raisonnable et rapide à TELUS quant à l’enquête et à l’exécution de ses obligations.

Retour au haut de la page

 

Pour nous joindre

Les questions ou les plaintes concernant la manière dont TELUS ou ses fournisseurs de services traitent les renseignements personnels sur le client peuvent être transmises en toute confidentialité à la personne responsable du Bureau du chef des données et des relations de confiance. TELUS a mis en place des procédures pour répondre à toutes les demandes ou plaintes concernant sa manière de traiter les renseignements personnels. 

TELUS s’engage à enquêter sur toute plainte concernant le respect de la présente Politique de protection de la vie privée. Si une plainte est jugée fondée, TELUS s’engage alors à prendre les mesures appropriées, y compris la modification de ses politiques et de ses pratiques.