Politique de confidentialité

1. Objectif

Contexte

À propos de Sentrex

Sentrex Health Solutions Inc. est un distributeur spécialisé qui offre aux fabricants pharmaceutiques, aux médecins et à leurs patients des solutions entièrement intégrées et des services de soutien aux patients. Nous proposons des solutions innovantes pour veiller à ce que les clients bénéficient de l’accès et du soutien dont ils ont besoin pour optimiser les résultats de leur traitement. Nos principaux services comprennent la distribution, les programmes de soutien aux patients et les services de pharmacie. Dans le cours normal de nos activités, nous accumulons une quantité considérable de renseignements personnels (RP) et de renseignements personnels sur la santé (RPS). Nous accordons une grande importance à la confiance que nos clients et employés nous témoignent, et nous comprenons que nous devons faire preuve de transparence et de rigueur dans la manière dont nous recueillons, utilisons et divulguons les RP et les RPS afin de la préserver. Pour réaffirmer notre engagement en faveur du droit à la vie privée, nous avons rédigé cette politique afin de fournir une explication simple et claire sur les données que nous recueillons et de la manière dont nous les utilisons et divulguons.

Lois sur la protection de la vie privée à l’appui de cette politique

Depuis le 1er janvier 2004, toutes les organisations canadiennes engagées dans des activités commerciales sont tenues de se conformer à certaines lois sur la protection des renseignements personnels. Les différentes entités commerciales de Sentrex (telles que les pharmacies) sont tenues de se conformer à leur législation provinciale spécifique, tandis que l’entreprise dans son ensemble est tenue de respecter les lois nationales. Les lois sur la protection de la vie privée abordées dans cette politique sont les suivantes :

  • La Loi sur la protection des renseignements personnels et les documents électroniques de 2000 (LPRPDE).
  • La Loi canadienne antipourriel de 2014 (LCAP).
  • En Colombie-Britannique, la Personal Information Protection Act (PIPA) de 2004 (loi sur la protection des renseignements personnels).
  • En Alberta, la Personal Information Protection Act (PIPA) de 2004 (loi sur la protection des renseignements personnels).
  • En Saskatchewan, la Freedom of Information and Protection of Privacy Act de 1990 à 1991 (loi sur l’accès à l’information et la protection de la vie privée).
  • Au Manitoba, la Loi sur l’accès à l’information et la protection de la vie privée de 1997.
  • En Ontario, la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS).
  • Au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé du Québec. En 2022, loi 25 (ancien projet de loi n° 64), une loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
  • Au Nouveau-Brunswick, la LPRPDE s’applique aux entreprises commerciales du secteur privé.
  • En Nouvelle-Écosse, la LPRPDE s’applique aux entreprises commerciales du secteur privé.
  • Sur l’Île-du-Prince-Édouard, la Loi de 1988 sur l’accès à l’information et la protection de la vie privée.
  • À Terre-Neuve-et-Labrador, la LPRPDE s’applique aux entreprises commerciales du secteur privé.

Structure de la politique

Par souci de clarté, nous avons structuré cette politique autour des dix principes de la LPRPDE, énoncés dans le Code type sur la protection des renseignements personnels de la Canadian Standards Association afin de détailler la manière dont nous protégeons les données relatives aux RP et aux RPS. Ces dix principes sont les suivants :

  • Premier principe : responsabilité
  • Deuxième principe : détermination des fins de la collecte des renseignements
  • Troisième principe : consentement
  • Quatrième principe : limitation de la collecte
  • Cinquième principe : limitation de l’utilisation, de la communication et de la conservation
  • Sixième principe : exactitude
  • Septième principe : mesures de sécurité
  • Huitième principe : transparence
  • Neuvième principe : accès aux renseignements personnels
  • Dixième principe : possibilité de porter plainte à l’égard du non-respect des principes

2. Portée

À qui cette politique s’applique-t-elle?

Cette politique s’applique à l’ensemble de nos employés, directeurs et administrateurs (les « employés »), et il est obligatoire de s’y conformer. Les employés se conformeront à toutes les lois, règles et règlements des pays dans lesquels ils travaillent, y compris, mais sans s’y limiter, la LPRPDE, la LCAP et la législation provinciale spécifique mentionnée précédemment.

Cette politique peut-elle faire l’objet de modifications?

Nous pouvons modifier cette politique de temps à autre en fonction de l’évolution des exigences législatives. Nous nous réservons le droit de modifier ou de ne pas appliquer cette politique si la loi l’exige, et tous les employés seront tenus de respecter les modifications apportées. La collecte, l’utilisation et la divulgation des RP et des RPS obtenus par l’intermédiaire de nos services seront régies par la version de la présente politique en vigueur au moment où les renseignements ont été recueillis, utilisés ou divulgués.

Comment puis-je obtenir un exemplaire de la politique?

La plus récente version de cette politique sera publiée sur notre site Web et sera accessible sur demande par courriel ou par courrier postal.

Courriel : privacy@sentrex.com

Adresse postale :
À l’attention de la personne responsable de la protection des renseignements personnels
120 Valleywood Drive
Markham, ON L3R 6A7

3. Rôles et responsabilités

La personne responsable de la protection des renseignements personnels assume les fonctions suivantes :

  • Élaborer et tenir à jour toutes les politiques et procédures relatives à la protection des renseignements personnels pour Sentrex et s’assurer que les employés sont informés des exigences.
  • Veiller au respect des pratiques en matière d’information sur la protection des renseignements personnels (p. ex. le signalement des incidents liés à la fuite de renseignements personnels ou le signalement aux organismes de réglementation).
  • Superviser la gestion quotidienne du programme de protection des renseignements personnels, y compris le soutien aux employés et le contrôle de la conformité.

Les directeurs, gestionnaires et chefs d’équipe ont la responsabilité suivante :

  • Veiller à ce que les employés sous leur responsabilité connaissent et respectent la présente politique et les pratiques d’information qui la sous-tendent.

Employés :

  • Tous les employés doivent suivre la formation annuelle sur la protection des renseignements personnels et la sécurité.
  • Les employés doivent fournir sur demande une preuve écrite de l’achèvement de la formation.
  • Si un employé a connaissance d’une fuite présumée ou réelle de renseignements confidentiels et/ou d’une atteinte à la sécurité des renseignements, il doit suivre la procédure de signalement des atteintes à la protection des renseignements personnels SOPSHS-2 Privacy Breach Reporting.

4. Politique

4.1 Définitions et abréviations

Définitions

Mandataire : relativement à un dépositaire de renseignements sur la santé, s’entend d’une personne, que celle-ci ait ou non l’autorité de le lier, qu’elle soit ou non employée par lui et qu’elle soit ou non rémunérée, qui agit pour lui ou en son nom avec son autorisation, à ses fins à lui et non aux siennes, à l’égard de renseignements personnels sur la santé (Loi de 2004 sur la protection des renseignements personnels sur la santé [LPRPS], art. 2).

Recueillir : relativement à des renseignements personnels sur la santé, cela signifie les rassembler, les recevoir ou les obtenir par quelque moyen que ce soit, et de quelque source que ce soit. Le terme « collecte » a un sens correspondant. Comme indiqué dans l’article 2 de la LPRPS en ce qui concerne les RPS et les RP.

Confidentialité : s’entend de l’obligation d’une organisation, d’un dépositaire et d’une personne de protéger les renseignements qui lui sont confiés, d’en préserver le caractère secret et de ne pas les utiliser ou les divulguer à tort (National Initiative for Telehealth Framework or Guidelines, 2003 – cadre ou lignes directrices de l’Initiative nationale de télésanté).

Protection des renseignements personnels : le droit à la protection des renseignements personnels (ou à la vie privée) est le droit d’une personne de contrôler la collecte, l’utilisation et la divulgation des renseignements personnels qui la concernent (Institut canadien d’information sur la santé, 2002).

Fuite de renseignements personnels : événement ou série d’événements au cours desquels un ou plusieurs des éléments suivants se produisent :

  • Collecte, utilisation ou divulgation de RPS ou de RP non conformes à la LPRPS ou à son règlement (c.-à-d. sans autorisation légale).
  • Il y a infraction aux politiques, procédures ou pratiques de Sentrex en matière de protection des renseignements personnels.
  • Il y a infraction à divers accords : ceux sur la communication des données, sur la recherche, sur la confidentialité, ou encore sur les services tiers retenus par Sentrex, y compris les confirmations écrites reconnaissant et acceptant de ne pas utiliser les RPS ou RP qui ont été anonymisés et/ou regroupés, pour identifier une personne.
  • Lorsque des RP ou des RPS sont volés, perdus ou font l’objet d’une collecte, d’une utilisation ou d’une divulgation non autorisée, ou lorsque des enregistrements de RPS ou de RP font l’objet d’une copie, d’une modification ou d’une élimination non autorisée.

Renseignements personnels sur la santé : les renseignements personnels sur la santé sont définis dans la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) de l’Ontario comme des renseignements identificatoires concernant un particulier (…) si, selon le cas :

  • Ils ont trait à la santé physique ou mentale du particulier;
  • Ils ont trait à la fourniture de soins de santé au particulier;
  • Ils ont trait aux paiements relatifs aux soins de santé fournis au particulier ou à son admissibilité à ces soins ou à cette assurance;
  • Ils sont le numéro de la carte Santé du particulier;
  • Ils permettent d’identifier le mandataire spécial d’un particulier.

Les RPS comprennent également les données d’identification d’une personne qui ne sont pas des RPS énumérés ci-dessus, mais qui sont contenues dans un dossier comprenant des RPS énumérés ci-dessus.

Les renseignements sont « identificatoires » lorsqu’ils permettent d’identifier une personne ou lorsqu’il est raisonnablement prévisible, compte tenu des circonstances, qu’ils pourraient être utilisés, seuls ou avec d’autres données, pour identifier cette personne.

Renseignements personnels : les renseignements personnels sont définis dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Plus précisément, il s’agit d’informations enregistrées concernant une personne identifiable, notamment :

  • Les données relatives à la race, à l’origine nationale ou ethnique, à la couleur, à la religion, à l’âge, à l’identité de genre, à l’orientation sexuelle ou à la situation matrimoniale ou familiale de la personne.
  • Les données relatives à l’éducation ou aux antécédents médicaux, psychiatriques, psychologiques, criminels ou professionnels de la personne, ou les données relatives aux transactions financières dans lesquelles la personne a été engagée.
  • Tout numéro d’identification, symbole ou autre attribué à la personne.
  • L’adresse, le numéro de téléphone, les empreintes digitales ou le groupe sanguin de la personne.
  • Les opinions ou les points de vue personnels de la personne, sauf s’ils se rapportent à une autre personne.
  • La correspondance envoyée à une institution par la personne, qui est implicitement ou explicitement de nature privée ou confidentielle, et les réponses à cette correspondance qui révéleraient le contenu de la correspondance originale.
  • Les points de vue ou opinions d’une autre personne au sujet de la personne.
  • Le nom de la personne lorsqu’il est mentionné avec d’autres renseignements personnels la concernant ou lorsque la divulgation de son nom révélerait d’autres renseignements personnels la concernant.

Sécurité : la sécurité est la protection des renseignements personnels sur la santé contre la perte, le vol, l’accès, l’utilisation, la modification ou la divulgation non autorisés ou non intentionnels (Institut canadien d’information sur la santé, 2002). La sécurité consiste à protéger le matériel informatique et les logiciels contre tout accès, utilisation, modification, destruction ou divulgation accidentels ou malveillants. La sécurité concerne également le personnel, les données, les communications et la protection physique des installations informatiques. (IEEE Standard Dictionary of Electrical and Electronic Terms – dictionnaire standard de l’IEEE des termes électriques et électroniques).

Service de tiers : un tiers sous contrat ou autrement engagé pour fournir des services à Sentrex, y compris les fournisseurs de services électroniques.

Utilisation : en ce qui concerne les RPS ou RP sous la garde ou le contrôle de Sentrex, « utiliser » signifie voir, manipuler ou traiter les renseignements d’une autre manière, mais n’inclut pas la divulgation des renseignements, et « utilisation », en tant que substantif, a une signification équivalente. Pour les besoins de la LPRPS, la transmission de RPS entre Sentrex et le mandataire de Sentrex est une utilisation par Sentrex, et non une divulgation par la personne qui fournit les renseignements ou une collecte par la personne à qui les renseignements sont transmis.

Sigles

À l’attention de : destinataire
LCAP : Loi canadienne antipourriel
RPRP : responsable de la protection des renseignements personnels
CIPVP : commissaire à l’information et à la protection de la vie privée de l’Ontario
LPRPS : Loi de 2004 sur la protection des renseignements personnels sur la santé (Ontario)
RPS : renseignements personnels sur la santé
RP : renseignements personnels
LPRPDE : Loi sur la protection des renseignements personnels et les documents électroniques
PSP: programme de soutien aux patients
SOPSHS: procédure opérationnelle standard de Sentrex Health Solutions (Standard Operating Procedure Sentrex Health Solutions)

4.2 Principes relatifs à l’équité dans le traitement de l’information

Premier principe : responsabilité

Principe de responsabilité

Par « principe de responsabilité », nous entendons ce qui suit : « Une organisation est responsable des RP et des RPS dont elle a la gestion. Elle doit nommer une personne qui devra s’assurer de sa conformité à ces principes relatifs à l’équité. »

Comment nous conformons-nous à ce principe?

Sentrex a nommé une personne chargée de superviser le programme de protection des renseignements personnels. Cette personne a pour rôle de veiller à ce que le programme de protection des renseignements personnels soit conçu, mis en œuvre et contrôlé de manière appropriée. Cela inclut, sans s’y limiter, la gestion des risques, des plaintes, des incidents ou des demandes de renseignements en lien avec la protection de la vie privée, la gestion des demandes d’accès des patients, la présentation de rapports aux autorités réglementaires, le cas échéant, la mise à jour des procédures de confidentialité, la formation, si nécessaire, ainsi que la réalisation d’audits sur la protection des renseignements personnels.

Comment les fournisseurs de services tiers sont-ils tenus responsables?

Nous demeurons responsables de la protection de tous les RP et RPS qui sont recueillis, reçus, consultés, utilisés, divulgués, manipulés ou traités par nos employés et autres mandataires de Sentrex, y compris les fournisseurs de services tiers qui sont autorisés à traiter les RP ou les RPS en notre nom. Nous utilisons des contrats ou d’autres moyens pour nous assurer que ces fournisseurs suivent les mêmes principes que ceux décrits dans cette politique pour la protection des RP et des RPS.

Deuxième principe : détermination des fins de la collecte de renseignements

Principe de détermination des fins de la collecte de renseignements

Par principe de détermination aux fins de la collecte de renseignements, nous entendons que : « Les fins auxquelles des RP et des RPS sont recueillis doivent être déterminées par l’organisation avant la collecte ou au moment de celle-ci. »

Quand recueillons-nous les données relatives aux RP et aux RPS?

Les renseignements que nous recueillons dépendent des produits ou services utilisés par le client. Nous déterminons les types de données dans le cadre d’une procédure de consentement.

Nous pouvons recueillir des renseignements auprès de nos clients lorsque ces derniers effectuent les actions suivantes :

  • Ils visitent notre site Web.
  • Ils utilisent nos services par l’intermédiaire du site Web ou par d’autres moyens, tels que le téléphone, la télécopie ou la poste.
  • Ils reçoivent des renseignements de notre part par courriel et/ou par d’autres supports téléchargeables.
  • Ils nous fournissent volontairement des renseignements lors de l’utilisation de l’un de nos services.
  • Ils utilisent un ordinateur ou un autre appareil électronique pour se connecter à notre site Web ou à nos services.
  • Nous pouvons également obtenir des renseignements auprès du public ou de fournisseurs de services tiers.

Quel est l’objectif de la collecte de renseignements?

Nos employés traiteront les RP ou les RPS (ce qui comprend la création, la collecte, l’obtention, l’accès, l’enregistrement, l’organisation, le stockage, l’adaptation, la modification, la récupération, la consultation, l’utilisation, la divulgation ou la destruction des données) en notre nom et dans le but d’exécuter des tâches, des activités ou des services en notre nom, comme l’exige le service auquel vous accédez. Plus précisément, nous recueillons, utilisons et divulguons des RP et des RPS pour les raisons suivantes :

  • Mieux comprendre les besoins des clients et leur fournir un meilleur niveau de service.
  • Identifier les produits, faciliter les commandes et fournir des services.
  • Fournir des renseignements et effectuer des rappels au client concernant ses ordonnances.
  • Veiller à ce que les clients ne reçoivent pas de médicaments inappropriés.
  • Contacter le pharmacien ou le médecin prescripteur du client pour discuter de questions et d’informations relatives à l’ordonnance.
  • Recevoir les paiements du client et des fournisseurs de soins de santé.
  • Communiquer avec les personnes qui interviennent dans les soins de nos clients ou dans le paiement de ces soins.
  • Coordonner les soins de nos clients avec d’autres pharmacies et fournisseurs de soins de santé.
  • Inscrire nos clients et faciliter leur participation à certaines parties du site Web.
  • Personnaliser le site Web en fonction des intérêts des clients.
  • Informer nos clients des avantages ou des services liés à la santé, qui sont susceptibles de les intéresser.
  • Recueillir l’opinion et les commentaires de nos clients.
  • Vérifier les ressources en ligne pour s’assurer que l’accès est autorisé et que la sécurité est assurée.
  • Soumettre des rapports à Santé Canada.
  • Dans la cadre de la gestion des dossiers internes, notamment pour tenir les registres des médicaments délivrés, afin de se conformer aux lois fédérales et provinciales.
  • Recenser les éventuels événements indésirables, les plaintes concernant les produits, les rapports sur des situations particulières ou les demandes de renseignements médicaux.
  • À des fins liées au dépôt et/ou à la poursuite de toute demande réglementaire, y compris les demandes de nouveaux médicaments et/ou de brevets.
  • D’autres utilisations peuvent être autorisées ou exigées par la loi.

Troisième principe : consentement

Principe de consentement

Par principe de consentement, nous entendons que : « Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels [aux fins de la présente politique, de RP et de RPS] qui la concernent et y consentir, sauf dans les cas jugés inappropriés », tel que défini par la LPRPDE.

Comment nous conformons-nous à ce principe?

Tous les RP et RPS recueillis et conservés par nos soins sont soumis à un consentement selon les modalités suivantes :

  • Consentement explicite – donné par le client, verbalement ou par écrit.
  • Consentement implicite – consentement supposé en raison des actions ou du manque d’action du client.

Tous les programmes de soutien aux patients (PSP) gérés par Sentrex au nom des fabricants ont reçu un consentement explicite des participants. Les clients doivent signer un document (soit au cabinet du médecin lors de l’inscription initiale, soit dans le cadre du processus d’inscription au PSP de Sentrex). D’autres services, tels que les services de pharmacie, communiqueront des données sur la protection des renseignements personnels à leurs clients et veilleront à ce que ces derniers soient informés, mais ils peuvent s’appuyer sur leur consentement implicite. En confiant ses ordonnances à la pharmacie, le patient accepte les conditions générales de la politique de protection des renseignements personnels.

Que se passe-t-il si un client ne donne pas son consentement?

Si un patient n’accepte pas les conditions générales de la politique de protection des renseignements personnels dans le cadre d’un PSP ou d’un service pharmaceutique particulier, les services ne peuvent pas être fournis. Les données recueillies précédemment seront conservées conformément aux exigences en matière de conservation des données, mais aucune information supplémentaire ne sera recueillie.

Comment le consentement peut-il être révoqué?

Le client peut révoquer son consentement à la collecte, à l’utilisation et à la divulgation de ses RP et RPS à tout moment, sous réserve des restrictions légales et moyennant un préavis raisonnable, en contactant la personne responsable de la protection des renseignements personnels.

Consentement et messages électroniques

Nous nous engageons à réduire les effets néfastes du pourriel et des menaces connexes pesant sur le commerce électronique et nous nous efforçons de rendre le marché en ligne plus sécuritaire et mieux sécurisé. La LCAP réglemente certaines formes de contact électronique, à savoir l’envoi de messages électroniques commerciaux, la modification des données de transmission dans les messages électroniques et l’installation de programmes informatiques sur le système informatique d’une personne dans le cadre d’une activité commerciale. Le principe clé de la LCAP consiste à n’effectuer de telles activités qu’avec le consentement du client. Nous nous conformons à la LCAP et travaillons avec l’ensemble de nos sociétés affiliées, clients et partenaires pour obtenir leur consentement avant de leur envoyer des messages électroniques commerciaux. Nous disposons d’un mécanisme de désabonnement sur nos sites Web et dans notre correspondance électronique.

Quatrième principe : limitation de la collecte

Principe de limitation de la collecte

Par principe de limitation de la collecte, nous entendons que : « L’organisation ne peut recueillir que les renseignements personnels [aux fins de la présente politique, les RP et les RPS] nécessaires aux fins identifiées par l’organisation. Les renseignements doivent être recueillis par des moyens équitables et légitimes. »

Comment nous conformons-nous à ce principe?

Sentrex ne collecte que les RP et les RPS nécessaires pour répondre au besoin spécifique pour lequel ils sont recueillis. Nous pouvons recueillir des RP et des RPS que les clients fournissent de leur plein gré, par exemple en saisissant des renseignements dans les formulaires ou les champs de données sur notre site Web, en interagissant avec notre PSP ou nos services de pharmacie, ou par d’autres moyens. Les différentes fonctions au sein des unités de Sentrex ont des besoins différents en matière de collecte de données et, par conséquent, les données recueillies dans une unité peuvent varier d’une unité à l’autre (p. ex. les services de PSP par rapport aux services de pharmacie).

La collecte de données sur les employés se limite aux renseignements nécessaires à l’exercice de la fonction d’employeur en ce qui concerne la paie, les impôts, les coordonnées, etc.

Cinquième principe : limitation de l’utilisation, de la communication et de la conservation

Principe de limitation de l’utilisation, de la communication et de la conservation

Par principe de limitation de l’utilisation, de la communication et de la conservation, nous entendons : « À moins que la personne concernée n’y consente ou que la loi ne l’exige, les renseignements personnels [aux fins de la présente politique, les RP et les RPS] ne doivent être utilisés ou communiqués qu’aux fins pour lesquelles ils ont été recueillis. On ne doit conserver les renseignements personnels que le temps nécessaire pour répondre à ces fins. »

Comment limitons-nous l’utilisation et la divulgation des RP et des RPS?

L’accès aux RP et aux RPS sera limité aux personnes ayant un besoin professionnel légitime d’utiliser les RP ou les RPS, et ceux-ci ne seront utilisés qu’aux fins pour lesquelles ils ont été initialement obtenus. Les RP/RPS figurant dans nos documents, qu’ils soient physiques ou électroniques, ne seront divulgués à aucune personne par aucun employé sans avoir obtenu l’autorisation nécessaire pour cette divulgation. Le consentement explicite sera obtenu avant toute divulgation externe, sauf si la loi l’exige.

Les employés de Sentrex doivent maintenir la confidentialité des RP ou des RPS qui leur sont confiés, sauf si la divulgation est autorisée par la personne responsable de la protection des renseignements personnels ou exigée par la loi. Dans la mesure du possible, nos employés consulteront la personne responsable de la protection des renseignements personnels s’ils pensent qu’il existe une obligation légale de divulguer des RP ou des RPS.

Nous pouvons informer des personnes et des organisations externes si nous avons connaissance d’un non-respect des lois sur la protection des renseignements personnels ou de la vie privée. Ceci comprend, sans toutefois s’y limiter :

  • toute collecte, utilisation ou divulgation non autorisée ou illégale;
  • toute perte ou destruction accidentelle ou tout dommage causé à des RP ou à des RPS;
  • toute circonstance qui amènerait un professionnel compétent en sécurité des données à soupçonner qu’une telle collecte, utilisation ou divulgation, perte, destruction, dommage ou non-conformité s’est produite ou se produira.

À qui communiquons-nous les RP et les RPS?

Nous communiquons des données pour les raisons suivantes :

  • Si nous pensons, en toute bonne foi, que la divulgation est appropriée pour se conformer à la loi, à la réglementation ou à la procédure judiciaire applicable. Par exemple, une décision de justice.
  • Nous divulguons des données, y compris des RP et des RPS, conformément à toute loi ou réglementation gouvernementale applicable, et aux institutions financières et autorités gouvernementales concernées.
  • Nous pouvons communiquer et divulguer des RP ou des RPS à certaines personnes désignées pour participer aux soins de santé ou aux décisions en matière de soins de santé, comme des médecins, des tuteurs ou un avocat.
  • Les RP et RPS seront à la disposition de notre organisation et des fournisseurs de services tiers qui utilisent les données recueillies par nos soins. Lorsque nous autorisons un fournisseur de services tiers à avoir accès aux RP et aux RPS, il n’est autorisé à les utiliser ou les exploiter qu’à des fins conformes à la présente politique.
  • Communiquer à des tiers les coordonnées d’un client et les détails de ses interactions avec les services ou produits de santé de Sentrex, afin que ces tiers puissent contacter le client dans le but de lui fournir des services supplémentaires.
  • Combiner les renseignements relatifs à un client avec d’autres renseignements associés à ce dernier, par exemple les commentaires sur les interactions de ce client avec les services ou les produits de santé de Sentrex, et toute information reçue de tiers, comme les agences de recrutement.
  • Advenant un changement de propriété ou de contrôle de l’ensemble ou d’une partie de nos activités, par exemple, une fusion, une acquisition ou une réorganisation, nous demanderons au(x) nouveau(x) propriétaire(s) d’accepter de traiter les RP et les RPS conformément à la présente politique.
  • Services spécifiques aux pharmacies : nous autorisons les demandes de délivrance d’ordonnances et de renouvellements directement aux clients ou aux cliniques médicales. Pour mener à bien ce processus, nous recueillerons, utiliserons et transmettrons des RP et des RPS par l’intermédiaire de systèmes et de réseaux informatiques. En soumettant les données d’ordonnances et d’autres RP et RPS, nos représentants, pharmaciens et préparateurs en pharmacie auront accès aux RP et RPS des clients. Pour fournir correctement des services de pharmacie à nos clients, nous pouvons être amenés à contacter : (1) les fournisseurs d’assurance maladie pour évaluer les garanties et les prestations; (2) des médecins ou d’autres professionnels de la santé pour discuter des antécédents médicaux des clients et de leurs demandes d’ordonnance; (3) d’autres personnes, si nécessaire, pour répondre à la demande d’ordonnance d’un client

Combien de temps les RP et les RPS sont-ils conservés?

Afin de nous conformer aux lois fédérales et provinciales et de nous assurer que nous pouvons consulter les RP et les RPS au besoin, nous conservons des registres de tous les médicaments délivrés sur ordonnance. Ces renseignements seront physiquement sécurisés et protégés. Les renseignements personnels et sensibles ne seront jamais transmis par courriel sur des réseaux publics, à moins qu’ils ne soient sécurisés par chiffrement et qu’ils bénéficient d’une autorisation de notre part. Nous conservons les RP et les RPS pendant les périodes minimales requises par la loi. Lorsqu’il n’est plus nécessaire de les conserver, nous les supprimons ou supprimons les données d’identification personnelle qu’ils contiennent.

Sixième principe : exactitude

Principe d’exactitude

Par principe d’exactitude, nous entendons ce qui suit : « Les renseignements personnels [aux fins de la présente politique, les RP et les RPS] doivent être aussi exacts, complets et à jour que possible afin de satisfaire aux fins pour lesquelles ils sont utilisés. »

Comment nous conformons-nous à ce principe?

Si des RP ou des RPS sont nécessaires, ils seront, dans la mesure du possible, obtenus directement auprès de la personne concernée. Nous prendrons des mesures raisonnables pour garantir que les RP et RPS recueillis sont fiables, exacts, complets et à jour pour l’usage auquel ils sont destinés.

Septième principe : mesures de sécurité

Principe de mesures de sécurité

Par principe de mesures de sécurité, nous entendons que : « Les renseignements personnels [aux fins de la présente politique, les RP et les RPS] doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. »

Comment nous conformons-nous à ce principe?

Nos politiques et pratiques de sécurité sont conçues pour protéger la confidentialité et l’intégrité des RP et des RPS. Nous utilisons des mesures de sécurité physiques, administratives et technologiques adaptées à la sensibilité des données. En ce qui concerne les RP/RPS recueillis, nous agissons en tant que garants des données et prenons toutes les précautions requises par la LPRPS et d’autres lois pertinentes pour prévenir toute menace anticipée, suspectée ou réelle liée à l’accès non autorisé, à la divulgation, à l’altération ou à la destruction des données. Plus précisément :

  • Nous prenons toutes les mesures raisonnables et légalement requises pour protéger les RP et les RPS lorsqu’ils sont transmis par votre ordinateur à notre site Web ou à d’autres ressources en ligne et serveurs.
  • Nous veillons à ce que l’ensemble de nos sociétés affiliées et les tiers qui fournissent des services en notre nom soient contractuellement tenus de respecter cette politique.
  • Nous pouvons supprimer les données d’identification des RP et des RPS lorsqu’elles sont regroupées à des fins d’analyse, par exemple pour étudier les tendances en matière d’ordonnances, d’observance et de santé, afin d’améliorer nos services. Les RP et les RPS dont les données d’identification ont été supprimées peuvent être communiqués à des tiers aux fins énoncées dans la présente politique.

Dans certaines circonstances limitées, nous devons divulguer ou permettre l’accès à des RP ou à des RPS en réponse à une citation à comparaître, à un mandat de perquisition, à une ordonnance du tribunal, à une loi ou à un règlement. Dans ce cas, nous prendrons toutes les mesures appropriées pour garantir que les RP et les RPS sont dûment sécurisés, tout en coopérant pleinement avec les tribunaux et les autorités chargées de l’application de la loi.

Huitième principe : transparence

Principe de transparence

Par principe de transparence, nous entendons ce qui suit : « Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des RP et des RPS soient facilement accessibles au public. »

Comment nous conformons-nous à ce principe?

Afin de garantir une ouverture et une transparence sur la manière dont nous gérons et protégeons les RP et les RPS et d’informer les clients de leurs droits en matière de protection de leur vie privée, nous publions la présente politique sur notre site Web. Si les clients souhaitent obtenir un complément d’information sur nos politiques et pratiques en matière de gestion et de traitement des RP et des RPS, ils peuvent contacter la personne responsable de la protection des renseignements personnels aux adresses suivantes :

Courriel : privacy@sentrex.com

Adresse postale :
À l’attention de la personne responsable de la protection des renseignements personnels
120 Valleywood Drive
Markham, ON L3R 6A7

Neuvième principe : accès aux renseignements personnels

Principe d’accès aux renseignements personnels

Par principe d’accès aux renseignements personnels, nous entendons ce qui suit : « Une organisation doit informer toute personne qui en fait la demande de l’existence de RP et de RPS la concernant, de l’usage qui en est fait, des tiers auxquels ils ont été communiqués et lui permettre de les consulter. Il sera aussi possible de contester l’exactitude et l’intégralité des renseignements et d’y faire apporter les corrections appropriées. »

Comment nous conformons-nous à ce principe?

Les clients peuvent avoir accès aux RP/RPS en notre possession, ainsi que les mettre à jour et les corriger sous réserve de certaines dérogations légales. Sur demande écrite (voir l’adresse postale ci-dessous), Sentrex leur fournira les RP et RPS en sa possession dans la mesure requise par la loi. Si des clients souhaitent accéder à leurs RP et RPS ou estiment que leurs RP et RPS recueillis par nos soins sont incorrects ou incomplets, ils peuvent transmettre un courriel à la personne responsable de la protection des renseignements personnels à l’adresse privacy@sentrex.com.

Adresse postale :
À l’attention de la personne responsable de la protection des renseignements personnels
120 Valleywood Drive
Markham, ON L3R 6A7

Dixième principe : possibilité de porter plainte à l’égard du non-respect des principes

Principe sur la possibilité de porter plainte à l’égard du non-respect des principes

Par principe sur la possibilité de porter plainte à l’égard du non-respect des principes, nous entendons ce qui suit : « Toute personne doit être en mesure de se plaindre du non-respect par une organisation des principes énoncés ci-dessus. La plainte doit être adressée au responsable de la conformité à la LPRPDE au sein de l’organisation concernée, en l’occurrence, la personne responsable de la protection des renseignements personnels. »

Comment nous conformons-nous à ce principe?

Si les clients ont des questions ou des plaintes concernant cette politique ou nos pratiques en matière de protection des renseignements personnels en général, ils peuvent nous contacter aux adresses suivantes :

Courriel : privacy@sentrex.com

Adresse postale :
À l’attention de la personne responsable de la protection des renseignements personnels
120 Valleywood Drive
Markham, ON L3R 6A7

Pour obtenir de plus amples informations sur les droits en matière de protection des renseignements personnels ou pour déposer une plainte concernant nos pratiques en matière de protection des renseignements personnels, veuillez contacter le Commissaire à l’information et à la protection de la vie privée (CIPVP) de l’Ontario à l’adresse suivante :

Commissariat à la protection de la vie privée du Canada
112 rue Kent Place de Ville Tour B, 3e étage
Ottawa, Ontario K1A 1H3

5. Pièce jointe

SHS-POL-HR-001-3 (Sentrex Privacy Policy) 10-Nov-2020TRsig.pdf