Betty Casino
EN FR

Dispositions générales et portée

La présente Politique de confidentialité établit les conditions dans lesquelles Betty Casino traite les renseignements personnels liés à l’utilisation du site ashmuskoka.ca et, plus généralement, aux interactions réalisées par voie électronique. Elle s’applique aux traitements effectués dans le cadre des activités de services en ligne, y compris les fonctions de compte, de paiement, d’assistance et de prévention de la fraude. Elle vise à décrire, de manière transparente, les catégories de données traitées, les finalités poursuivies, les durées de conservation et les mesures de sécurité mises en oeuvre. Le cadre d’analyse s’inspire des principes généralement reconnus de protection des données, dont la limitation des finalités, la minimisation des données, l’exactitude, la limitation de la conservation et l’intégrité et la confidentialité. Lorsque des exigences provinciales ou fédérales s’appliquent, elles prévalent en tant que normes de conformité au Canada.

Cadre réglementaire applicable au Canada

Au Canada, les obligations relatives aux renseignements personnels découlent notamment de la Loi sur la protection des renseignements personnels et les documents électroniques et, selon le lieu de résidence, de lois provinciales comparables. La présente politique est conçue pour respecter ces exigences, y compris les attentes relatives à la responsabilité organisationnelle, à la transparence et à la gestion des incidents. Les principes du Règlement général sur la protection des données de l’Union européenne peuvent également être pris en considération à titre de référentiel, lorsqu’ils sont pertinents pour des opérations transfrontalières ou des demandes provenant de personnes situées dans l’Espace économique européen. Cette approche n’a pas pour effet de créer des droits additionnels lorsque la loi applicable n’en prévoit pas, mais elle contribue à une gouvernance cohérente. Les interactions avec les autorités compétentes et les mécanismes de contrôle interne sont organisés afin d’assurer une conformité documentée et traçable.

Définitions et interprétation

Aux fins des présentes, un renseignement personnel s’entend de toute information concernant une personne identifiable, seule ou combinée à d’autres données raisonnablement accessibles. Un traitement vise toute opération effectuée sur des données, incluant la collecte, l’utilisation, la communication, la conservation, la modification, la suppression ou la destruction. La Politique de confidentialité emploie la notion de responsable du traitement pour désigner l’entité qui détermine les finalités et moyens du traitement, et de sous traitant pour désigner un prestataire agissant pour le compte du responsable selon des instructions documentées. Les références aux services incluent les pages publiques, les zones authentifiées, les interfaces de paiement, ainsi que les canaux de soutien tels que le courrier électronique. Les définitions doivent être interprétées à la lumière de l’objet du document, soit l’encadrement des pratiques de protection des données et la réduction des risques de traitement non autorisé.

Personnes concernées et utilisateurs

Sont visées les personnes qui consultent le site, qui créent un compte, qui effectuent des transactions, ou qui communiquent avec le service d’assistance. Les personnes agissant pour le compte d’une organisation, lorsqu’elles sont identifiables, peuvent également être concernées par certains traitements liés à la facturation ou à la conformité. La qualification de personne concernée ne dépend pas du fait qu’une transaction soit réalisée, dès lors qu’un identifiant technique ou un élément de contact permet une identification. Les journaux techniques peuvent contenir des données associées à une session, à un appareil ou à un compte, sans que ces données soient nécessairement utilisées à des fins d’identification directe. La portée inclut enfin les visiteurs accédant au site depuis un réseau, un terminal partagé ou un environnement professionnel, sous réserve des limites imposées par les configurations de confidentialité.

Catégories de renseignements personnels traités

Les renseignements d’identification et de contact peuvent inclure le nom, l’adresse, l’adresse de courrier électronique, le numéro de téléphone et des identifiants de compte internes. Des données relatives au compte et à l’activité peuvent être traitées, telles que les historiques de connexion, les préférences, les communications avec le soutien et les paramètres de sécurité, ainsi que des informations sur les transactions. Des données techniques peuvent être collectées, notamment l’adresse IP, les identifiants d’appareil, le type de navigateur, le système d’exploitation, des identifiants de session et des métadonnées d’utilisation nécessaires au fonctionnement et à la sécurité. Des renseignements financiers limités peuvent être traités pour les paiements, tels que des références de transaction, des montants, des horodatages et des informations de vérification, étant entendu que les données complètes de carte sont, lorsque possible, traitées par des prestataires spécialisés. Casino Betty met en place des mesures visant à limiter la collecte aux données pertinentes et à éviter la collecte de catégories non nécessaires au service.

Données de vérification et de conformité

Certaines activités peuvent exiger la vérification de l’identité et de l’admissibilité, notamment pour des obligations de conformité et de prévention des activités illicites. Ces traitements peuvent inclure des documents de vérification, des informations relatives à l’âge, des éléments de preuve d’adresse ou des résultats de contrôles de cohérence, selon le niveau de risque constaté. La collecte de tels éléments est encadrée par des contrôles d’accès et une conservation limitée, afin de réduire l’exposition en cas d’incident. Des signaux techniques pouvant indiquer un comportement anormal peuvent être analysés, tels que des tentatives répétées d’authentification ou des incohérences de localisation, dans le respect des finalités de sécurité. Lorsque des informations sensibles au sens de certaines législations sont traitées, elles le sont uniquement si cela est requis par une obligation légale ou nécessaire à la protection contre la fraude.

Modalités de collecte et sources des données

La collecte intervient de manière opérationnelle lors de la création d’un compte, de l’authentification, de la configuration des préférences et de l’exécution d’une transaction. Elle peut également résulter des communications adressées au service d’assistance, y compris les échanges par courrier électronique ou au moyen de formulaires, afin d’assurer le suivi des demandes. Des données techniques sont générées automatiquement par les systèmes lors de l’accès au site, notamment afin d’assurer la disponibilité du service et de détecter les anomalies. Des informations peuvent être obtenues auprès de prestataires de paiement, de fournisseurs de services de vérification ou d’outils de sécurité, dans la mesure où ces informations sont nécessaires à l’exécution du service et à la conformité. La Politique de confidentialité prévoit que les sources indirectes sont évaluées afin de s’assurer qu’elles sont licites, proportionnées et compatibles avec les finalités déclarées.

Collecte via dispositifs et journaux

Les journaux applicatifs et réseau peuvent enregistrer des événements tels que la date et l’heure, l’adresse IP, les actions réalisées, ainsi que des erreurs système, afin de maintenir l’intégrité du service. Des identifiants de session peuvent être déposés pour assurer la continuité de la connexion et limiter les risques de prise de contrôle de compte. Les systèmes de prévention de la fraude peuvent analyser des empreintes techniques, en appliquant des règles destinées à limiter les faux positifs et à préserver l’équité des contrôles. Lorsque des outils d’analyse sont utilisés, ils sont configurés pour réduire la collecte excessive et privilégier des paramètres de minimisation. Casino Betty documente les paramètres essentiels de ces dispositifs afin d’en démontrer la nécessité et la proportionnalité.

Bases juridiques des traitements

Les traitements peuvent reposer sur l’exécution d’un contrat ou de mesures précontractuelles, notamment pour la création et la gestion d’un compte, l’exécution des transactions et la fourniture des fonctions essentielles du service. Ils peuvent également être fondés sur le respect d’obligations légales, y compris les exigences relatives à la sécurité, à la tenue de dossiers et à la gestion des incidents. Certains traitements sont justifiés par l’intérêt légitime de l’organisation, par exemple pour sécuriser les systèmes, prévenir les abus, améliorer la stabilité technique et défendre des droits en justice, sous réserve d’une mise en balance avec les droits et attentes raisonnables des personnes concernées. Lorsque le consentement est requis, notamment pour certaines opérations de suivi non essentielles, il est recherché selon des modalités permettant son retrait ultérieur. La Politique de confidentialité est interprétée de façon cohérente avec ces bases, afin d’éviter toute utilisation incompatible avec la finalité initialement déterminée.

Finalités du traitement et limitation des usages

Les finalités principales incluent la fourniture du service, l’authentification, la gestion des opérations, le traitement des paiements et la prévention des accès non autorisés. Les données peuvent être utilisées pour la détection des fraudes, la protection des comptes, l’enquête sur des événements de sécurité et la réduction des risques opérationnels. Elles peuvent aussi servir à répondre aux demandes d’assistance, à gérer des litiges, à assurer la continuité du service et à respecter des obligations de conformité applicables. Les analyses internes visant la performance et la fiabilité peuvent être réalisées sur la base d’indicateurs techniques, en privilégiant, lorsque possible, l’agrégation et la pseudonymisation. Casino Betty s’abstient d’utiliser les renseignements personnels à des fins incompatibles avec les finalités énoncées, sauf si la loi l’autorise ou l’exige.

Décisions automatisées et profilage limité

Des mécanismes automatisés peuvent contribuer à l’évaluation des risques de sécurité, par exemple pour détecter des comportements atypiques, limiter les tentatives d’accès et protéger les transactions. Ces mécanismes sont conçus pour produire des signaux d’alerte et déclencher des vérifications, plutôt que pour imposer une décision définitive sans intervention humaine lorsque la situation le justifie. Les paramètres peuvent inclure des seuils, des règles et des indicateurs de cohérence, ajustés pour réduire les impacts indus sur les personnes concernées. Lorsqu’une mesure restrictive est appliquée, des voies de révision interne peuvent être prévues afin d’examiner la situation et corriger une éventuelle erreur. Les explications fournies demeurent proportionnées aux exigences de sécurité, afin de ne pas compromettre les dispositifs de protection.

Partage, communication et divulgation

La communication de renseignements personnels peut intervenir à l’égard de prestataires agissant comme sous traitants, notamment pour l’hébergement, l’infrastructure, l’assistance, la prévention de la fraude et le traitement des paiements. Ces prestataires sont sélectionnés au regard de critères de sécurité, de confidentialité et de fiabilité, et leurs interventions sont encadrées par des clauses contractuelles portant sur la limitation des finalités, la confidentialité et les mesures de protection. Des divulgations peuvent être effectuées lorsque la loi l’exige, par exemple en réponse à une ordonnance judiciaire, à une demande valide d’une autorité compétente, ou dans le cadre d’une obligation réglementaire. La communication peut aussi être nécessaire pour établir, exercer ou défendre des droits, notamment en cas de litige, d’enquête interne ou de recouvrement. Casino Betty limite les divulgations au strict nécessaire et conserve, lorsque cela est approprié, une trace des communications afin d’assurer la reddition de comptes.

Transferts internationaux et accès transfrontaliers

Selon la localisation des infrastructures et des prestataires, des renseignements personnels peuvent être traités ou rendus accessibles depuis l’extérieur du Canada. Dans un tel cas, les données peuvent être assujetties aux lois du pays de destination, y compris des obligations de divulgation à des autorités publiques, conformément aux procédures locales. Casino Betty met en oeuvre des mesures contractuelles et organisationnelles pour encadrer ces transferts, notamment des engagements de confidentialité, des restrictions d’accès et des exigences de sécurité comparables. Lorsque cela est requis, une évaluation des risques liés au transfert peut être réalisée, en tenant compte de la nature des données, de la finalité et du contexte. La Politique de confidentialité vise à assurer que les transferts demeurent compatibles avec les attentes raisonnables des personnes concernées et avec les exigences canadiennes applicables.

Conservation et suppression des renseignements

La Politique de confidentialité prévoit que les renseignements personnels sont conservés uniquement pendant la durée nécessaire aux finalités pour lesquelles ils ont été collectés, sous réserve des obligations légales et des besoins de défense des droits. Les journaux de sécurité et d’accès sont généralement conservés pendant 90 jours, afin de permettre l’enquête sur des incidents et l’amélioration des contrôles, sauf prolongation justifiée par un événement particulier. Les dossiers liés aux transactions et à la conformité peuvent être conservés pendant 7 ans, afin de respecter les exigences comptables, fiscales ou de contrôle, lorsque ces exigences s’appliquent. Les demandes d’assistance et les communications associées peuvent être conservées pendant 24 mois, afin d’assurer un suivi cohérent, de gérer les litiges et d’améliorer la qualité de service. À l’expiration des délais, la suppression, l’anonymisation ou la destruction sécurisée est effectuée selon des procédures documentées et des contrôles visant à réduire les risques de restauration non autorisée.

Mesures de sécurité et gestion des incidents

Les mesures de protection reposent sur une combinaison de contrôles techniques, administratifs et organisationnels adaptés à la sensibilité des données et au niveau de risque. Des mécanismes de contrôle d’accès, de gestion des identifiants, de segmentation et de surveillance peuvent être mis en place afin de limiter l’accès aux seules personnes autorisées et selon le principe du moindre privilège. Le chiffrement est utilisé lorsque approprié, notamment pour la transmission des données, et des pratiques de gestion des clés sont appliquées afin de réduire les risques de compromission. Des tests, revues et activités de surveillance peuvent être réalisés selon une fréquence interne, incluant des vérifications périodiques, avec un objectif de disponibilité opérationnelle pouvant atteindre 99,9 % pour certaines composantes, sous réserve de maintenances planifiées. En cas d’incident présentant un risque réel de préjudice grave, les processus de réponse incluent la qualification, le confinement, la remédiation et, lorsque requis, les notifications aux autorités et aux personnes concernées dans des délais raisonnables.

Technologies de suivi et Politique de confidentialité relative aux cookies

La section suivante de la Politique de confidentialité décrit l’usage des cookies et technologies similaires, qui peuvent être nécessaires au fonctionnement du site, à la sécurité et à la gestion des sessions. Des cookies strictement nécessaires peuvent être utilisés pour maintenir l’authentification, équilibrer la charge, prévenir les abus et conserver des préférences essentielles. D’autres identifiants peuvent servir à mesurer la performance technique et à diagnostiquer des erreurs, sous réserve de paramètres de minimisation et, le cas échéant, de consentement. Les durées de conservation des cookies varient selon leur finalité, certains expirant à la fin de la session et d’autres pouvant demeurer actifs jusqu’à 12 mois lorsque cela est justifié et autorisé. Casino Betty s’efforce de configurer ces technologies afin d’éviter la collecte excessive et de limiter la corrélation non nécessaire entre différentes activités.

Paramétrage et retrait du consentement

La gestion des préférences peut être effectuée au moyen des paramètres du navigateur ou, lorsque disponible, par un module de gestion du consentement intégré au site. Le retrait du consentement n’affecte pas la licéité des traitements effectués avant ce retrait, mais peut réduire certaines fonctionnalités non essentielles. Certaines configurations de blocage peuvent perturber la connexion, la prévention de la fraude ou la continuité du service, lorsque les cookies nécessaires sont désactivés. Les identifiants de suivi non essentiels, lorsqu’ils sont utilisés, sont soumis à une logique de choix granulaire visant à respecter le principe de contrôle par la personne. Casino Betty conserve des preuves de consentement lorsque la loi l’exige, pendant une période proportionnée et compatible avec les obligations de conformité.

Droits des personnes et Politique de confidentialité applicable aux demandes

La Politique de confidentialité reconnaît des droits relatifs à l’accès, à la rectification et, selon le contexte, à la suppression ou à la limitation de certains traitements, conformément aux lois canadiennes applicables. Les personnes concernées peuvent également demander des informations sur les catégories de données traitées, les finalités, les destinataires et les mesures générales de protection, sous réserve des limites prévues par la loi. Lorsque le traitement repose sur le consentement, celui ci peut être retiré, sans que cela n’affecte la validité des traitements antérieurs, et sans empêcher les traitements requis par une obligation légale. Dans certains cas, une opposition fondée sur une situation particulière peut être évaluée, notamment lorsque le traitement repose sur un intérêt légitime, sous réserve de la démonstration de motifs impérieux. Casino Betty s’efforce d’assurer une réponse dans un délai de 30 jours à compter de la réception d’une demande suffisamment documentée, avec possibilité de prolongation raisonnable lorsque la complexité l’exige.

Vérification de l’identité et limitations légales

Afin de protéger les renseignements personnels contre un accès non autorisé, une vérification d’identité peut être exigée avant la communication de données ou la modification d’éléments de compte. Cette vérification peut inclure la confirmation d’un courriel, la fourniture d’éléments de contexte, ou des contrôles additionnels lorsque le risque est élevé. Certaines demandes peuvent être refusées ou limitées lorsque la loi prévoit une exception, notamment pour protéger des informations confidentielles, préserver la sécurité, prévenir la fraude, ou respecter les droits d’autrui. Lorsque la demande est refusée en tout ou en partie, une justification générale est fournie, dans la mesure permise, ainsi que des indications sur les voies de recours applicables. Les échanges relatifs aux demandes peuvent être conservés pendant 18 mois afin de démontrer la conformité et d’assurer la traçabilité.

Procédures de contact, demandes et réclamations

Toute demande relative à la Politique de confidentialité, à l’exercice des droits ou à la gestion d’un incident peut être adressée via les coordonnées indiquées sur ashmuskoka.ca, en précisant l’objet et le contexte de la requête. Les communications doivent permettre l’identification du compte ou de la relation concernée, sans inclure de données excessives, afin de réduire les risques de divulgation involontaire. Casino Betty peut demander des informations complémentaires lorsque la demande est imprécise, afin d’en assurer le traitement exact, et un accusé de réception peut être fourni selon les processus internes. Les demandes sont traitées selon une procédure documentée incluant la qualification, la recherche des données, l’évaluation des exceptions et la réponse formelle. Lorsqu’une personne estime que ses préoccupations n’ont pas été résolues, elle peut également s’adresser à l’autorité compétente en matière de protection des renseignements personnels au Canada, conformément aux mécanismes de plainte applicables.

Modifications, avis et Politique de confidentialité finale

La Politique de confidentialité peut être modifiée afin de refléter des changements législatifs, des orientations d’autorités, des évolutions techniques, des ajustements de sécurité ou des transformations des opérations de traitement. Toute modification est appliquée selon un processus de gouvernance interne incluant l’examen de la nécessité, l’évaluation des impacts sur la vie privée et la mise à jour des contrôles pertinents. Lorsqu’un changement est substantiel, un avis peut être publié sur le site ou communiqué par des moyens raisonnables, afin de permettre une compréhension adéquate des nouvelles conditions. La version mise à jour précise la date d’entrée en vigueur, et les versions antérieures peuvent être conservées pendant 3 ans à des fins d’audit et de traçabilité. Casino Betty maintient un engagement de conformité continue, incluant la responsabilisation, la documentation des décisions et l’amélioration des mesures de protection, dans le respect des normes applicables au Canada. La Politique de confidentialité doit être lue conjointement avec les informations spécifiques pouvant être fournies au moment de la collecte, lesquelles peuvent préciser certaines finalités, certains délais de conservation ou certains destinataires, sans réduire les garanties prévues au présent document. En cas de divergence, la règle la plus protectrice applicable selon la loi et le contexte du traitement est privilégiée, et les demandes d’éclaircissement peuvent être soumises selon les procédures de contact décrites, afin d’assurer une application cohérente et vérifiable.