Betty Casino
EN FR

Cadre général et portée de la Privacy Policy

La présente Privacy Policy établit les modalités selon lesquelles Betty Casino traite les renseignements personnels dans le cadre de l’exploitation du site blackwrite.ca et des services connexes. Elle s’applique aux activités effectuées au Canada, tout en intégrant des principes reconnus de licéité, de loyauté, de transparence, de limitation des finalités et de minimisation des données, notamment lorsque des standards comparables à ceux du RGPD sont pertinents. Cette politique vise à décrire de manière structurée les catégories de données, les sources de collecte, les usages, les durées de conservation, les mesures de sécurité et les droits des personnes concernées. Elle doit être lue conjointement avec les conditions d’utilisation, les exigences relatives au jeu responsable et les avis spécifiques présentés lors de la collecte. Dans la mesure permise par la législation canadienne applicable, les termes utilisés conservent leur sens usuel en matière de protection des renseignements personnels, y compris ceux de « renseignement personnel » et de « traitement ». Toute interprétation se fait selon la législation fédérale et provinciale pertinente, incluant la LPRPDE, ainsi que les lois provinciales équivalentes lorsque applicables.

Définitions, principes et gouvernance interne

Aux fins du présent document, un renseignement personnel s’entend de toute information concernant une personne identifiable, seule ou combinée à d’autres données. Le traitement couvre notamment la collecte, l’utilisation, la communication, la conservation, la suppression et l’anonymisation, qu’il soit automatisé ou non. La gouvernance interne repose sur une approche de responsabilisation, incluant des contrôles, une documentation et des mécanismes de supervision adaptés aux risques. La Privacy Policy reflète également les principes de protection des données dès la conception et par défaut, en limitant l’accès aux seules personnes autorisées selon la nécessité opérationnelle. Lorsque des fournisseurs interviennent, des exigences contractuelles sont imposées pour encadrer la confidentialité, la sécurité et l’usage limité. La conformité est suivie au moyen d’examens périodiques, de validations de contrôles et d’un traitement documenté des demandes et incidents.

Catégories de renseignements personnels traités

La Privacy Policy décrit des catégories de données pouvant être traitées selon les fonctionnalités utilisées et les obligations légales applicables. Les données d’identification peuvent inclure le nom, la date de naissance, l’adresse, le pays ou la province, ainsi que des informations nécessaires à la vérification de l’identité et de l’âge. Des données de contact telles que l’adresse courriel et le numéro de téléphone peuvent être traitées afin d’assurer la gestion du compte, la sécurité et la continuité du service. Des données financières et transactionnelles peuvent inclure des informations relatives aux dépôts, retraits, moyens de paiement, identifiants de transaction, montants et horodatages, sous réserve des exigences de conformité et de prévention de la fraude. Des données techniques peuvent inclure l’adresse IP, l’identifiant d’appareil, les journaux de connexion, les paramètres du navigateur, ainsi que des informations relatives à la performance et à la sécurité. Des données relatives à l’utilisation du service peuvent inclure l’historique d’activité, des préférences de compte et des interactions avec l’assistance, dans la mesure nécessaire à l’exécution du service.

Modalités de collecte et sources des données

Sur le plan opérationnel, les renseignements sont collectés lors de la création du compte, de la configuration du profil, de l’authentification, et lors de l’exécution de transactions ou de demandes d’assistance. La Privacy Policy couvre également la collecte indirecte lorsque des partenaires techniques ou des prestataires fournissent des éléments nécessaires à la prévention de la fraude, à la vérification d’identité ou à la conformité réglementaire. Des journaux techniques sont générés automatiquement lors de l’accès au site, afin de détecter les anomalies, d’assurer la continuité du service et de sécuriser les sessions. Lorsque des documents sont transmis à des fins de vérification, seules les informations pertinentes à l’objectif déclaré sont sollicitées, et leur accès est restreint. Les échanges avec l’assistance peuvent être conservés sous forme de tickets ou d’enregistrements, lorsque permis et justifié par des exigences de sécurité, de conformité ou de résolution de litige. Le cas échéant, des données peuvent provenir de bases de données de vérification ou d’agences spécialisées, dans le respect des lois applicables et sous encadrement contractuel.

Fondements juridiques du traitement

Dans le cadre canadien, le traitement repose principalement sur le consentement, explicite ou implicite selon le contexte, ainsi que sur la nécessité d’exécuter un contrat et de fournir les services demandés. La Privacy Policy prévoit également des traitements fondés sur le respect d’obligations légales, notamment en matière de lutte contre le blanchiment de capitaux, de prévention de la fraude et de tenue de registres. Dans certaines situations, un intérêt légitime peut être invoqué, par exemple pour protéger l’intégrité des systèmes, prévenir les abus, ou assurer la sécurité des comptes, sous réserve d’une mise en balance avec les droits et attentes raisonnables des personnes. Lorsque le consentement constitue le fondement, il peut être retiré selon les modalités décrites, sans affecter la licéité des traitements antérieurs. Pour les résidents de provinces disposant de règles particulières, des exigences additionnelles peuvent s’appliquer quant à la forme du consentement et aux avis de collecte. Lorsque des principes de type RGPD sont pertinents, ils sont utilisés comme référentiel de bonnes pratiques, notamment pour la minimisation, la limitation des finalités et la responsabilité.

Finalités du traitement et Privacy Policy relative aux obligations de conformité

La Privacy Policy encadre l’utilisation des renseignements aux fins de création et d’administration du compte, de vérification de l’âge, et de validation de l’identité lorsque nécessaire. Les données peuvent être traitées pour exécuter les transactions, traiter les dépôts et retraits, gérer les contestations et répondre aux demandes d’assistance. Des traitements sont réalisés pour la sécurité, incluant la détection d’intrusions, la prévention de la prise de contrôle de compte, et l’analyse d’événements de sécurité. Des traitements peuvent également soutenir les obligations de conformité, notamment la vérification contre des listes de sanctions, l’examen d’activités atypiques, et la conservation de journaux aux fins d’audit. Les communications de service, telles que confirmations, alertes de sécurité et notifications liées au compte, sont envoyées lorsque nécessaires à l’exécution du service. Des analyses internes peuvent être effectuées afin d’améliorer la stabilité et la fiabilité, en privilégiant l’agrégation et la pseudonymisation lorsque cela est raisonnablement possible. Les renseignements ne sont pas utilisés à des fins incompatibles avec celles décrites, sauf si une exigence légale ou un avis complémentaire le justifie.

Cookies, identifiants et technologies de suivi

La Privacy Policy traite des cookies et technologies similaires utilisés pour permettre des fonctions essentielles telles que l’authentification, la prévention de fraude et la gestion de session. Certains cookies sont nécessaires au fonctionnement du site, notamment pour maintenir l’état de connexion et appliquer des contrôles de sécurité, par exemple en limitant des tentatives répétées sur une période donnée. D’autres identifiants peuvent être utilisés pour mesurer des performances techniques, diagnostiquer des erreurs et maintenir la qualité du service, dans des conditions compatibles avec la minimisation des données. Les paramètres du navigateur permettent généralement de refuser certains cookies non essentiels, tout en reconnaissant que certaines fonctionnalités peuvent être dégradées. Des horodatages et identifiants de session peuvent être conservés afin de sécuriser les transactions et de reconstituer des événements en cas d’incident. Lorsque des outils d’analyse sont utilisés, les configurations privilégient la réduction des données et la limitation des durées, par exemple en imposant une rotation des identifiants et une conservation limitée. Les choix exprimés par les personnes concernées sont respectés dans la mesure permise par les obligations de sécurité et de conformité.

Conservation, archivage et suppression des données

La conservation est limitée à ce qui est nécessaire aux finalités déclarées, incluant les obligations légales et la gestion des litiges, conformément aux principes de la Privacy Policy. Les données de compte sont conservées tant que le compte demeure actif, puis archivées ou supprimées selon les exigences applicables et la nature des renseignements. Certains enregistrements transactionnels et de conformité peuvent être conservés pendant 5 ans afin de répondre à des exigences d’audit, de lutte contre la fraude ou de tenue de dossiers, sous réserve des lois applicables. Les journaux techniques de sécurité peuvent être conservés pour une période typique de 90 jours, sauf prolongation justifiée par un incident, une enquête ou une obligation de conservation. Les demandes d’assistance et pièces justificatives peuvent être conservées jusqu’à 24 mois lorsque cela est nécessaire à la prévention de la fraude, au suivi des réclamations ou à la qualité du service, puis supprimées ou anonymisées. Lorsque la suppression immédiate est impossible pour des raisons techniques, une mise hors d’usage et une restriction d’accès sont appliquées jusqu’à l’effacement effectif. Les données anonymisées, ne permettant plus d’identifier une personne, peuvent être conservées plus longtemps à des fins statistiques et de sécurité.

Communication à des tiers, sous traitants et divulgations obligatoires

La Privacy Policy autorise la communication de renseignements personnels à des sous traitants strictement nécessaires à l’exploitation, notamment pour le traitement des paiements, la vérification d’identité, l’hébergement, la cybersécurité et le support technique. Ces tiers sont contractuellement tenus d’utiliser les renseignements uniquement selon les instructions, de préserver la confidentialité et d’appliquer des mesures de sécurité adaptées, incluant des clauses de notification d’incident. Des communications peuvent être effectuées aux institutions financières et prestataires de paiement afin d’exécuter les transactions et de gérer les contestations, sous réserve des exigences applicables. Des divulgations peuvent aussi être requises par la loi, une ordonnance d’un tribunal, ou une demande valide d’une autorité compétente, notamment en matière de prévention du crime financier. Dans un contexte de restructuration, de fusion ou de cession d’actifs, les renseignements peuvent être communiqués sous réserve de garanties appropriées et d’un usage compatible. Casino Betty peut également partager des informations limitées lorsqu’une communication est nécessaire pour protéger les droits, la sécurité et l’intégrité des systèmes, incluant la prévention d’activités frauduleuses. Aucune vente de renseignements personnels n’est effectuée au sens usuel du terme, et toute communication est encadrée par les finalités décrites.

Transferts internationaux et accès transfrontière

En raison de l’infrastructure technologique et de la chaîne de fournisseurs, des renseignements personnels peuvent être traités ou accessibles depuis des territoires situés hors du Canada, conformément à la Privacy Policy. Dans de tels cas, les renseignements peuvent être assujettis aux lois du pays de traitement, y compris des demandes d’accès légales par des autorités locales, dans les limites prévues par le droit applicable. Des garanties organisationnelles et contractuelles sont mises en place afin d’assurer un niveau de protection comparable, notamment par des clauses de confidentialité, des restrictions d’usage et des exigences de sécurité. Une évaluation des risques de transfert peut être réalisée selon la sensibilité des données, le type de service fourni et l’exposition au risque. Lorsque des standards inspirés du RGPD sont utilisés comme référence, des mécanismes de protection appropriés sont privilégiés, incluant la minimisation des données transférées et la limitation des accès. Les personnes concernées peuvent demander des informations générales sur les catégories de fournisseurs et les pays impliqués, sous réserve des restrictions imposées par la sécurité et la confidentialité commerciale. Les transferts ne modifient pas les droits applicables au Canada, et des mesures sont maintenues afin de réduire les risques de traitement non autorisé.

Mesures de sécurité et gestion des incidents

La sécurité est encadrée par des mesures techniques et organisationnelles proportionnées aux risques, conformément à la Privacy Policy et aux attentes réglementaires au Canada. Des contrôles d’accès sont appliqués selon le principe du moindre privilège, avec une segmentation des environnements et une journalisation des accès administratifs. Le chiffrement en transit et, lorsque pertinent, au repos, est mis en œuvre afin de réduire le risque d’interception ou d’accès non autorisé. Des mécanismes de surveillance et de détection d’anomalies sont utilisés pour identifier des comportements suspects, et des procédures de réponse aux incidents sont maintenues et testées. Des revues de sécurité et correctifs sont appliqués régulièrement, y compris des analyses de vulnérabilités planifiées, avec des objectifs internes de correction pouvant viser 95 pour cent des vulnérabilités critiques dans des délais définis. En cas d’incident présentant un risque réel de préjudice grave, des notifications peuvent être effectuées conformément aux exigences légales, et des mesures d’atténuation sont déployées. Les preuves pertinentes peuvent être conservées pour l’enquête et l’audit, avec un accès strictement limité.

Droits des personnes concernées et Privacy Policy applicable aux demandes

Les droits reconnus par la législation canadienne incluent l’accès aux renseignements personnels, la rectification de données inexactes, et, dans certains cas, le retrait du consentement pour des traitements fondés sur celui ci, conformément à la Privacy Policy. Des droits additionnels peuvent s’appliquer selon la province, notamment en matière de portabilité ou de désindexation dans des circonstances particulières, sous réserve des conditions légales. Les demandes sont traitées selon une procédure de vérification d’identité proportionnée, afin d’éviter la divulgation à une personne non autorisée. Une réponse est fournie dans un délai généralement prévu de 30 jours, avec possibilité de prolongation raisonnable lorsque la demande est complexe ou volumineuse, conformément au cadre légal. Lorsque l’accès ne peut être accordé, les motifs sont expliqués dans la mesure permise, par exemple en présence de privilèges juridiques, d’informations concernant des tiers ou de restrictions de sécurité. Casino Betty conserve des enregistrements des demandes afin d’assurer la traçabilité, la conformité et la prévention des abus, avec des durées adaptées à ces finalités. Les personnes concernées conservent également le droit de déposer une plainte auprès de l’autorité compétente, notamment le Commissariat à la protection de la vie privée du Canada, selon la situation applicable.

Procédure de contact, demandes et vérification

Les demandes relatives à la protection des renseignements personnels, y compris celles portant sur l’accès, la correction et la suppression, sont reçues par des canaux dédiés et traitées selon une méthode documentée. Pour assurer la conformité et réduire les risques de fraude, une vérification d’identité peut exiger 2 éléments de validation, dont la nature varie selon la sensibilité de la demande. Les communications doivent préciser l’objet de la demande, les informations pertinentes au traitement, et, le cas échéant, les identifiants de compte nécessaires à la localisation des dossiers. Les demandes impliquant des transactions peuvent exiger des informations additionnelles afin de concilier des obligations légales et la protection contre l’accès non autorisé. Un accusé de réception peut être fourni lorsque requis, et les échanges sont conservés dans un environnement sécurisé pour une durée compatible avec la gestion des réclamations. Les contestations relatives à une décision de sécurité ou de conformité peuvent faire l’objet d’un examen interne, sous réserve des obligations réglementaires et des contraintes de prévention de la fraude.

Modifications, conformité continue et Privacy Policy

La présente Privacy Policy peut être modifiée afin de refléter une évolution des exigences légales au Canada, des orientations des autorités, des pratiques de sécurité, ou des changements opérationnels affectant les traitements de renseignements personnels. Toute modification vise à préserver les principes de transparence, de limitation des finalités, de minimisation, d’exactitude et de sécurité, en cohérence avec des standards comparables au RGPD lorsque pertinents. Lorsque des changements substantiels interviennent, un avis est publié sur blackwrite.ca, et la date de mise à jour est ajustée afin de soutenir la traçabilité et l’information des personnes concernées. Les versions antérieures peuvent être conservées pendant 12 mois à des fins d’audit interne et de preuve de conformité, sous réserve des besoins légitimes et des obligations applicables. Casino Betty s’engage à maintenir des mesures de conformité continue, incluant des revues périodiques des fournisseurs, des évaluations de risques et des contrôles de sécurité adaptés à la sensibilité des données. En cas d’ambiguïté, l’interprétation la plus protectrice des droits et la plus conforme aux obligations légales est privilégiée, sous réserve des limites prévues par la loi. La présente Privacy Policy confirme enfin que les demandes, plaintes ou questions peuvent être adressées selon la procédure de contact applicable, et qu’une réponse sera fournie dans les délais légaux, incluant le délai de 30 jours lorsque requis, tout en assurant une documentation suffisante des décisions et des modifications apportées.