1. Protection des renseignements personnels et de notre entreprise

Les clients fournissent des renseignements personnels essentiels aux opérations du cabinet. Il est crucial de protéger ces informations afin de préserver leur confiance. La loi applicable au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé, régit la collecte, l’utilisation et la divulgation des renseignements personnels.

Les renseignements personnels sont des données qui, seules ou combinées avec d’autres, permettent de vous identifier. Cela comprend votre nom et votre adresse, ainsi que des informations plus sensibles, comme des détails médicaux et financiers. Ces renseignements n’incluent pas les informations publiques ni les coordonnées professionnelles d’une personne, telles que son nom, son titre de poste, son numéro de téléphone professionnel et son adresse courriel professionnelle, ainsi que les données utilisées dans son emploi, son entreprise ou sa profession.

Le cabinet est responsable de la gestion des renseignements personnels et doit prendre toutes les mesures nécessaires pour assurer leur sécurité. Dans certains cas, cela peut nécessiter l’adoption de nouvelles pratiques d’affaires afin de protéger la confidentialité des renseignements personnels.

Politique

Le cabinet met ses politiques et procédures à la disposition du public. S’il possède un site web, il y décrira comment les renseignements personnels sont collectés, utilisés, divulgués et conservés. En l’absence de site web, ces informations seront accessibles par d’autres moyens (ex.: courriel, courrier postal).

Le cabinet se conforme aux directives en matière de protection de la vie privée des compagnies qu’il représente (ex.: La Compagnie d’Assurance du Canada sur la Vie) via Horizons Group.

2. Préoccupations et demandes générales

Procédure

Le nom et les coordonnées de la personne responsable de la protection des renseignements personnels, soit notre officier de conformité, doivent être affichés sur le site web du cabinet. En l’absence d’un site web, ces informations doivent être accessibles par d’autres moyens (ex.: courriel, courrier).

Toutes les préoccupations, demandes générales ou requêtes liées à la protection des renseignements personnels doivent être acheminées à l’officier de conformité du cabinet. Celui-ci examinera les demandes et en accusera réception dans un délai de 24 heures. En son absence, la demande sera transférée à une personne compétente.

Les clients seront informés de l’évolution de leur dossier, et une documentation complète de la situation et des actions entreprises sera conservée dans leur dossier client.

L’officier de conformité du cabinet transmet toutes les préoccupations, demandes générales ou requêtes relatives à la protection de la vie privée et aux produits et services de l’entreprise au chef de la conformité de l’entreprise.

2.1 Demandes d’accès aux renseignements personnels des clients

Procédure

Toute demande d’un client pour accéder à ses renseignements personnels stockés dans les dossiers du cabinet est envoyée à l’officier de conformité, qui y répondra.

Les détails et la date de la demande sont consignés jusqu’à ce qu’elle soit traitée. L’officier de conformité aide le client à formuler sa demande d’accès si nécessaire.

L’information est transmise au client dans les meilleurs délais et au plus tard dans les 30 jours suivant la réception de la demande, sous un format technologique couramment utilisé.

Si des informations sont incorrectes ou incomplètes, elles seront corrigées ou modifiées. Toutes divergences seront consignées et, si nécessaire, les tiers concernés seront informés.

Si un client souhaite accéder à ses renseignements détenus par l’entreprise, les processus établis par celle-ci doivent être suivis.

2.1.1 Décisions automatisées

If the firm implements automated decision-making technology, it will inform the client, at the latest when the decision is communicated, which personal information was used to make the decision and will explain, in clear language, how the decision was made. The client retains the right to review and correct any inaccurate information.

2.2 Utilisation abusive des renseignements personnels

Procédure

Tout cas d’utilisation abusive de renseignements personnels ou toute brèche potentielle de sécurité doit être signalé sans délai à l’officier de conformité du cabinet, qui le transmettra au chef de la conformité de l’entreprise.

2.3 Incidents de confidentialité et gestion des brèches

Une brèche de confidentialité se produit lorsqu’un renseignement personnel est divulgué ou utilisé sans autorisation, consulté sans permission ou perdu en raison d’une faille de sécurité.

Exemples de brèches de confidentialité:

  • Vol d’un document contenant des renseignements personnels d’un client.
  • Perte ou vol d’un ordinateur portable contenant des données clients.
  • Piratage ou accès non autorisé à un disque dur d’un conseiller.
  • Courriel envoyé à un mauvais destinataire.
  • Documents postaux envoyés à la mauvaise adresse.

Toute brèche doit être évaluée afin de déterminer le risque encouru par le client.

2.3.1 Politique

Toute brèche ou plainte relative à un problème de confidentialité doit être immédiatement signalée à l’officier de conformité du cabinet et de l’entreprise concernée.

2.3.2 Processus de confinement des brèches

En cas de brèche affectant des informations clients (ex.: cyberattaque, accès non autorisé aux données):

  1. Contacter l’officier de conformité du cabinet.
  2. Informer le département de conformité des conseillers de Canada Vie – Québec.
  3. Contacter toute autre entreprise concernée.

Cas spécifiques:

Perte, vol ou piratage de dispositifs électroniques

  • Mobiliser l’équipe TI du cabinet.
  • Scanner les systèmes pour détecter toute activité malveillante.
  • Contacter les autorités et déposer une plainte.

Perte ou vol de documents papier

  • Signaler l’incident aux autorités.

Courriels envoyés au mauvais destinataire

  • Récupérer l’envoi si possible.
  • Demander au destinataire de confirmer la destruction du courriel.

Cyberattaques

  • Déconnecter immédiatement les appareils compromis.
  • Contacter les autorités.
  • Ne pas payer de rançon en cas de ransomware.

2.4 Processus de documentation

Toute brèche de confidentialité doit être documentée et conservée pendant 5 ans au Québec (24 mois ailleurs au Canada).

Le registre doit inclure:

  • La date de la brèche.
  • La nature des renseignements concernés.
  • L’évaluation du risque pour les clients.
  • Les mesures prises pour rectifier la situation.

2.5 Évaluation des risques

Une évaluation du risque doit être réalisée pour chaque incident afin de déterminer s’il présente un risque réel de préjudice grave (RRPG).

Critères d’évaluation:

  • Sensibilité des renseignements (ex. : Numéro d’assurance sociale, données bancaires).
  • Nature de l’incident (ex. : vol, piratage).
  • Nombre de personnes affectées.
  • Capacité à récupérer les données rapidement.

Si un risque sérieux est identifié, les personnes concernées et les autorités compétentes (ex. : Commission d’accès à l’information du Québec) doivent être informées.

2.6 Signalement obligatoire des brèches

Si un risque sérieux est identifié:

  • Les clients affectés doivent être informés dès que possible.
  • Un rapport doit être soumis à la Commission d’accès à l’information du Québec (CAI) ou au Commissariat à la protection de la vie privée du Canada (CPVP).
  • Tout organisme pouvant limiter les dommages doit être averti (ex. : Canada Vie).

2.7 Amélioration des mesures de contrôle

Après chaque incident, les processus doivent être révisés et améliorés afin de prévenir de futures brèches.

Mesures possibles:

  • Formation des employés.
  • Renforcement des contrôles de sécurité.
  • Mise en place de nouvelles procédures de gestion des données.

Si vous avez des questions ou des préoccupations, contactez notre officier de conformité.