Politique de protection des renseignements personnels

Cabinet de services financiersGroupe Contact Plus Inc.

  1. Responsable de la protection des renseignements personnel
  2. La protection des renseignements personnels et nos affaires
  3. Préoccupations et demandes de renseignements ou requêtes générales
  4. Demandes de clients visant à accéder aux renseignements personnels
  5. Usage à mauvais escient des renseignements personnels
  6. Processus visant les incidents en matière de confidentialité et les atteintes à la vie privée
  7. Obtenir l’autorisation valide et éclairée du client
  8. Nouveaux droits d’accès et nouvelles utilisations des renseignements du client
  9. Exception visant les autorisations de transactions commerciales
  10. Collecte de renseignements personnels
  11. Enregistrement des entretiens téléphoniques
  12. Utilisation, communication et conservation
  13. Mesures de protection

1. Responsable de la protection des renseignements personnel

Le responsable de la protection des renseignements personnels a la responsabilité :

  • De mettre en œuvre, de surveiller, de mettre à jour et d’exécuter le programme de conformité, y compris :
  • Les politiques et les procédures
  • La formation et la sensibilisation
  • L’auto révision/autoévaluation du programme
  • De superviser le processus en cas d’atteinte à la vie privée, et de traiter les demandes de renseignements et les plaintes des clients
  • De faire état des nouveaux risques, des risques existants, des activités de surveillance et des changements d’ordre législatif ou réglementaire qui auront une incidence sur le programme de conformité aux décideurs principaux du cabinet, et ce, sur une base régulière

Le responsable de la protection des renseignements personnel a le pouvoir et les ressources nécessaires pour s’acquitter efficacement de ses obligations. Il occupe un poste de direction au sein du cabinet et ainsi est en mesure d’avoir un accès direct aux décideurs principaux. L’agent de conformité peut déléguer certaines fonctions à d’autres employés. Toutefois, la mise en œuvre du programme de conformité demeure la responsabilité de l’agent de conformité.

Groupe Contact Plus Inc.
Responsable de la protection des renseignements personnels
Mélissa Bienvenu

1615 Allée du marché
Saint-Hyacinthe, Québec
J2S 8E8, Canada

melissa.bienvenu @gcontactplus.com

Politique et procédures 

Les clients fournissent des renseignements personnels qui sont essentiels aux affaires de notre cabinet. Il est crucial de protéger ces renseignements afin de maintenir leur confiance. La loi du Québec pertinente, la Loi sur la protection des renseignements personnels dans le secteur privé régit la collecte, l’utilisation et la communication des renseignements personnels. Par « renseignements personnels », on entend toute donnée se rapportant à une personne identifiable, y compris les données médicales ou financières, de même que les données d’affaires si elles n’ont pas été classées dans la catégorie des « coordonnées d’affaires ». Cette catégorie comprend le titre professionnel, le numéro de téléphone et l’adresse courriel d’affaires de la personne, de même que les données qui sont utilisées dans le cadre de son emploi, de son entreprise ou de sa profession.

Le cabinet est responsable des renseignements personnels dont il a la gestion, et il nous incombe de prendre toutes les mesures nécessaires pour assurer la sécurité des renseignements personnels et confidentiels en notre possession. Dans certaines situations, cela signifie d’adopter de nouvelles pratiques commerciales afin de protéger la confidentialité des renseignements personnels. 

Politique

Le cabinet met à la disposition du public l’information relative à ses politiques et à ses procédures, et nous conformons aux normes de confidentialité des compagnies que nous représentons.

3. Préoccupations et demandes de renseignements ou requêtes générales

Procédure

Toutes les préoccupations, demandes de nature générale ou requêtes liées à la confidentialité et au cabinet sont transmises à l’agent de conformité du cabinet, soit le responsable de la protection des renseignements personnels. Ce dernier examinera les demandes et en accusera réception dans les 24 heures; en son absence, les demandes seront transférées à une personne appropriée aux fins de traitement. Le client sera tenu au courant du progrès que réalise l’agent de conformité à l’égard de la situation, et la documentation complète de la préoccupation signalée et toutes les activités s’y rattachant seront conservées dans le dossier du client.

L’agent de conformité du cabinet fera suivre toutes les préoccupations, demandes de nature générale ou requêtes liées à la confidentialité et aux produits et services de la compagnie au chef de la conformité de cette compagnie.

4. Demandes de clients visant à accéder aux renseignements personnels

En vertu des lois relatives à la protection des renseignements personnels, les clients ont le droit d’accéder à leurs renseignements personnels consignés dans des dossiers tenus par le cabinet ou la compagnie et de contester leur exactitude, le cas échéant.

Procédure

Toute demande d’accès d’un client à ses renseignements personnels consignés dans les dossiers de client du cabinet est envoyée à l’agent de conformité du cabinet afin qu’il réponde à la demande du client dès que possible, et au plus tard 30 jours après la réception de la demande.

Corrigez ou modifiez tout renseignement personnel si son exactitude ou son intégralité sont remises en question et s’il s’avère que ce renseignement est effectivement erroné ou incomplet. Consignez au dossier tous les désaccords relatifs aux renseignements et, le cas échéant, informez-en les tierces parties. 

Si un client demande d’accéder à ses renseignements personnels détenus par la compagnie, le cabinet GCP suivra les processus qu’a établis cette dernière. 

5. Usage à mauvais escient des renseignements personnels

Procédure

L’agent de conformité du cabinet doit signaler sans délai tout usage à mauvais escient de renseignements personnels ou toute atteinte possible aux mesures de sécurité quant aux produits et aux services de la compagnie au chef de la conformité de la compagnie.

6. Processus visant les incidents en matière de confidentialité et les atteintes à la vie privée

Politique

Les atteintes présumées ou réelles, les plaintes ou toutes les préoccupations reliées à un problème de confidentialité, peu importe qu’elles touchent une personne ou un fournisseur, sont immédiatement déclarées à l’agent de conformité du cabinet et à la compagnie. L’agent de conformité du cabinet empêchera la divulgation des renseignements, évaluera la situation, corrigera la situation et contribuera à l’amélioration des mesures de contrôle afin d’éviter toute atteinte semblable à l’avenir.

Processus de confinement des atteintes

En cas d’atteinte à la vie privée touchant les renseignements des clients, le cabinet communiquera avec :

  • L’agent de conformité de l’entreprise dont il est question; 
  • La Conformité des conseillers pour les affaires de la Canada Vie  
  • Directrice de la conformité pour les affaires de la Financière Horizons 
  • Bureau du Chef de la protection des renseignements personnels pour les affaires de la  IA Groupe financier. 
  • Le Responsable de la protection des renseignements personnels et de la vie privée pour les affaires d’Humania. 
  • Le Chef de la protection des renseignements personnels, responsable de la protection des renseignements personnels pour les affaires de la Financière Manuvie. 
  • Chef de la protection des renseignements personnels pour les affaires de Placements Mackenzie 

En plus des étapes décrites plus haut, nous suivrons les étapes décrites ci-dessous en fonction du type d’atteinte subi.

Perte, vol ou piratage d’appareils électroniques

  • Mobilisez l’équipe de soutien aux TI du cabinet  
  • Effectuez un balayage des ordinateurs afin de détecter tout logiciel malveillant avant d’accéder de nouveau aux systèmes. 
  • Communiquez immédiatement avec l’équipe de soutien technologique de chaque compagnie pour demander la modification des mots de passe. 
  • Communiquez avec le service de police pour déposer une plainte.  
  • Modifiez les mots de passe des autres systèmes (p. ex. service bancaire en ligne).  

Perte ou vol de documents papier (p. ex. polices, propositions, autres)  

  • Communiquez avec le service de police pour signaler le vol de documents. 
  • À note : le cabinet Groupe Contact Plus Inc. est un cabinet sans papiers. 

Courriels ou courrier envoyés au mauvais destinataire  

Courriel 

  • Rappelez immédiatement le courriel. 
  • Si ce n’est pas possible, communiquez avec le mauvais destinataire pour lui demander de confirmer par écrit qu’il a supprimé le courriel, qu’il ne l’a pas enregistré et ne l’a pas transféré à un autre destinataire.  

Courrier 

  • Demandez au mauvais destinataire de retourner le courrier ou confirmez que le courrier a été détruit de façon sécuritaire (p. ex., déchiquetage). 

Cyberattaque 

Une cyberattaque vise des ordinateurs ou des réseaux informatiques qui tentent d’exposer, de modifier, de désactiver, de détruire, de voler ou d’obtenir des informations au moyen d’un accès non autorisé à un actif ou d’utiliser cet actif sans autorisation. 

  • Mobilisez l’équipe de soutien aux TI de l’entreprise 
  • Communiquez avec le service de police

Rançongiciel 

Un rançongiciel est un type de logiciel malveillant (maliciel) qui empêche les utilisateurs d’utiliser leurs systèmes ou en limite l’utilisation en verrouillant l’écran du système ou en verrouillant les dossiers d’un utilisateur jusqu’à ce qu’un montant (une rançon) soit payé. 

  • Mobilisez l’équipe de soutien aux TI de l’entreprise 
  • Communiquez avec le service de police

Processus de documentation 

Le processus de documentation de toute atteinte à la vie privée débute dès que cette atteinte a été contenue. Tous les dossiers d’atteinte à la vie privée seront conservés de façon sûre.

Les dossiers sur les atteintes à la vie privée seront conservés pendant 24 mois. Le cabinet fournira les dossiers au Commissaire à la protection de la vie privée ou à d’autres organisations sur demande.

Le ou les dossiers comprendrons les éléments suivants : 

  • Date de l’atteinte 
  • Description des circonstances de l’atteinte 
  • Nombre de personnes visées 
  • Types de renseignements personnels en cause 
  • Sensibilité de l’information visée par l’atteinte 
  • Probabilité de l’utilisation à mauvais escient 
  • Un indicateur pour confirmer : 
  • Si l’atteinte a entraîné un risque réel de préjudice grave et une explication quant à cette conclusion 
  • Que la ou les personnes visées ont été avisées 
  • La date de confirmation et d’avis visant le Commissariat à la protection de la vie privée  

Effectuer une évaluation du risque réel de préjudice grave (RRPG)Tous les incidents d’atteinte à la vie privée seront évalués pour déterminer s’ils ont posé un risque réel de préjudice grave (RRPG).

Pour déterminer s’il existe un risque réel de préjudice grave, les questions seront évaluées :

Les renseignements personnels visés par l’incident sont-ils de nature délicate?

Les renseignements personnels de nature délicate comprennent, sans s’y limiter, le NAS, les renseignements bancaires et les renseignements médicaux. Les renseignements personnels ont-ils été obtenus de façon malveillante?

Cela comprend l’obtention de renseignements personnels au moyen d’un vol, d’une fraude ou du piratage d’un système?

Est-ce que 5 personnes ou plus sont visées?

Les renseignements n’ont-ils toujours pas été récupérés?

Êtes-vous toujours en attente d’une confirmation indiquant que les renseignements personnels ont été détruits?

L’incident découle-t-il d’un problème systémique?

S’est-il écoulé plus de 20 jours ouvrables entre la date de l’incident et la date de découverte de l’incident?Si l’une des réponses est « oui » à une des questions ci-dessus, il existe un RRPG pour la ou les personnes visées par l’incident. En tenant compte de la nature délicate des renseignements personnels visés par l’incident et de la probabilité que les renseignements aient été ou soient utilisés de façon malveillante, il doit être déterminé si l’incident présente un RRPG à la ou aux personnes visées.

Si vous considérez que les renseignements personnels visés par l’incident sont de nature « très délicate » et que la probabilité que ces renseignements personnels soient utilisés de façon malveillante est aussi « élevée », il existe un RRPG et les mesures indiquées à la section 2.4 doivent être suivies. Dans le cas des renseignements de la Canada Vie, communiquez avec la Conformité des conseillers au besoin pour obtenir de l’aide afin de déterminer si les renseignements sont de nature délicate et si les probabilités d’utilisation malveillante sont élevées. (Voir la section 2.3.2. Pour savoir avec qui communiquer dans le cas des autres compagnies que nous représentons)
Déclaration obligatoire des atteintes à la protection des renseignements personnels en vertu de la LPRPDE

Si le cabinet détermine que l’incident présente un risque réel de préjudice grave, elle doit en informer la ou les personnes concernées et déclarer l’incident au Commissariat à la protection de la vie privée du Canada (le « Commissariat ») et aux organismes de réglementation provinciaux applicables, et ce, dès que possible et même s’il n’y a qu’une seule personne visée.

Le cabinet doit également informer de l’incident toute autre organisation ou entreprise qui pourrait atténuer le préjudice aux personnes concernées (p. ex., ajouter un indicateur aux comptes des clients). Dans le cas de clients de la Canada Vie, communiquez avec la Conformité des conseillers. (Voir la section 2.3.2. Pour savoir avec qui communiquer dans le cas des autres compagnies que nous représentons)

Avis aux personnes concernées

Voici l’information que le cabinet fournira aux personnes concernées, dans son avis sur l’atteinte aux mesures de protection des renseignements personnels :

  • une description des circonstances de l’atteinte;
  • la date à laquelle l’atteinte s’est produite ou la période sur laquelle elle s’est échelonnée, ou, si les dates précises sont inconnues, une approximation des dates;
  • une description des renseignements personnels touchés, dans la mesure où il est possible de le déterminer;
  • une description des mesures que l’entreprise a mises en place pour réduire les risques de préjudice découlant de l’atteinte;
  • une description des mesures que pourraient prendre les personnes concernées pour réduire les risques de préjudice découlant de l’atteinte ou atténuer ces préjudices; et
  • les coordonnées permettant aux personnes concernées de se renseigner davantage au sujet de l’atteinte.
    Avis aux organismes de réglementation
  • Envoyez un avis au Commissariat à la protection de la vie privée (fédéral) au moyen du formulaire Rapport d’atteinte à la LPRPDE.
  • Québec – Envoyez un avis à l’Autorité des marchés financiers (« AMF ») pour l’informer de toute atteinte à la protection des renseignements personnels qui pourrait nuire aux intérêts ou aux droits d’un consommateur ou à la réputation de l’entreprise.

7. Obtenir l’autorisation valide et éclairée du client

Politique 

Au début de la relation avec un client, le cabinet obtiendra son autorisation écrite pour la collecte, l’utilisation et la communication de ses renseignements personnels et l’avisera du stockage possible à l’extérieur du Canada.  

Lors de la collecte de renseignements auprès de clients existants et potentiels, expliquez le but de la collecte de ces renseignements et fournissez des renseignements sur les politiques en matière de protection des renseignements personnels du cabinet.  

Communiquez uniquement des renseignements personnels sur les clients à une autre personne ou société si une autorisation verbale ou écrite du client a été obtenue ou lorsque la loi vous y autorise ou vous y oblige. S’il s’agit de renseignements de nature délicate, vous devez obtenir une autorisation écrite. 

Le cabinet recommandera les services d’autres professionnels ou conseillers aux clients s’ils en font la demande ou si les clients peuvent tirer avantage de tels services. Le cabinet ne fournit jamais le nom des clients ni d’autres renseignements les concernant à des tiers susceptibles d’utiliser ces renseignements en vue d’offrir leurs services, à moins que les clients en aient été informés et y aient consenti. 

8. Nouveaux droits d’accès et nouvelles utilisations des renseignements du client

Politique

Le cabinet obtiendra l’autorisation écrite du client advenant tout changement de l’objectif ayant motivé la collecte, l’utilisation et la communication des renseignements personnels du client, ainsi que l’accès à ceux-ci.

Procédure

Passez en revue le nouvel objectif et les nouveaux droits d’accès, d’utilisation et de communication avec le client et conservez une copie de la nouvelle autorisation dans le dossier de client.  

Si le client s’oppose à un transfert ou aux nouveaux droits d’accès, il peut :

  • Demander que ses renseignements ne soient pas communiqués
  • Demander de faire affaire avec un nouveau conseiller
  • Demander le nom d’autres conseillers qu’il peut joindre ou le nom et le numéro de téléphone du directeur général régional auquel il peut s’adresser pour demander un autre conseiller.

Contrats avec les fournisseurs

Politique

Le cabinet exige l’autorisation du client avant de transférer les renseignements d’un client à un fournisseur et conserve le contrôle sur les renseignements lors du transfert de renseignements personnels à un fournisseur aux fins de traitement.

Les transferts de renseignements aux fournisseurs aux fins de traitement, y compris les services infonuagiques, sont effectués pour différentes raisons, notamment le stockage de données et le traitement ou la manipulation des renseignements personnels du client.

Procédure

Avant de conclure, de modifier substantiellement ou de renouveler une entente contractuelle avec un fournisseur, le cabinet évalue les mesures de protection afin de s’assurer que le fournisseur est en mesure de protéger les renseignements du client de façon appropriée.

Le cabinet effectuera une vérification auprès d’un conseiller juridique avant d’accepter les modalités du fournisseur et conservera une copie imprimée de l’entente pour ses dossiers.

9. Exception visant les autorisations de transactions commerciales

Les transactions commerciales comprennent, par exemple, la vente d’un cabinet, une fusion de deux organisations ou plus ou toute autre entente prescrite entre deux organisations ou plus visant à mener une activité commerciale.

Politique

Lorsque nécessaire, le cabinet transfère des renseignements personnels afin de déterminer si une transaction doit être effectuée ou afin d’effectuer une transaction. Les renseignements doivent uniquement être utilisés ou communiqués aux fins relatives à la transaction, protégés de façon adéquate, retournés ou détruits lorsqu’ils ne sont plus nécessaires à cette fin, et les clients concernés doivent être avisés que leurs renseignements personnels ont été transférés à une autre organisation.

Procédure

Lors de la réception de renseignements personnels, le cabinet conclut une entente visant à utiliser ou à communiquer les renseignements uniquement dans le cadre de la transaction et à les protéger et à les retourner ou à les détruire si la transaction n’est pas effectuée. Si la transaction est effectuée, le cabinet avisera les clients concernés que leurs renseignements personnels ont été transférés à une autre organisation.

Conventions de rachat

Politique

Le cabinet utilisera, communiquera et protégera les renseignements du client pendant le processus d’évaluation et lors de la recherche d’un acheteur pour le bloc d’affaires ou au moment d’acheter un bloc d’affaires.

Procédure

Le cabinet limite l’identification des renseignements de client dans les documents partagés avec des tiers et communique avec des conseillers juridiques pour rédiger une entente de confidentialité appropriée qui doit être signée par les tiers visés par le processus d’évaluation du bloc d’affaires en vue d’un achat ou d’une vente possible.

10. Collecte de renseignements personnels

Politique

Lors de la collecte de renseignements personnels :
Le cabinet limite la quantité et le type des renseignements recueillis au strict nécessaire pour la réalisation des fins visées.
Tous les efforts raisonnables sont mis pour veiller à ce que les renseignements sur les clients existants et éventuels faisant partie de nos dossiers clients soient exacts et mis à jour ou corrigés au besoin.
Nous prenons les mesures nécessaires afin de nous assurer que les renseignements recueillis sont utilisés aux fins déterminées et non à d’autres fins, et qu’ils ne sont pas communiqués à une tierce partie sans le consentement du client existant ou éventuel, sauf indication contraire dans la loi.

11. Enregistrement des entretiens téléphoniques avec les clients

Politique

Tout enregistrement des appels avec les clients implique la collecte de renseignements personnels. Par conséquent, l’appelant doit consentir à l’enregistrement.

Procédure

Chaque appelant est averti par notre boite vocale que l’appel sera enregistré. Si l’appelant continu l’appel suite à l’avertissement, le cabinet considère qu’il y a consentement. L’enregistrement ne peut avoir lieu qu’avec le consentement du client. Si l’appelant s’y refuse, nous lui fournirons d’autres solutions sensées. S’il refuse toujours, nous cesserons l’enregistrement de la conversation immédiatement et détruirons tout enregistrement existant. Si une copie du dossier du client est demandée, nous lui fournirons les enregistrements d’entretiens téléphoniques.

12. Utilisation, communication et conservation

Politique

Les renseignements personnels ne seront pas, sans consentement, utilisés ou communiqués à un tiers à des fins autres que celles auxquelles ils ont été recueillis, sauf si cette utilisation ou communication est requise ou permise par la loi.
Le cabinet ne conserve les renseignements personnels que pendant la période où ils sont nécessaires aux fins déterminées, ou comme requis ou permis par la loi, et est entièrement responsable de la conservation en lieu sûr de ces documents et de la protection de la confidentialité de ceux-ci.
Les renseignements personnels qui ne sont plus nécessaires aux fins précisées au moment de la collecte sont détruits ou effacés de façon sécuritaire.

Destruction sécuritaire
Politique

1. Les documents papier renfermant tout renseignement personnel concernant un client existant ou éventuel sont détruits par déchiquetage, et non recyclés.
2. Les renseignements sont supprimés de tous les supports électroniques avant la destruction de ces derniers. Les dispositifs de stockage doivent être détruits afin de s’assurer que les données qu’ils contiennent ne peuvent pas être récupérées.
1. Lors de l’élimination ou de la destruction des renseignements personnels, nous prenons les mesures appropriées pour empêcher les parties non autorisées d’accéder aux renseignements.
2. Au moment de se défaire d’équipements ou d’appareils utilisés pour conserver des renseignements personnels (par exemple, des classeurs, des ordinateurs, des disquettes et des bandes sonores), nous prenons les mesures appropriées pour supprimer tous les renseignements consignés ou empêcher autrement des parties non autorisées d’y accéder.

Conservation des documents
Politique

Les dossiers sur les clients du cabinet sont être conservés pendant au moins la durée minimale stipulée par la loi.

13. Mesures de protection

Politique

Les mesures de protection appropriées ont été prises pour ce qui est du stockage et de l’élimination des renseignements sur les clients. Toutes les personnes liées au cabinet ou à son emploi sont tenues de respecter les procédures décrites dans cette section.

Procédure

Le cabinet utilise une combinaison de mesures de protection technologiques, physiques et organisationnelles pour protéger les renseignements personnels des clients contre le vol et la mauvaise utilisation, ainsi que contre l’accès, la communication, la reproduction, l’utilisation ou les modifications non autorisées.