Politique sur la protection des renseignements personnels

Compte tenu que les entreprises doivent avoir et adapter leurs politiques et leurs pratiques en vue de se conformer aux obligations prévues en matière de confidentialité et de protection des renseignements personnels qu’elles recueillent, il est primordial d’établir une politique interne et des procédures pour la protection des renseignements personnels, et ce, conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (LRQ. Chapitre P-39.1).

Cette politique inclut la conformité avec les obligations en matière de gestion des renseignements personnels au moment de leur collecte, de leur utilisation, de leur divulgation, de leur conservation, de leur protection et de leur destruction. Cette politique s’applique à tous les mandataires et préposés de PIERRE DE SERRES SERVICES FINANCIERS INC. Toutes les entreprises fournissant des biens et services au Québec doivent se conformer à cette loi. 

Il faut entendre, par renseignement personnel, tout renseignement qui concerne une personne physique et qui permet de l’identifier, tant directement qu’indirectement. À titre d’exemples, voici des types de renseignements personnels :

• Prénom et nom;
• Âge; 
• Adresse de domicile;  
• Adresse électronique personnelle, les messages courriel personnels et l’adresse IP; 
• État matrimonial;  
• Situation financière (revenus, placements, assurances, actifs, passifs, etc.);  
• Le numéro d’assurance sociale (NAS), de permis de conduire ou de passeport, numéro d’assurance maladie, numéro de plaque d’immatriculation; 
• Opérations financières auxquelles une personne a participé;  
• Ordres ou opérations dans le compte d’une personne;  
• Les relevés de compte de placement;  
• Renseignements bancaires (ex. : numéros de compte de banque ou caisse);  
• Les déclarations de revenus;  
• Dossiers médicaux, le groupe sanguin, l’ADN, etc.;
• Questionnaires médicaux (assurances);
• Contrats d’assurance et proposition d’assurance;
• Situation familiale;  

Et autres. 

La mise en œuvre et l’application de cette politique a été confiée à Pierre De Serres qui est la personne responsable de la protection des renseignements personnels. Non seulement cette personne a la tâche élevée de veiller au respect des différentes lois applicables à la protection des renseignements personnels, mais elle est tenue d’assurer la circulation de l’information ainsi que la formation des membres de l’organisation sur les procédures et pratiques de cette politique. L’application de cette politique s’inscrit dans un cadre déontologique et légal qui privilégie la prudence dans la collecte, l’utilisation et la divulgation des renseignements personnels ainsi que la confidentialité et la protection de ceux-ci. Finalement, cette personne aura la charge de recevoir les demandes d’information ou d’accès ou de rectification ainsi que les plaintes en lien avec la protection des renseignements personnels.

La Commission d’accès à l’information (CAI) du Québec est responsable de veiller au respect et à l’application de la loi sur la protection des renseignements personnels – secteur privé. Elle a des pouvoirs d’inspection ainsi que le pouvoir d’imposer des sanctions et des pénalités importantes en cas de non-respect. Des informations en lien avec le mandat et les pouvoirs de la CAI ainsi que sur les obligations des entreprises sont disponibles sur son site web : https://www.cai.gouv.qc.ca/

Avant de procéder à la collecte de renseignements personnels qui sont nécessaires (et qui concernent une personne physique), les informations suivantes doivent être fournies à la personne concernée de qui on désire obtenir ces renseignements. Il faudra donc l’informer de ceci :

1. Les objectifs pour lesquels les renseignements sont recueillis;
2. Les moyens par lesquels les renseignements sont recueillis (par exemple, un formulaire, par téléphone, une captation vidéo);
3. Expliquer ses droits quant à ses droits d’accès et de rectification prévus par la loi;
4. Son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis.

Le cas échéant, les informations suivantes devront aussi être fournies :

5. Nom du tiers pour qui la collecte est faite, si applicable;
6. Nom du tiers ou des catégories de tiers à qui il est nécessaire de communiquer les renseignements pour atteindre les objectifs justifiant la collecte;
7. Possibilité que les renseignements soient communiqués à l’extérieur du Québec (par exemple, si les renseignements recueillis sont stockés chez un fournisseur infonuagique dans une autre province ou un autre pays).

Le cabinet s’engage à recueillir seulement les renseignements personnels d’un client qui sont nécessaires à la constitution de son dossier, dans la mesure où celui-ci aura donné un consentement, sauf les cas prévus à la loi qui permettent de recueillir de tels renseignements sans le consentement du client. Lorsque requis, le consentement sera exigé avant de recueillir les renseignements.

Pour être valide, le consentement d’une personne doit être :

• Manifeste : évident et donné d’une façon qui démontre la volonté réelle de la personne concernée;
• Libre : impliquant un réel choix et donné sans contraintes ou pression indue;
• Éclairé : précis, donné en toute connaissance de cause et avec toutes les informations nécessaires pour comprendre la portée du consentement;
• Spécifique : donné dans un objectif précis et clairement circonscrit;
• Temporaire : valide seulement pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.

Un consentement valide doit aussi être :

• Granulaire : demandé pour chaque fin spécifique;
• Compréhensible : demandé en termes simples et clairs;
• Distinct : demandé distinctement de toute autre information, lorsque la demande est faite par écrit.

Pour plus de précisions quant aux critères de validité du consentement, la CAI a rendu disponible des lignes directrices : https://www.cai.gouv.qc.ca/documents/CAI_LD_Criteres_validite_consentement.pdf

Il est permis de demander le consentement de différentes façons :

• par écrit;
• verbalement;
• par téléphone, incluant par un message automatisé;
• de façon électronique ou numérique ou par rencontre virtuelle vidéo.

Consentement d’un mineur : différentes situations peuvent survenir :

• Si le mineur a moins de 14 ans, le consentement à l’utilisation ou à la communication de ses renseignements personnels devra être donné par le parent ou le titulaire de l’autorité parentale;
• Si le mineur a 14 ans ou plus, le consentement pourra être donné par le mineur lui-même ou par le parent ou le titulaire de l’autorité parentale;
• Si cette collecte est manifestement au bénéfice du mineur, il sera possible de procéder à cette collecte sans consentement parental.

Dans le but de pouvoir exécuter le mandat confié par les clients, voici les catégories de renseignements qui sont recueillis :

• Renseignements servant à identifier et à authentifier la personne;
• Renseignements sur sa santé;
• Renseignements sur ses dossiers d’assurance;
• Renseignements financiers;
• Renseignements d’emploi;
• Renseignements sur ses produits et services utilisés et sur ses opérations;
• Renseignements sur ses proches;
• Renseignements numériques (sites web, applications, médias sociaux, portails, etc.);
• Renseignements sur ses communications avec nous;
• Autres renseignements dont la collecte est exigée par une loi, un règlement, une directive ou une norme qui sont applicables à nos activités.

Les renseignements personnels recueillis ne seront utilisés et communiqués qu’aux seules fins pour lesquelles ils auront été recueillis et dans le cours normal de nos affaires dans l’unique but d’exécuter le mandat qui nous est confié.

Les personnes aux services du cabinet pourront en prendre connaissance, et cela, à la condition que le partage de ces renseignements soient nécessaires à l’exercice de leurs fonctions ou à l’exécution de leurs responsabilités.

Si ceci est nécessaire pour atteindre les objectifs visés, et ce, dans le but d’accomplir et réaliser le mandat qui nous est confié par les clients dans le cours normal de nos affaires, nous pouvons communiquer les renseignements personnels à des tiers (partenaires) afin que ceux-ci s’acquittent de leurs tâches, fonctions et obligations contractuelles conclues avec nous. Évidemment, nous devons nous assurer au préalable que ces tiers aient de bonnes pratiques en matière de sécurité de l’information et de protection des renseignements personnels.

Lieu de conservation : Nous conservons principalement les renseignements personnels sous notre responsabilité sur le territoire du Québec ou au Canada. Il arrive et pourrait arriver que nous fassions affaires avec des fournisseurs partenaires externes (tiers) qui sont basés ailleurs, faisant ainsi en sorte que nous pouvons communiquer vos renseignements personnels dans un autre pays ou une autre province. Évidemment, nous nous assurons qu’ils aient de bonnes pratiques en matière de sécurité de l’information et de protection des renseignements personnels avant de leur communiquer ces renseignements.

Avant de partager des renseignements personnels avec un tiers situé à l’extérieur du Canada, nous procéderons à une Évaluation des facteurs de risques à la vie privée, dont le résultat devra être à notre satisfaction. Nous documenterons cet exercice pour référence ultérieure.

Supports de conservation : Les renseignements personnels que nous recueillons sont conservés sous différents formats et sur différents supports, principalement sous forme numérique et papier. Nous appliquons des mesures de sécurité très strictes pour protéger les renseignements personnels contre tout incident, peu importe le format sous lequel nous les détenons. Nous nous efforçons d’adapter, de manière continue, nos mesures de sécurité aux progrès technologiques. Entre autres, nous appliquons des mesures de sécurité physiques, technologiques et administratives.

Nous nous engageons à mettre en place des mesures que nous croyons appropriées afin d’assurer la protection des renseignements personnels que nous conservons, notamment contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les mesures de protection utilisées s’appliquent quelle que soit la forme de support utilisé pour les conserver. Voici des exemples de moyens que nous utilisons :

Mesures de sécurité physiques :

• Contrôles physiques des visiteurs à nos locaux administratifs dès leur arrivée;
• Accès restreints à nos locaux administratifs ainsi qu’aux locaux dans lesquels nos serveurs se retrouvent;
• Sauvegarde et archivage des renseignements personnels dans un système de sauvegarde d’urgence;
• Autres mesures de sécurité.

Mesures de sécurité technologiques :

• Authentification à multiples facteurs pour accéder à la plupart de nos différents systèmes;
• Chiffrement des données lorsque nécessaire pour leur conservation ou leur communication à l’extérieur de l’organisation;
• Certificats numériques;
• Antivirus et Pare-feu;
• Journalisation des accès aux différents systèmes;
• Autres mesures de sécurité.

Mesures de sécurité administratives :

• Vérifications de sécurité pour certains types d’emplois;
• Contrôle des droits d’accès aux renseignements personnels afin de limiter au strict nécessaire;
• Enregistrement (journalisation) de toutes les opérations de copie et d’exportation de renseignements personnels dans le cadre de nos activités courantes;
• Surveillance constante de nos installations afin de détecter des activités suspectes;
• Formation et sensibilisation régulière du personnel aux politiques, aux pratiques et aux procédures en matière de sécurité et de protection des renseignements personnels;
• Vérification de l’identité de toute personne souhaitant obtenir des renseignements personnels, que ce soit en ligne, au téléphone ou en personne;
• Autres mesures de sécurité.

Nous conservons les renseignements personnels recueillis aussi longtemps que nécessaire pour :

• Atteindre les buts pour lesquels nous les avons recueillis, et;
• Respecter les obligations que nous imposent différentes lois et règlements qui s’appliquent à nos activités.

Même lorsqu’un client ne fait plus affaires avec nous, nous devons tout de même les conserver pendant une certaine période pour respecter nos obligations légales et réglementaires ainsi que pour protéger nos droits en cas de litige.

La durée minimale de conservation des livres, registres et dossiers clients sera celle prescrite par règlement, soit 5 ans à partir de la fermeture du dossier (discipline de l’assurance de personnes).

Toute destruction de dossiers, livres, registres ou documents contenant des renseignements personnels doit être effectuée en respectant le caractère confidentiel de ces renseignements.

Une fois que le délai de conservation exigé est passé, nous détruisons vos renseignements personnels de façon définitive et de manière sécuritaire selon notre calendrier de conservation.

Nous nous engageons à respecter les droits des personnes nous partageant leurs renseignements personnels en conformité avec la loi sur la protection des renseignements personnels – secteur privé.

Ceux-ci bénéficient des droits suivants :

a) Droit de modifier son consentement
La personne qui nous a partagé ses renseignements personnels peut demander de consulter et modifier ses préférences de consentement à la collecte, à l’utilisation et à la communication de vos renseignements personnels à tout moment.

Puisque le consentement donné à l’origine est temporaire, elle a aussi le droit de retirer son consentement. Vu nos obligations contractuelles et légales qui nous obligent à conserver certains renseignements personnels pour pouvoir continuer de servir la personne, nous ne pourrons plus lui offrir nos produits et services pour l’avenir.

b) Droit d’accéder à ses renseignements personnels
La personne qui a fourni ses renseignements personnels peut en tout temps accéder aux renseignements personnels que nous détenons à son sujet.

Pour ce faire, elle doit présenter une demande écrite à notre responsable de la protection des renseignements personnels et y expliquer les raisons pour lesquelles elle fait cette demande afin que celle-ci soit bien comprise et pour nous permettre d’identifier les documents contenant les renseignements personnels auxquels la personne souhaite avoir accès.

Nous traiterons cette demande dans un délai de 30 jours après l’avoir reçue, à moins de circonstances exceptionnelles.

Nous lui transmettrons une réponse écrite, accompagnée des renseignements auxquels elle souhaite avoir accès dans un format technologique structuré et souvent utilisé (ex. : un fichier PDF).

Entre autres, la personne peut nous demander :

• Si nous détenons des renseignements personnels qui la concernent;
• De quelle façon ses renseignements personnels ont été recueillis, utilisés et communiqués;
• Si une autre personne ou organisation détient ses renseignements personnels pour nous;
• De consulter les renseignements personnels que nous détenons sur elle.

L’accès aux renseignements personnels sera gratuit, sous réserve de frais raisonnables pouvant être exigés pour la transcription, reproduction ou transmission. Dans l’éventualité où des frais seraient exigibles, le client en sera informé au préalable.

L’accès aux renseignements personnels pourrait être refusé dans l’une des situations suivantes :

• Les renseignements personnels contiennent des détails sur d’autres personnes;
• La divulgation des renseignements personnels pourrait nuire à une enquête menée par notre service interne;
• La divulgation des renseignements personnels pourrait avoir un effet sur une procédure judiciaire dans laquelle nous avons un intérêt;
• L’impossibilité de reproduire les renseignements personnels en raison du support sur lequel ils sont détenus.

Par ailleurs, tout refus sera motivé et notifié par écrit à la personne concernée.

Note importante : Nous ne pouvons pas lui transmettre des renseignements qui révéleraient de l’information sur une autre personne.

c) Droit de modifier, corriger ou rectifier ses renseignements personnels
Si la personne qui nous a fourni ses renseignements personnels souhaite modifier des renseignements que nous détenons sur elle, par exemple, à la suite d’un changement d’adresse ou un changement dans sa situation personnelle, il est de sa responsabilité de communiquer avec nous.

Si elle désire rectifier des renseignements inexacts ou incomplets que nous détenons à son sujet, elle doit communiquer avec nous pour en faire la demande et nous fournir les informations nécessaires justifiant sa demande.

d) Droit de demander de supprimer ses renseignements personnels
La personne qui nous a fourni ses renseignements personnels peut nous demander de supprimer ses renseignements personnels. Toutefois, notre réponse pourrait varier en fonction de la situation.

Dans certaines situations, il se pourrait que nous ne puissions pas supprimer ses renseignements personnels en raison de nos obligations légales et réglementaires. Si c’est le cas, nous lui expliquerons les motifs pour lesquels nous ne pouvons le faire.

Dans certains cas, la suppression de ses renseignements personnels nous amènera à ne plus pouvoir la servir ni lui offrir nos produits et services.

Procédures concernant les plaintes

Dans l’éventualité d’un refus à communiquer à un client un renseignement personnel le concernant ou du non-respect d’un des principes énoncés ci-dessus, le client aura le loisir de formuler ses commentaires, préoccupations ou plainte à l’attention de notre personne responsable de la protection des renseignements personnels.

Celle-ci s’engage à répondre à toute demande dans un délai de 30 jours suivant la réception d’une telle plainte et à informer le plaignant des mesures entreprises. Si elle le juge nécessaire, la personne responsable fera une enquête. Elle communiquera au plaignant le résultat du traitement de la plainte reçue à l’intérieur de ce délai.

Un incident de confidentialité correspond à tout accès, utilisation ou communication non autorisés par la loi d’un renseignement personnel, de même qu’à la perte d’un renseignement personnel ou à toute autre atteinte à sa protection.

Si nous avons des motifs de croire qu’un incident de confidentialité impliquant un renseignement personnel que nous détenons s’est produit, nous devons prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent. 

Tout incident de confidentialité doit être déclaré immédiatement à la personne responsable de la protection des renseignements personnels. Immédiatement après en avoir été informée, cette personne responsable devra déployer tous les efforts nécessaires et raisonnables afin d’investiguer la situation, de minimiser les impacts d’un tel incident de confidentialité et devra veiller à rétablir la situation dans les meilleurs délais. Elle pourra retenir les services de personnes expertes en matière de protection des renseignements personnels et en sécurité de l’information si elle le juge nécessaire.

De plus, en application des ententes contractuelles conclues avec notre agent général, nous devons en informer immédiatement MICA en communiquant avec son service des affaires juridiques.

Aussi, en application des ententes contractuelles conclues avec nos partenaires pour qui nous distribuons des produits d’assurance de personnes, nous devons informer immédiatement chacune des compagnies d’assurances auprès desquelles les clients concernés par l’incident de confidentialité afin de les informer de la situation.

Responsabilités de la personne responsable de la protection des renseignements personnels

Prendre des mesures pour diminuer les risques et éviter de nouveaux incidents

Si nous avons des motifs de croire qu’un incident de confidentialité impliquant un renseignement personnel que nous détenons s’est produit, nous devons prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.

Les questions suivantes sont utiles afin d’évaluer rapidement la situation :

• Qui : Quelles sont les personnes concernées par l’incident? S’agit-il d’employés, de clients ou de partenaires d’affaires? Qui peut avoir eu accès aux renseignements personnels?
• Combien : Combien de personnes sont touchées par l’incident?
• Quoi : Quelle est la nature des renseignements personnels visés par l’incident? Sont-ils des renseignements sensibles? Quels sont les risques pour les personnes concernées?
• Quand : Quand l’incident a-t-il eu lieu? Quand a-t-il été découvert?
• Où : Où l’incident a-t-il eu lieu? Au sein de l’organisation? Si oui, dans quel secteur? L’incident a-t-il eu lieu chez un tiers détenant des renseignements personnels pour le compte de l’organisation (ex. : un mandataire, un fournisseur)?
• Pourquoi: Quelles sont les causes? Quelles mesures de sécurité étaient en place au moment de l’incident? Pourquoi n’ont-elles pas été efficaces?

Les mesures raisonnables à mettre en place dépendent de l’état de la situation. Toutes les situations sont différentes. Même si l’ensemble des informations pertinentes ne sont pas connues dès le départ, il est important de réagir rapidement. Au besoin, nous continuerons d’adapter nos mesures ou à en adopter de nouvelles au fur et à mesure que les circonstances et les impacts de l’incident se précisent.

Évaluer si l’incident présente un risque de préjudice sérieux

Pour tout incident de confidentialité, la personne responsable de la protection des renseignements personnels devra évaluer la gravité du risque de préjudice pour les personnes concernées. Pour ce faire, elle doit considérer, notamment :

• la sensibilité des renseignements concernés;
• les conséquences appréhendées de leur utilisation;
• la probabilité qu’ils soient utilisés à des fins préjudiciables.

Au besoin, nous pourrons également impliquer d’autres acteurs, comme des experts externes.

Si l’analyse fait ressortir un risque de préjudice sérieux, la personne responsable de la protection des renseignements personnels doit aviser la Commission et les personnes concernées de l’incident. Dans le cas contraire, elle doit tout de même poursuivre ses travaux pour réduire les risques et éviter qu’un incident de même nature se produise à nouveau.

Qui aviser lorsque l’incident représente un risque de préjudice sérieux?

a) La Commission d’accès à l’information
En remplissant et transmettant le formulaire prévu à cet effet : https://www.cai.gouv.qc.ca/documents/CAI_FO_avis_incident_confidentialite.pdf

À la suite de l’envoi du formulaire, si nous prenons connaissance de nouvelles informations, nous en informerons la Commission.

b) Les personnes dont les renseignements sont concernés
L’avis à la personne concernée doit l’informer de la portée et des conséquences de l’incident présentant le risque de préjudice sérieux.
Cet avis doit contenir :

• Une description des renseignements personnels visés par l’incident. Si cette information n’est pas connue, nous devons communiquer la raison justifiant l’impossibilité de fournir cette description;
• Une brève description des circonstances de l’incident;
• La date ou la période où l’incident a eu lieu, ou une approximation de cette période si elle n’est pas connue;
• Une brève description des mesures prises ou envisagées pour diminuer les risques qu’un préjudice soit causé à la suite de l’incident;
• Les mesures proposées à la personne concernée afin de diminuer le risque qu’un préjudice lui soit causé ou d’atténuer celui-ci;
• Les coordonnées d’une personne ou d’un service avec qui la personne concernée peut communiquer pour obtenir davantage d’informations au sujet de l’incident.

Note : Toutefois, nous n’avons pas à aviser les personnes dont les renseignements personnels sont concernés, si cet avis est susceptible d’entraver une enquête menée en vertu de la loi pour prévenir, détecter, réprimer le crime ou les infractions aux lois.

c) Les personnes susceptibles de prévenir ou de diminuer le risque de préjudice sérieux
Nous pouvons aviser toute personne ou organisme susceptible de diminuer le risque de préjudice sérieux. Seuls les renseignements personnels nécessaires peuvent alors être communiqués, sans le consentement de la personne concernée. Notre responsable de la protection des renseignements personnels doit conserver cette communication pour référence ultérieure.

Nous tenons un registre dans lequel nous inscrivons tous les incidents de confidentialité impliquant des renseignements personnels. Nous devons y inscrire même les incidents qui ne présentent pas de risque de préjudice sérieux. À la demande de la Commission, nous devons transmettre une copie de notre registre.

Notre registre des incidents de confidentialité doit contenir les éléments suivants :

• Une description des renseignements personnels visés par l’incident. Si cette information n’est pas connue, nous devons inscrire la raison justifiant l’impossibilité de fournir cette description;
• Une brève description des circonstances de l’incident;
• La date ou la période où l’incident a eu lieu, ou une approximation de cette période si elle n’est pas connue;
• La date ou la période au cours de laquelle nous avons pris connaissance de l’incident;
• Le nombre de personnes concernées par l’incident ou, s’il n’est pas connu, une approximation de ce nombre;
• Une description des éléments qui nous amènent à conclure qu’il y a, ou non, risque qu’un préjudice sérieux soit causé aux personnes concernées, comme :
  • la sensibilité des renseignements personnels concernés;
  • les utilisations malveillantes possibles des renseignements;
  • les conséquences appréhendées de l’utilisation des renseignements et la probabilité qu’ils soient utilisés à des fins préjudiciables;
• Les dates de transmission des avis à la Commission et aux personnes concernées, quand l’incident présente un risque de préjudice sérieux. Nous devons aussi préciser si nous avons donné des avis publics et la raison de ceux-ci;
• Une brève description des mesures que nous avons prises à la suite de l’incident, pour diminuer les risques qu’un préjudice soit causé.

Les renseignements du registre doivent être mis à jour et être conservés pour une période minimale de cinq (5) ans, après la date ou période de prise de connaissance de l’incident.

Nous rendons accessibles au public les renseignements suivants :

• Le titre et les coordonnées du responsable de la protection des renseignements personnels;
• De l’information claire et simple à propos de notre politique et nos pratiques concernant la protection des renseignements personnels;
• Une politique de confidentialité concernant les renseignements personnels recueillis par un moyen technologique (ex. : témoins de connexion ou « cookies »).

Ces informations sont rendues accessibles au public, en des termes simples et clairs, de la façon suivante :

• En format papier mis à la disposition des visiteurs à la réception de nos bureaux et/ou dans notre salle d’attente;
• Et sur demande.

Cette politique a été approuvée par la personne responsable de la protection des renseignements personnels.

Fin de la politique