[bws_pdfprint display=’pdf,print’]

Dernière révision: novembre 2018

Entreprise: Nord Est Financière Inc.

Agent de conformité de l’entreprise: Anton Ivanov, [email protected]

1. La protection des renseignements personnels et nos affaires

Les clients fournissent des renseignements personnels qui sont essentiels aux affaires de l’entreprise. Il est crucial de protéger ces renseignements afin de maintenir leur confiance. La loi fédérale pertinente, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), ainsi que les lois provinciales de l’Alberta, de la Colombie-Britannique et du Québec sur la protection des renseignements personnels régissent la collecte, l’utilisation et la communication des renseignements personnels. Par « renseignements personnels », on entend toute donnée se rapportant à une personne identifiable, y compris les données médicales ou financières, de même que les données d’affaires si elles n’ont pas été classées dans la catégorie des « coordonnées d’affaires ». Cette catégorie comprend le titre professionnel, le numéro de téléphone et l’adresse courriel d’affaires de la personne, de même que les données qui sont utilisées dans le cadre de son emploi, de son entreprise ou de sa profession.

L’entreprise est responsable des renseignements personnels dont elle a la gestion, et il lui incombe de prendre toutes les mesures nécessaires pour assurer la sécurité des renseignements personnels et confidentiels en sa possession. Dans certaines situations, cela signifie d’adopter de nouvelles pratiques commerciales afin de protéger la confidentialité des renseignements personnels.

Politique

L’entreprise met à la disposition du public l’information relative à ses politiques et à ses procédures, et elle se conforme aux normes de confidentialité des compagnies (ci-après la « compagnie ») qu’elle représente. 

2. Préoccupations et demandes de renseignements ou requêtes générales

Procédure

Toutes les préoccupations, demandes de nature générale ou requêtes liées à la confidentialité et à l’entreprise sont transmises à l’agent de conformité de l’entreprise. Ce dernier examinera les demandes et en accusera réception dans les 24 heures ou, s’il est absent, les transférera à une personne appropriée aux fins de traitement. Le client sera tenu au courant du progrès réalisé à l’égard de la situation, et la documentation complète de la préoccupation signalée et toutes les activités s’y rattachant seront conservées dans le dossier du client.

L’agent de conformité de l’entreprise fait suivre toutes les préoccupations, demandes de nature générale ou requêtes liées aux produits et services de la compagnie au chef de la conformité de cette compagnie. 

2.1 Demandes de clients visant à accéder aux renseignements personnels 

En vertu des lois relatives à la protection des renseignements personnels, les clients ont le droit d’accéder à leurs renseignements personnels consignés dans des dossiers tenus par l’entreprise ou la compagnie et de contester leur exactitude, le cas échéant. 

Procédure

Toute demande d’accès d’un client à ses renseignements personnels consignés dans les dossiers de client de l’entreprise est envoyée à l’agent de conformité de l’entreprise afin qu’il réponde à la demande du client dès que possible et au plus tard 30 jours après la réception de la demande. 

Corrigez ou modifiez tout renseignement personnel si son exactitude ou son intégralité sont remises en question et s’il s’avère que ce renseignement est effectivement erroné ou incomplet. Consignez au dossier tous les désaccords relatifs aux renseignements et, le cas échéant, informez-en les tierces parties.

Si un client demande d’accéder à ses renseignements personnels détenus par la compagnie, suivez les processus qu’a établis cette dernière. 

2.2 Usage à mauvais escient des renseignements personnels  

Procédure

L’agent de conformité de l’entreprise doit signaler sans délai tout usage à mauvais escient de renseignements personnels ou toute atteinte possible aux mesures de sécurité quant aux produits et aux services de la compagnie au chef de la conformité de la compagnie. 

2.3 Processus visant les incidents en matière de confidentialité et les atteintes à la vie privée

Une atteinte à la vie privée survient lors de la perte ou de la divulgation non autorisée de renseignements personnels, ou de l’accès non autorisé à de tels renseignements découlant d’une atteinte aux mesures de sécurité. Une atteinte à la vie privée se produit également lorsque des renseignements personnels sont conservés d’une façon non conforme à la législation relative à la protection des renseignements personnels, comme lorsque des renseignements personnels sont conservés même s’ils ne sont plus nécessaires aux fins pour lesquelles ils ont été collectés.

Exemples d’atteinte à la vie privée :

  • Des copies des relevés de renseignements personnels de client sont volées d’un véhicule.
  • L’ordinateur portatif d’un conseiller est perdu ou volé et il comprend des renseignements personnels de clients.
  • Le disque dur de l’ordinateur du conseiller comprenant des renseignements personnels sur des clients est compromis ou a été piraté.
  • Les renseignements sur le client n’ont pas été envoyés au destinataire visé par le courriel, à l’interne ou à l’externe.
  • Les renseignements sur le client ont été envoyés par la poste à la mauvaise adresse (une autre personne a ouvert le courrier). 
  • Des renseignements personnels ont été communiqués ou utilisés sans l’autorisation appropriée.
  • Des renseignements sur les clients inactifs sont conservés plus longtemps qu’ils ne le devraient selon les calendriers de conservation.

Politique

Les atteintes présumées, les plaintes ou toutes les préoccupations reliées à un problème de confidentialité, peu importe qu’elles touchent une personne ou un fournisseur, sont immédiatement déclarées à l’agent de conformité de l’entreprise et à la compagnie. L’agent de conformité de l’entreprise évaluera la situation, empêchera la divulgation des renseignements, corrigera la situation et contribuera à l’amélioration des mesures de contrôle afin d’éviter toute atteinte semblable à l’avenir.   

Procédure

Mesures de confinement des atteintes

Perte, vol ou piratage d’appareils électroniques : 

  • Mobilisez l’équipe de soutien aux TI de l’entreprise
    • Effectuez un balayage des ordinateurs afin de détecter tout logiciel malveillant avant d’accéder de nouveau aux systèmes.
  • Communiquez immédiatement avec l’équipe de soutien technologique de la compagnie pour demander la modification des mots de passe. 
  • Communiquez avec le service de police pour déposer une plainte. 
  • Modifiez les mots de passe des autres systèmes (p. ex. service bancaire en ligne). 

Perte ou vol de documents papier (p. ex. polices, propositions, dossiers clients) :

  • Avisez l’agent de conformité de l’entreprise, le chef de la conformité de la compagnie, ainsi que le directeur général régional / directeur, Services aux entreprises de l’entreprise, s’il y en a un.
  • Communiquez avec le service de police pour signaler le vol de documents.

Courriels envoyés au mauvais destinataire :

  • Rappelez immédiatement le courriel.
    • Si ce n’est pas possible, communiquez avec le mauvais destinataire pour lui demander de confirmer par écrit la suppression du courriel. 
  • Avisez l’agent de conformité de l’entreprise, le chef de la conformité de la compagnie, ainsi que le directeur général régional / directeur, Services aux entreprises de l’entreprise s’il y en a un.

Identification et évaluation des incidents en matière de confidentialité et des atteintes à la vie privée

  1. Répondez aux questions suivantes :
    • Des renseignements personnels sont-ils touchés? Y a-t-il des preuves, est-il vraisemblable ou est-il impossible de déterminer que des renseignements personnels ont été touchés?
    • Les renseignements personnels ont-ils été divulgués ou transférés ailleurs sans autorisation? Toute divulgation non autorisée de renseignements personnels, qu’elle soit voulue, accidentelle ou à des fins criminelles, constitue une atteinte à la vie privée.
    • Les renseignements personnels ont-ils été collectés ou utilisés sans autorisation?
  2. Si vous avez répondu « oui » aux questions ci-dessus, vous êtes en présence d’une atteinte à la vie privée.
  3. Évaluez les risques en répondant aux questions suivantes : 
    1. Évaluation de la situation
      • Quels sont le type, le degré de sensibilité et la quantité de renseignements personnels divulgués? (p. ex. : numéro de compte bancaire, NAS, renseignements médicaux, données sur les demandes de règlement)
      • Qui a obtenu les données divulguées?
      • Combien de personnes ont été touchées?
      • L’information a-t-elle été récupérée en totalité?
      • Combien de temps s’est-il écoulé entre la découverte de l’incident et la mise en œuvre de mesures? 
      • Est-il possible de confirmer par écrit que les renseignements dupliqués n’ont pas été divulgués ni utilisés à mauvais escient?
      • Les personnes touchées par l’incident pourraient-elles subir des préjudices par suite de l’incident (p. ex. : vol d’identité, fraude ou autre préjudice, y compris la douleur et la souffrance ou une atteinte à la réputation), ou n’y a-t-il aucun préjudice connu pour les personnes touchées?
      • viii.Quelle est la valeur potentielle des données sur le marché noir?
      • L’incident découle-t-il d’une intention malicieuse? S’agissait-il d’une attaque ciblée? D’une erreur de manipulation? D’une erreur technique?
      • L’incident découle-t-il d’une situation problématique plus large? Un incident similaire s’est-il déjà produit?
      • Les personnes touchées ont-elles été informées de l’incident? 
      • Les personnes touchées sont-elles vulnérables? (p. ex. : mineurs)
      • Peut-on s’attendre à ce que des plaintes ou des demandes de renseignements soient déposées auprès du commissaire à la protection de la vie privée? (communication de l’incident au public)
    2. Compte tenu du degré de sensibilité des renseignements et de la probabilité qu’ils soient utilisés à mauvais escient, déterminez si l’incident présente « un risque réel de préjudice grave » pour toute personne dont les renseignements ont été touchés (« personnes concernées »).
      • Selon l’évaluation des risques menée à l’étape 3.1., y a-t-il un risque réel de préjudice grave?

2.4 Déclaration obligatoire des atteintes à la protection des renseignements personnels en vertu de la LPRPDE

  • Si l’entreprise détermine que l’incident présente un risque réel de préjudice grave, elle doit en informer les personnes concernées et soumettre une déclaration au Commissariat à la protection de la vie privée du Canada (le « Commissariat ») et aux organismes de réglementation provinciaux applicables, et ce, dès que possible et même s’il n’y a qu’une seule personne concernée.
  • L’entreprise doit également informer de l’incident toute autre organisation ou entreprise qui pourrait atténuer le préjudice aux personnes concernées.

2.4.1 Avis aux personnes concernées

Voici l’information que doit fournir l’entreprise aux personnes concernées, dans son avis sur l’atteinte aux mesures de protection des renseignements personnels :

  1. une description des circonstances de l’atteinte;
  2. la date à laquelle l’atteinte s’est produite ou la période sur laquelle elle s’est échelonnée, ou, si les dates précises sont inconnues, une approximation des dates;
  3. une description des renseignements personnels touchés, dans la mesure où il est possible de le déterminer;
  4. une description des mesures que l’entreprise a mises en place pour réduire les risques de préjudice découlant de l’atteinte;
  5. une description des mesures que pourraient prendre les personnes concernées pour réduire les risques de préjudice découlant de l’atteinte ou atténuer ces préjudices; et
  6. les coordonnées permettant aux personnes concernées de se renseigner davantage au sujet de l’atteinte.

2.4.2 Avis aux organismes de réglementation

  • Colombie-Britannique – La loi recommande de faire rapport au Commissariat à la protection de la vie privée s’il y a un risque réel de préjudice grave. Pour savoir s’il vous faut produire un avis, reportez-vous au formulaire Privacy Breach Checklist (liste de vérification pour évaluer les atteintes à la vie privée) de la Colombie-Britannique. 
  • Alberta – Office of the information and privacy commissioner of Alberta (OIPC) (commissariat à l’information et à la protection de la vie privée de l’Alberta)
  • Québec – Envoyez un avis à l’Autorité des marchés financiers (« AMF ») pour l’informer de toute atteinte à la protection des renseignements personnels qui pourrait nuire aux intérêts ou aux droits d’un consommateur ou à la réputation de l’entreprise. 

2.5 Amélioration des mesures de contrôle

Passez en revue tous les processus, systèmes et programmes de formation, puis apportez-leur des améliorations au besoin afin d’éviter que les incidents ne se reproduisent. 

2.6 Tenue de dossiers

Conservez des dossiers sur tous les incidents pendant 24 mois et fournissez-en une copie au Commissariat sur demande.

3. Obtenir l’autorisation valide et éclairée du client

L’autorisation est considérée comme valide uniquement s’il est raisonnable de s’attendre à ce que les personnes comprennent la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication de leurs renseignements personnels auxquelles elles consentent.

Politique

Au début de la relation avec un client, l’entreprise obtiendra son autorisation pour la collecte, l’utilisation et la communication de ses renseignements personnels et l’avisera du stockage possible à l’extérieur du Canada. 

Lors de la collecte de renseignements auprès de clients existants et potentiels, expliquez le but de la collecte de ces renseignements et fournissez des renseignements sur les pratiques en matière de protection des renseignements personnels de l’entreprise. 

Communiquez uniquement des renseignements personnels sur les clients à une autre personne ou société si une autorisation verbale ou écrite du client a été obtenue ou lorsque la loi vous y autorise ou vous y oblige. S’il s’agit de renseignements de nature délicate, vous devez obtenir une autorisation écrite.

L’entreprise recommandera les services d’autres professionnels ou conseillers aux clients s’ils en font la demande ou si les clients peuvent tirer avantage de tels services. L’entreprise ne fournit jamais le nom des clients ni d’autres renseignements les concernant à des tiers susceptibles d’utiliser ces renseignements en vue d’offrir leurs services, à moins que les clients en aient été informés et y aient consenti. 

Procédure

Revoyez le formulaire intitulé Engagement à l’égard de la protection des renseignements personnels et votre dossier client avec le client et conservez la copie signée dans le dossier du client aux fins de référence future. Discutez de ce qui suit :

  • Objectifs de la collecte 
  • Personnes ayant accès aux renseignements – accès des membres du personnel, des autres conseillers
    • La discussion devrait couvrir les absences à court terme ou temporaires de l’entreprise, ainsi que les cas où l’entreprise n’est pas en mesure d’offrir un service aux clients pendant une période prolongée et que l’aide d’un autre conseiller ou d’une nouvelle personne responsable du soutien administratif est nécessaire
  • Utilisation des fournisseurs externes (p. ex. responsables du traitement de l’information, y compris les directeurs, Relations avec la clientèle et les services de stockage infonuagique) 
    • Probabilité que les renseignements seront stockés à l’extérieur du Canada et qu’ils seront alors assujettis aux lois applicables de ce pays, y compris les lois sur l’accès à l’information des autorités publiques
  • Autorisation pour le partage de renseignements de conjoints; dossiers conjoints et accès à ces renseignements 
  • Possibilité que les personnes retirent leur consentement en tout temps

3.1 Nouveaux droits d’accès et nouvelles utilisations des renseignements du client 

Politique

L’entreprise obtiendra l’autorisation du client advenant un changement de l’objectif ayant motivé la collecte, l’utilisation et la communication des renseignements personnels du client, ainsi que l’accès à ceux-ci. 

Procédure

Passez en revue le nouvel objectif et les nouveaux droits d’accès, d’utilisation et de communication avec le client et conservez une copie de la nouvelle autorisation dans le dossier de client. 

Si le client s’oppose à un transfert ou aux nouveaux droits d’accès, il peut : 

  • Demander que ses renseignements ne soient pas communiqués 
  • Demander de faire affaire avec un nouveau conseiller 
  • Demander le nom d’autres conseillers qu’il peut joindre ou le nom et le numéro de téléphone du directeur général régional auquel il peut s’adresser pour demander un autre conseiller 

3.1.1 Contrats avec les fournisseurs

Politique

L’entreprise exige l’autorisation du client avant de transférer les renseignements d’un client à un fournisseur et conserve le contrôle sur les renseignements lors du transfert de renseignements personnels à un fournisseur aux fins de traitement. 

Les transferts de renseignements aux fournisseurs aux fins de traitement, y compris les services infonuagiques, sont effectués pour différentes raisons, notamment le stockage de données et le traitement ou la manipulation des renseignements personnels du client. 

3.2 Exception visant les autorisations de transactions commerciales

Les transactions commerciales comprennent, par exemple, la vente d’un cabinet, une fusion de deux organisations ou plus ou toute autre entente prescrite entre deux organisations ou plus visant à mener une activité commerciale.

Politique

Lorsque nécessaire, l’entreprise transfère des renseignements personnels afin de déterminer si une transaction doit être effectuée ou afin d’effectuer une transaction. Les renseignements doivent uniquement être utilisés ou communiqués aux fins relatives à la transaction, protégés de façon adéquate, retournés ou détruits lorsqu’ils ne sont plus nécessaires à cette fin, et les clients concernés doivent être avisés que leurs renseignements personnels ont été transférés à une autre organisation. 

Procédure

Lors de la réception de renseignements personnels, l’entreprise conclut une entente visant à utiliser ou à communiquer les renseignements uniquement dans le cadre de la transaction et à les protéger et à les retourner ou à les détruire si la transaction n’est pas effectuée. Si la transaction est effectuée, l’entreprise avisera les clients concernés que leurs renseignements personnels ont été transférés à une autre organisation.

3.2.1 Conventions de rachat  

Politique

L’entreprise utilisera, communiquera et protégera les renseignements du client pendant le processus d’évaluation et lors de la recherche d’un acheteur pour le bloc d’affaires ou au moment d’acheter un bloc d’affaires. 

Procédure

L’entreprise limite l’identification des renseignements de client dans les documents partagés avec des tiers et communique avec des conseillers juridiques pour rédiger une entente de confidentialité appropriée qui doit être signée par les tiers visés par le processus d’évaluation du bloc d’affaires en vue d’un achat ou d’une vente possibles. 

3.2.2 Agent réalisateur – Changement  

Politique

Dans le cas d’un changement d’agent réalisateur demandé par le client, l’entreprise présume l’approbation de transfert d’accès aux renseignements et aux dossiers du client, le cas échéant, au nouveau conseiller. 

4. Collecte de renseignements personnels

Politique

Lors de la collecte de renseignements personnels :

  • Limitez la quantité et le type des renseignements recueillis au strict nécessaire pour la réalisation des fins visées.
  • Faites tous les efforts raisonnables pour veiller à ce que les renseignements sur les clients existants et éventuels faisant partie des dossiers clients soient exacts et mis à jour ou corrigés au besoin. 
  • Prenez les mesures nécessaires afin de vous assurer que les renseignements recueillis sont utilisés aux fins déterminées et non à d’autres fins, et qu’ils ne sont pas communiqués à une tierce partie sans le consentement du client existant ou éventuel, sauf indication contraire dans la loi. 

4.1 Enregistrement des entretiens téléphoniques avec les clients 

Politique

Tout enregistrement des appels avec les clients implique la collecte de renseignements personnels. Par conséquent, l’appelant doit consentir à l’enregistrement.

Procédure

  • L’enregistrement ne peut avoir lieu qu’avec le consentement du client. Si l’appelant s’y refuse, fournissez-lui d’autres solutions sensées. S’il refuse toujours, cessez l’enregistrement de la conversation immédiatement et détruisez tout enregistrement existant.
  • Enregistrez uniquement les appels à des fins précises. 
  • Le client doit être informé que la conversation est enregistrée dès le début de l’appel. Faites tout effort raisonnable pour vous assurer que le client est au courant des fins auxquelles servira l’enregistrement. 
  • Assurez-vous de respecter les lois sur la protection des renseignements personnels applicables.
  • Si une copie du dossier du client est demandée, fournissez les enregistrements d’entretiens téléphoniques avec le client, ou leur transcription.

5. Utilisation, communication et conservation

Politique

Les renseignements personnels ne doivent pas, sans consentement, être utilisés ou communiqués à un tiers à des fins autres que celles auxquelles ils ont été recueillis, sauf si cette utilisation ou communication est requise ou permise par la loi. 

L’entreprise ne conserve les renseignements personnels que pendant la période où ils sont nécessaires aux fins déterminées, ou comme requis ou permis par la loi, et est entièrement responsable de la garde en lieu sûr de ces documents et de la protection de la confidentialité de ceux-ci. 

Les renseignements personnels qui ne sont plus nécessaires aux fins précisées au moment de la collecte sont détruits ou effacés de façon sécuritaire. 

5.1 Destruction sécuritaire

Politique

  • Les documents papier renfermant tout renseignement personnel concernant un client existant ou éventuel doivent être détruits par déchiquetage, et non recyclés. 
  • Les renseignements sont supprimés de tous les supports électroniques avant la destruction de ces derniers. Les dispositifs de stockage doivent être détruits afin de s’assurer que les données qu’ils contiennent ne peuvent pas être récupérées. 
  • Lors de l’élimination ou de la destruction des renseignements personnels, prenez les mesures appropriées pour empêcher les parties non autorisées d’accéder aux renseignements.
  • Au moment de se défaire d’équipements ou d’appareils utilisés pour conserver des renseignements personnels (par exemple, des classeurs, des ordinateurs, des disquettes et des bandes sonores), prenez les mesures appropriées pour supprimer tous les renseignements consignés ou empêcher autrement des parties non autorisées d’y accéder.

5.2 Conservation des documents

Politique

Les dossiers sur les clients de l’entreprise doivent être conservés pendant au moins la durée minimale stipulée par la loi.

6. Mesures de protection

Politique

Les mesures de protection appropriées doivent être prises pour ce qui est du stockage et de l’élimination des renseignements sur les clients. Toutes les personnes au service de l’entreprise ou liées à l’entreprise par contrat sont tenues de respecter les procédures décrites dans cette section. 

Procédure

L’entreprise utilise une combinaison de mesures de protection technologiques, physiques et organisationnelles pour protéger les renseignements personnels des clients contre le vol et la mauvaise utilisation, ainsi que contre l’accès, la communication, la reproduction, l’utilisation ou les modifications non autorisées. 

6.1 Mesures de protection technologiques  

Les outils technologiques nécessitant des mesures de protection comprennent entre autres :

  • Les ordinateurs : ordinateurs de bureau, portables, serveurs et assistants personnels (tablettes et téléphones intelligents)
  • Le matériel informatique et les logiciels 
  • Les appareils mobiles
  • Les médias portables – clés USB, CD, DVD
  • Les imprimantes, numériseurs, télécopieurs et photocopieurs avec options d’impression sécurisées
  • Le courrier électronique et les services Internet (p. ex. l’infonuagique)

6.1.2 Chiffrement, antivirus et coupe-feu

Politique

  • Les logiciels de chiffrement, les antivirus et les coupe-feu sont installés et tenus à jour sur tous les outils technologiques utilisés en contexte professionnel afin d’assurer la sécurité des données des clients. Cela comprend le chiffrement des données de nature délicate lorsqu’elles sont stockées ou transmises, y compris lors de leur transmission vers les serveurs de sauvegarde. 
  • Les mesures de protection de ces outils technologiques sont revues sur une base annuelle et mises à niveau lorsque nécessaire. 
  • Lorsque ces outils technologiques sont sans surveillance ou en cours de transport, tous les appareils doivent être fermés (éteints). Si vous ne faites que fermer votre session, verrouiller l’appareil ou le laisser en mode veille, les mesures de sécurité supplémentaires peuvent être inefficaces.

Précisions sur les programmes de sécurité

Mesures de protectionProduitDernière mise à jour
ChiffrementMac OS FileVault
Win 10 Chiffrement de l’appareil
Sur les mises à jour automatiques
Antivirus ou protection contre les logiciels malveillantsAvastSur les mises à jour automatiques
Coupe-feuMac OS Coupe-feu
Pare-feu Windows Defender
Sur les mises à jour automatiques

6.1.3 Écrans de veille, nom d’utilisateur et mots de passe

Le chiffrement n’élimine pas la nécessité de créer un mot de passe difficile à décoder. 

  • Protégez les noms d’utilisateur et les mots de passe et ne les partagez pas.
  • Choisissez des mots de passe difficiles à décoder (utilisez des majuscules, des minuscules, des chiffres et des symboles et un minimum de huit caractères).
    • Évitez les noms propres ou les mots communs répertoriés dans les dictionnaires (p. ex. assurance, motdepasse) et des renseignements personnels comme les noms de membres de la famille ou d’animaux, les dates d’anniversaire, les numéros d’identité émis par le gouvernement ou des mots ayant trait à des passe-temps et à des intérêts personnels. 
  • Protégez votre écran de veille à l’aide d’un mot de passe afin d’empêcher l’accès non autorisé à votre ordinateur.
  • Lorsque vous vous absentez temporairement, utilisez la fonction « Verrouiller cet ordinateur ».

6.2 Mesures de protection physiques

Vous devez tenir compte des mesures de sécurité suivantes :

6.2.1 Aménagement du bureau 

  • Les bureaux ou les espaces de travail sont aménagés de manière à ce qu’ils soient en retrait des aires de circulation du bureau. 
  • Les télécopieurs, les photocopieurs et les imprimantes sont placés dans les aires dont l’accès est plutôt restreint. 
  • Les associés ou les membres du personnel qui traitent les renseignements de nature délicate sont situés dans une aire de travail où les conversations ne peuvent pas être facilement entendues. 
  • Les dossiers de renseignements personnels des clients sont conservés à l’écart des aires de circulation.
  • Les dossiers comprenant des renseignements personnels sont conservés dans des classeurs verrouillés.

6.2.2 Ordinateurs et appareils électroniques grand public 

Peu importe où vous vous trouvez, que ce soit au bureau, à la maison, dans une chambre d’hôtel ou dans une salle de réunion, prenez toujours les dispositions nécessaires pour protéger votre ordinateur portable et vos appareils mobiles contre le vol en utilisant un dispositif antivol (p. ex. un câble de verrouillage). 

  • Gardez vos appareils sous clé en lieu sûr lorsque vous ne les utilisez pas. 
  • Pour prévenir le vol, évitez de laisser votre ordinateur portable dans votre véhicule. Si vous n’avez pas d’autre choix, placez-le dans le coffre ou dans un endroit à l’abri des regards. 
  • Fermez votre ordinateur portable et mettez-le hors tension – de cette façon, toutes les applications seront adéquatement fermées.
  • Fermez toute session ouverte dans un site Web ou un programme quand vous n’avez plus à vous en servir. De plus, souvenez-vous de ne pas « enregistrer » vos renseignements de manière à ce que la session s’ouvre automatiquement la fois suivante : si votre appareil mobile est perdu ou volé, une autre personne pourrait accéder à vos comptes ou dossiers. 
  • Rangez les ordinateurs et appareils électroniques grand public (et, le cas échéant, les ordinateurs des associés ou membres du personnel) en lieu sûr pendant toute période d’absence (soirées, fins de semaine, congé de maladie ou vacances) de sorte à éviter tout accès non autorisé aux données. 

Protection des ordinateurs portatifs

Au bureau, pendant la journée – Les ordinateurs portatifs sont verrouillés à l’aide d’un câble de verrouillage et attachés solidement à un meuble fixe ou à un port d’attache sécurisé. La clé est conservée dans un lieu sûr éloigné de l’ordinateur portatif.

Au départ du bureau, à la fin de la journée de travail – Les ordinateurs portatifs sont rangés sous clé dans un classeur ou dans un tiroir; la clé est conservée dans un lieu sûr éloigné de l’ordinateur portatif.

Les règles relatives à la protection des ordinateurs portatifs s’appliquent également lorsque la porte du bureau est verrouillée.

Lors des déplacements :

  • Faites preuve de prudence lorsque vous utilisez un point d’accès sans fil public puisque la connexion pourrait être interceptée. Évitez d’effectuer des transactions bancaires, de faire des achats en ligne ou d’accéder à des ressources du cabinet à partir de telles connexions. Il vaut mieux attendre d’avoir accès à un réseau auquel vous faites confiance avant d’effectuer des transactions délicates. Soyez sur vos gardes si vous utilisez votre appareil dans un pays étranger. L’interception des communications et l’analyse de trafic pourraient être plus répandues dans un réseau étranger. Lorsque vous travaillez, placez l’ordinateur portatif de façon à ce que l’utilisateur soit le seul à pouvoir voir les renseignements personnels qui paraissent à l’écran. 
  • Prenez note des numéros de série et de modèle de l’ordinateur portatif et conservez-les en lieu sûr. 
  • Transportez l’ordinateur portatif dans un sac discret. Utilisez un sac matelassé, comme un sac à dos, au lieu de la mallette ou du sac de transport réservé à cet effet, afin de transporter en toute sécurité l’ordinateur portatif sans attirer l’attention. 
  • Ne laissez pas d’ordinateur portatif à la vue dans une voiture; rangez-le dans le compartiment verrouillé de la voiture lorsque vous voyagez pour éviter les vols. 
  • Ne laissez jamais d’ordinateur portatif dans le coffre arrière de taxis ou de limousines étant donné que ceux-ci sont rarement verrouillés. 
  • N’enregistrez jamais d’ordinateur portatif dans les hôtels ou auprès des transporteurs aériens. 
  • À l’aéroport, après avoir placé un ordinateur portatif sur le transporteur à courroie du système de détection par rayons X, surveillez bien le sac et ne laissez personne vous dépasser. 
  • À la maison ou à l’hôtel, verrouillez l’ordinateur portatif comme il est d’usage de le faire au travail. Utilisez un câble de verrouillage et rangez l’ordinateur portatif hors de la vue. 
  • Les chambres d’hôtel qu’on ouvre avec une carte-clé permettent un bon suivi des personnes qui sont entrées dans la chambre et de l’heure de la visite. Les clés ordinaires peuvent être égarées ou reproduites. Si l’hôtel n’utilise pas de cartes d’accès, envisagez de ne pas laisser l’ordinateur portatif dans la chambre.

6.2.3 Bureaux et dossiers

  • Les renseignements personnels de nature délicate ou d’autres documents confidentiels ne doivent jamais être laissés sans surveillance. Lorsque des renseignements personnels doivent être imprimés pour être traités activement, tous les dossiers et leur contenu devraient être disposés de manière à ne pas être à la vue de personnes qui n’ont pas l’autorisation de les lire. 
  • Tous les renseignements personnels de nature délicate doivent être conservés dans des pièces, des classeurs ou des tiroirs verrouillés et à accès restreint lorsqu’ils ne sont pas utilisés. 

Garde des documents à l’extérieur des lieux de travail

Il faut assurer la protection des renseignements des clients, qu’ils se trouvent dans un bureau personnel, dans une voiture ou dans tout autre lieu. Les dossiers papier qui renferment des renseignements personnels doivent être retirés du lieu de travail uniquement lorsque cela s’avère absolument nécessaire ou pour assurer un service approprié aux clients. 

Aux fins de suivi et pour faciliter les démarches en cas de perte ou de vol, il faut prendre note de tous les dossiers ou documents avant qu’ils ne soient retirés du lieu de travail. Tous les associés et les membres du personnel doivent prendre connaissance de ces exigences et s’y conformer. 

6.3 Communication de renseignements confidentiels  

  • Ne discutez jamais des clients dans des endroits publics, comme les ascenseurs, les cafétérias ou les restaurants. 
  • Lors d’un échange ayant trait aux renseignements personnels sur un client ou un employé au moyen d’un téléphone cellulaire, prenez toutes les précautions possibles afin que la conversation ne soit pas entendue par des tiers. 
  • Lors de la consultation du dossier d’un client dans un moyen de transport en commun, comme le train, l’avion ou l’autobus, placez le document de sorte à empêcher qu’il puisse être lu par des tiers.

6.3.1 Boîte vocale 

Les messages laissés aux clients ne doivent comporter aucun renseignement personnel à moins que le client en ait déjà été avisé. Le client doit aussi confirmer qu’il désire que ces renseignements lui soient laissés dans sa boîte vocale. 

6.3.2 Identification de l’appelant

Si une demande est effectuée par téléphone, il est nécessaire d’identifier la personne avant de fournir quelque renseignement personnel que ce soit. 

Pour identifier l’appelant, la personne doit répondre à trois des questions suivantes. Posez toujours les questions dans cet ordre.

  • Nom complet du ou des propriétaires 
  • Si l’appelant téléphone au nom de la succession, il doit fournir le nom complet du propriétaire décédé. 
  • Si l’appelant est le propriétaire du contrat en fiducie, il faut s’assurer que son nom correspond au nom du fiduciaire qui a été entré dans le système. 
  • Si l’appelant est le mandataire, il doit fournir le nom du mandataire figurant au dossier ainsi que celui du propriétaire de la police 
  • Numéro de police 
  • Numéro d’appartement, numéro et rue, ville 
  • Date de naissance de la personne assurée / du rentier 
  • Nom complet de la personne assurée / du rentier 

Si les réponses ne sont pas exactes, indiquez à l’appelant que l’entreprise est responsable de la protection de la vie privée et de la confidentialité des renseignements personnels du client et qu’elle ne peut, par conséquent, divulguer des renseignements sans d’abord confirmer que l’appelant a bien droit de les obtenir. Demandez-lui de présenter sa demande par écrit.

6.3.3 Courrier électronique 

Les messages envoyés aux clients ne doivent comporter aucun renseignement personnel, à moins que le client en ait été avisé à l’avance et qu’il ait consenti à ce que ces renseignements lui soient transmis par courriel.

La mise en garde suivante doit être ajoutée à tout courriel renfermant des renseignements personnels sur le client : 

« Le contenu de la présente communication, y compris tout fichier joint, est confidentiel et peut être privilégié. Si vous n’êtes pas le destinataire visé (ou si vous ne recevez pas la présente communication au nom du destinataire visé), veuillez en aviser immédiatement l’expéditeur et supprimer ou détruire la présente communication sans la lire, en tirer des copies, la retransmettre ou en enregistrer le contenu. Merci. À noter : Nous avons pris des mesures de protection contre les virus, mais nous n’assumons aucune responsabilité pour ce qui est de la perte ou des dommages causés par la présence d’un virus. »

Authentification de courriels

Les renseignements de nature délicate ne devraient pas être communiqués par courriel, sauf si le client en a fait la demande. Si une demande est effectuée par courriel, il est nécessaire d’identifier la personne avant de fournir des renseignements personnels par courriel. 

  • Confirmez par téléphone que votre client a demandé ces renseignements.
  • Assurez-vous que le courriel est envoyé au destinataire approprié puisque les noms des listes d’adresses peuvent être semblables.
  • Identifiez le client et obtenez et documentez son consentement aux communications par courriel.
  • Chiffrez ou protégez les fichiers avec des mots de passe lorsque la communication de renseignements permettant d’identifier le client est demandée par courriel.

6.3.4 Télécopies

Les télécopies ne doivent pas comporter de renseignements personnels, à moins que le client en ait déjà été avisé et qu’il ait consenti à recevoir ces renseignements par télécopieur. 

La mise en garde suivante doit être ajoutée au bordereau de toutes les télécopies comportant des renseignements personnels : 

« Le contenu de la présente télécopie, y compris toute pièce jointe, est confidentiel et peut être privilégié. Si vous n’êtes pas le destinataire visé (ou si vous ne recevez pas la présente télécopie au nom du destinataire visé), veuillez en aviser immédiatement l’expéditeur et supprimer ou détruire la présente télécopie sans la lire, en tirer des copies, la retransmettre ou en enregistrer le contenu. Merci. » 

Vérifiez le numéro de télécopieur avant d’envoyer des renseignements personnels : 

  • Veuillez porter une attention particulière aux divers indicatifs téléphoniques (1 866, 1 888, 1 800, etc.) et prenez le temps de vérifier l’exactitude du numéro de télécopieur avant d’appuyer sur Envoyer. Des renseignements personnels ou confidentiels peuvent aisément se retrouver dans les mauvaises mains si l’indicatif téléphonique est erroné.
  • Afin de prévenir des erreurs, envisagez de programmer les numéros fréquemment utilisés dans le télécopieur.  
  • Confirmez de nouveau le numéro de télécopieur avant d’appuyer sur Envoyer.
  • Une fois la télécopie envoyée, communiquez avec le destinataire pour qu’il confirme la réception du document. 

6.4 Mesures de protection organisationnelles 

6.4.1 Autorisation et limite d’accès uniquement en cas de nécessité

  • L’accès aux renseignements personnels est accordé uniquement en cas de nécessité (c.-à-d. aux renseignements nécessaires pour accomplir certaines tâches). L’accès aux dossiers (papier, système ou électroniques) est revu lors de l’embauche d’associés ou de membres du personnel ou de leur transfert à un poste différent.
  • Lorsqu’il est prévu qu’un associé ou membre du personnel quitte son emploi, il faut révoquer son accès aux renseignements sur les clients, y compris les données électroniques accessibles au moyen des ordinateurs et les renseignements consignés dans les documents se trouvant dans les aires de travail.

6.4.2 Ententes de confidentialité

Les employés sont avisés de l’importance de protéger la sécurité et la confidentialité des renseignements personnels. Lorsque des renseignements personnels sont de nature délicate ou que les conséquences possibles d’une communication non appropriée sont importantes, l’entreprise :

  • Utilise les ententes de confidentialité avec les employés
  • Prend des mesures appropriées pour protéger les renseignements de client contre des tiers qui peuvent avoir accès aux bureaux, notamment les agents de sécurité, les préposés à l’entretien ménager et les fournisseurs 
  • Obtient, le cas échéant, une entente de non-divulgation de la personne ou de l’entreprise chargée de la réparation de l’appareil si les renseignements confidentiels ne peuvent pas être retirés d’un appareil avant sa réparation

7. Programme de formation

Tous les conseillers et membres du personnel, permanents et temporaires, reçoivent une formation comme indiqué ci-après.

  • La formation doit obligatoirement être suivie avant qu’un accès aux renseignements personnels soit accordé.    
  • La formation est un processus continu et des formations d’appoint doivent être suivies chaque année, ou plus fréquemment si nécessaire, relativement aux changements visant les lois, la technologie, les fournisseurs de service, les nouveaux accès aux renseignements personnels ou leurs nouvelles utilisations, etc.  
  • La formation est effectuée par la diffusion et l’examen de la section des politiques et procédures du présent programme de conformité, qui sont revues dans le cadre du programme d’autorévision pour s’assurer que le matériel est exact et à jour. 
  • Une formation facultative ou supplémentaire peut comprendre des modules fournis par des assureurs, la diffusion de communications sur la confidentialité des assureurs et des mises à jour, des articles, des communications de l’industrie et des modules de formation, etc.  
  • Les employés qui ne sont pas en mesure de suivre une formation d’appoint aux dates prévues devront prendre d’autres arrangements afin de respecter cette exigence.