top of page

CONFORMITÉ VISANT 
LA PROTECTION DES RENSEIGNEMENTS PERSONNELS À L'INTENTION DES EMPLOYÉS ET CONSEILLERS D’ESPACE FINANCE

NOMINATION D’UN AGENT DE CONFORMITÉ CHEZ ESPACE FINANCE

L’agent de conformité du cabinet a la responsabilité :

 

De mettre en œuvre, de surveiller, de mettre à jour et d’exécuter le programme de conformité, y compris :

  • Les politiques et les procédures

  • La formation et la sensibilisation

  • L’auto révision/autoévaluation du programme

 

De superviser le processus en cas d’atteinte à la vie privée, et de traiter les demandes de renseignements et les plaintes des clients

 

De faire état des nouveaux risques, des risques existants, des activités de surveillance et des changements d’ordre législatif ou réglementaire qui auront une incidence sur le programme de conformité aux décideurs principaux du cabinet, et ce, sur une base régulière

L’agent de conformité devrait avoir les pouvoirs et les ressources nécessaires pour s’acquitter efficacement de ses obligations. Il ou elle devrait occuper un poste de direction au sein du cabinet et ainsi être en mesure d’avoir un accès direct aux décideurs principaux. L’agent de conformité peut déléguer certaines fonctions à d’autres employés. Toutefois, la mise en œuvre du programme de conformité demeure la responsabilité de l’agent de conformité.

 

La personne ci-dessous a été nommée à titre d’agent de conformité : 

 

NOM : Geneviève Déragon

 

TITRE : Directrice des opérations et des ressources humaines

 

Genevieve.deragon@espacefinancemd.ca

LA PROTECTION DES RENSEIGNEMENTS PERSONNELS ET NOS AFFAIRES

 

Les clients fournissent des renseignements personnels qui sont essentiels aux affaires du cabinet. Il est crucial de protéger ces renseignements afin de maintenir leur confiance. La loi du Québec pertinente, la Loi sur la protection des renseignements personnels dans le secteur privé régit la collecte, l’utilisation et la communication des renseignements personnels. Par « renseignements personnels », on entend toute donnée se rapportant à une personne identifiable, y compris les données médicales ou financières, de même que les données d’affaires si elles n’ont pas été classées dans la catégorie des « coordonnées d’affaires ». Cette catégorie comprend le titre professionnel, le numéro de téléphone et l’adresse courriel d’affaires de la personne, de même que les données qui sont utilisées dans le cadre de son emploi, de son entreprise ou de sa profession.

 

Espace Finance est responsable des renseignements personnels dont il a la gestion, et il lui incombe de prendre toutes les mesures nécessaires pour assurer la sécurité des renseignements personnels et confidentiels en sa possession. Dans certaines situations, cela signifie d’adopter de nouvelles pratiques commerciales afin de protéger la confidentialité des renseignements personnels.

 

Politique

Espace Finance met à la disposition du public l’information relative à ses politiques et à ses procédures, et il se conforme aux normes de confidentialité des compagnies qu’il représente (p. ex., la Canada Vie, Investia, cabinet de services financiers Horizon groupe Financier, etc.). Puisque qu’Espace Finance possède un site web, vous y retrouverez nos normes en matière de protection des renseignements personnels décrivant la façon dont les renseignements personnels sont recueillis, utilisés, divulgués et conservés, ou encore il renferma un lien vers de telles normes.

 

PRÉOCCUPATIONS ET DEMANDES DE RENSEIGNEMENTS OU REQUÊTES GÉNÉRALES

 

Le titre et les coordonnées de la personne responsable de la protection des renseignements personnels sont affichés sur le site Web du cabinet : www.espacefinance.ca

 

Toutes les préoccupations, demandes de nature générale ou requêtes liées à la confidentialité et au cabinet sont transmises à l’agent de conformité du cabinet. Ce dernier examinera les demandes et en accusera réception dans les 24 heures; en son absence, les demandes seront transférées à une personne appropriée aux fins de traitement. Le client sera tenu au courant du progrès que réalise l’agent de conformité à l’égard de la situation, et la documentation complète de la préoccupation signalée et toutes les activités s’y rattachant seront conservées dans le dossier du client.

 

L’agent de conformité du cabinet fait suivre toutes les préoccupations, demandes de nature générale ou requêtes liées à la confidentialité et aux produits et services de la compagnie au chef de la conformité de cette compagnie.

 

Demandes de clients visant à accéder aux renseignements personnels

En vertu des lois relatives à la protection des renseignements personnels, les clients ont le droit d’accéder à leurs renseignements personnels consignés dans des dossiers tenus par le cabinet ou la compagnie et de contester leur exactitude, le cas échéant. Le cabinet a mis en place des procédures pour recueillir et fournir des renseignements personnels en réponse à une demande d’accès du client à ses renseignements personnels.

 

 

Procédure

Toute demande d’accès d’un client à ses renseignements personnels consignés dans les dossiers de client du cabinet est envoyée à l’agent de conformité du cabinet afin qu’il réponde à la demande du client dès que possible, et au plus tard 30 jours après la réception de la demande. La demande doit clairement indiquer qu’il s’agit d’une demande d’accès aux renseignements personnels, et fournir des informations suffisantes pour identifier l’individu et les renseignements recherchés. La demande peut être envoyée par courriel ou par courrier postal. L’agent de la conformité aidera le client à préparer sa demande d’accès, au besoin.

 

Avant de traiter la demande, l’identité de l’individu doit être vérifiée de manière raisonnable. Cela peut être fait en demandant des informations supplémentaires ou en vérifiant l’identité de l’individu en personne. Si l’identité ne peut être authentifiée de manière satisfaisante, Espace Finance peut refuser de divulguer les renseignements personnels demandés.

 

Corrigez ou modifiez tout renseignement personnel si son exactitude ou son intégralité sont remises en question et s’il s’avère que ce renseignement est effectivement erroné ou incomplet. Consignez au dossier tous les désaccords relatifs aux renseignements et, le cas échéant, informez-en les tierces parties.

 

Avant de communiquer les renseignements personnels de à l’individu que le demande, le responsable examine attentivement les informations au dossier pour s’assurer qu’elles ne contiennent pas de renseignements tiers confidentiels. Si tel est le cas, il faut valider s’ils doivent être exclus de la divulgation.

 

Si un client demande d’accéder à ses renseignements personnels détenus par la compagnie, suivez les processus qu’a établis cette dernière.

Suivi et documentation

Toutes les étapes du processus de traitement de la demande d’accès aux renseignements personnels doivent être consignés de manière précise et complète.

 

Les délais de la demande, les actions entreprises, les décisions prises et les dates correspondantes doivent être enregistrés dans un registre de SUIVI DES DEMANDES D’ACCÈS.

  • Date de réception de la demande

  • Date de l’accusé de réception

  • Date de la vérification de l’identité

  • Méthode de vérification utilisée

  • Décision : demande d’accès acceptée ou refusée

  • Date de la communication des renseignements (si applicable)

Gestion des plaintes et des recours

Si un individu est insatisfait de la réponse à sa demande d’accès aux renseignements personnels, il doit être informé des procédures de réclamation et des recours disponibles devant la Commission d’accès à l’information.

 

Les plaintes doivent être traitées conformément aux politiques et procédures internes en matière de gestion des plaintes.

 

Voir la Section TRAITEMENT DES PLAINTES tel que dans le Programme de conformité visant l’assurance

 

Usage à mauvais escient des renseignements personnels 

L’agent de conformité du cabinet doit signaler sans délai tout usage à mauvais escient de renseignements personnels ou toute atteinte possible aux mesures de sécurité quant aux produits et aux services de la compagnie au chef de la conformité de la compagnie.

Processus visant les incidents en matière de confidentialité et les atteintes à la vie privée

Une atteinte à la vie privée survient lors de la divulgation non autorisée de renseignements personnels, de l’accès non autorisé à de tels renseignements ou de la perte de renseignements personnels découlant d’une atteinte aux mesures de sécurité. Une atteinte à la vie privée se produit également lorsque des renseignements personnels sont conservés d’une façon non conforme à la législation relative à la protection des renseignements personnels, comme lorsque des renseignements personnels sont conservés même s’ils ne sont plus nécessaires aux fins pour lesquelles ils ont été collectés.

 

Les atteintes présumées ou réelles, les plaintes ou toutes les préoccupations reliées à un problème de confidentialité, peu importe qu’elles touchent une personne ou un fournisseur, sont immédiatement déclarées à l’agent de conformité du cabinet et à la compagnie. L’agent de conformité du cabinet empêchera la divulgation des renseignements, évaluera la situation, avisera les personnes concernées, corrigera la situation et contribuera à l’amélioration des mesures de contrôle afin d’éviter toute atteinte semblable à l’avenir.  

Processus de confinement des atteintes (4 étapes)

En cas d’atteinte à la vie privée touchant les renseignements des clients, (p. ex., cyberattaque, accès non autorisé aux données), communiquez avec :

 

  • L’agent de conformité du cabinet (Geneviève Déragon)

  • Les partenaires du cabinet tel que  La Conformité des conseillers pour les affaires de la Canada Vie, Groupe Financier Horizon, et Investia, Cabinet de services financiers, etc.

  • Les autres compagnies visées ainsi que les organismes de réglementation concernés

 

4 principales étapes à suivre en cas d’atteinte

 

Il existe quatre principales étapes à suivre en cas d’atteinte à la protection des renseignements personnels :

 

  1. Limitation de l’atteinte et évaluation préliminaire

  2. Évaluation des risques associés à l’atteinte

  3. Notification à l’intention des personnes concernées incluant la déclaration obligatoire des atteintes à la vie privée en vertu des lois provinciales en matière de protection des renseignements personnels ou de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

  4. Prévention

 

Les trois premières étapes doivent être réalisées le plus tôt possible après l’atteinte. Les quatre étapes fournissent des recommandations pour des solutions à plus long terme et des stratégies de prévention.

 

1-Limitation de l’atteinte et évaluation préliminaire

 

Le chef de la protection des renseignements personnels doit être avisé immédiatement après la découverte d’une brèche qui a eu lieu ou qui est en train de se produire. Il pourra ainsi agir rapidement afin de la limiter.

 

 

2-Évaluation des risques réels associés à l’atteinte (RRPG)

Le chef de la protection des renseignements personnels doit évaluer les risques associés à l’atteinte afin de déterminer toute autre mesure à prendre immédiatement. Les facteurs pour évaluer le niveau de risque associés à l’atteinte

comprennent :

 

  1. Renseignements personnels en cause

  2. Cause étendue de l’atteinte

  3. Personnes concernées par l’atteinte

  4. Préjudices prévisibles découlant de l’atteinte

 

Une évaluation du type de renseignements personnels en cause aidera à déterminer les mesures à prendre et la manière dont les personnes touchées, le cas échéant, ainsi que le Commissariat à la protection de la vie privée approprié devraient être informés.

 

Tous les incidents d’atteinte à la vie privée doivent être évalués pour déterminer s’ils ont posé un risque réel de préjudice grave (RRPG)

 

3-Notification à l’intention des personnes concernées incluant la déclaration obligatoire des atteintes à la vie privée en vertu des lois provinciales en matière de protection des renseignements personnels ou de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

 

En vertu de la LPRDPE, les organisations doivent aviser les personnes concernées si une brèche dans la protection de leurs renseignements personnels présente un risque de préjudice grave. Le risque réel de préjudice grave doit être déterminé en fonction de la nature délicate des renseignements personnels en cause et de probabilité que ces renseignements aient été/soient utilisés à tort. Les préjudices graves incluent le vol d’identité, les pertes financières, l’incidence négative sur la cote au le dossier de crédit, la perte d’occasions d’emploi, d’affaires ou de relations professionnelles, l’atteinte à la réputation ou aux relations, l’humiliation, la perte de propriété, les dommages à une propriété et les préjudices physiques. Après l’évaluation des risques d’une situation, le chef de la protection des renseignements personnels déterminera quel type d’avis pourrait être nécessaire.

 

Quand, comment et qui devrait informer

À cette étape, le chef de la protection des renseignements personnels doit avoir déterminé l’évaluation des risques afin de déterminer si les personnes doivent être avisées.

 

Informer les tiers

Selon la nature de l’atteinte, il pourrait être nécessaire d’informer des personnes autres que celles dont les renseignements personnels ont été compromis pourraient avoir à être informées, notamment la police, les assureurs, les fournisseurs de technologie, les professionnels, les organismes de réglementation, les compagnies de cartes de crédit, les institutions financières, les agence d’évaluation de crédit ou le Commissariat à la protection de la vie privée. Il pourrait également être prudent d’aviser les organisations ou les institutions gouvernementales qui pourraient être en mesure de limiter l’incidence de préjudice causée par l’atteinte

 

Déclaration obligatoire des atteintes à la protection des renseignements personnels en vertu de la LPRPDE

Si le chef de la protection des renseignements personnels détermine que l’incident présente un risque grave ou sérieux, les personnes visées doivent être avisées, si cela n’interfère pas avec une enquête officielle, et selon l’emplacement des personnes concernées, il faut faire une déclaration au CAI (au Québec) et au commissaire, et ce, dès que possible et même s’il n’y a qu’une seule personne visée.

 

À cet effet, le chef de la protection des renseignements personnels DOIT informer le Commissariat à la protection de la vie privée en utilisant le « formulaire; Rapport d’atteinte à la LPRPDE » (copie en annexe) si l’atteinte présente un risque réel de préjudice grave.

 

Le cabinet doit également informer de l’incident toute autre organisation ou entreprise qui pourrait atténuer le préjudice aux personnes concernées (p. ex., ajouter un indicateur aux comptes des clients). Dans le cas de clients de la Canada Vie, communiquez avec la Conformité des conseillers. Dans le cas de tout autre produit vendu à travers Groupe Financier Horizon, communiquez directement avec le département de conformité de GFH.Concernant les placements chez Investia, Cabinet de services financiers, il faut aussi communiquer avec leur équipe de conformité.

Avis aux personnes concernées

Voici l’information que doit fournir le cabinet aux personnes concernées, dans son avis sur l’atteinte aux mesures de protection des renseignements personnels :

  1. une description des circonstances de l’atteinte;

  2. la date à laquelle l’atteinte s’est produite ou la période sur laquelle elle s’est échelonnée, ou, si les dates précises sont inconnues, une approximation des dates;

  3. une description des renseignements personnels touchés, dans la mesure où il est possible de le déterminer;

  4. une description des mesures que l’entreprise a mises en place pour réduire les risques de préjudice découlant de l’atteinte;

  5. une description des mesures que pourraient prendre les personnes concernées pour réduire les risques de préjudice découlant de l’atteinte ou atténuer ces préjudices; et

  6. les coordonnées permettant aux personnes concernées de se renseigner davantage au sujet de l’atteinte.

 

Avis aux organismes de réglementation

  • Envoyez un avis au Commissariat à la protection de la vie privée (fédéral) au moyen du formulaire Rapport d’atteinte à la LPRPDE.

  • Québec – Envoyez un avis à l’Autorité des marchés financiers (« AMF ») pour l’informer de toute atteinte à la protection des renseignements personnels qui pourrait nuire aux intérêts ou aux droits d’un consommateur ou à la réputation de l’entreprise.

4-Prévention et amélioration des mesures de contrôle

Lorsque les mesures immédiates ont été prises pour réduire le risque associé à l’atteinte, le chef de la protection des renseignements personnels doit enquêter sur les causes de celle-ci et passer en revue tous les processus, systèmes et programmes de formation, puis apportez-leur des améliorations au besoin afin d’éviter que les incidents ne se reproduisent. Comme cela est décrit à la section Processus de documentation, évaluez les mesures de contrôle qui peuvent être améliorées pour réduire au minimum les risques futurs et instaurez les nouvelles mesures de contrôle nécessaires pour faire face aux risques.

 

Le niveau d’effort doit refléter l’importance de l’atteinte et le fait qu’il s’agit d’un problème systémique ou d’un cas isolé. Ce plan doit comprendre les éléments suivants :

  • Une vérification de la sécurité physique et de la sécurité technique

  • Un examen des politiques et des procédures ainsi que de tout changement nécessaire afin d’intégrer les leçons tirées de l’enquête (p. ex., politiques de sécurité, de conservation des dossiers, de collecte, etc…), les politiques et les procédures devant également être revues régulièrement par la suite

  • Un examen des pratiques de formation de l’employé

  • Un examen des partenaires de distribution (p. ex., courtiers, détaillants, etc…)

 

Le plan devrait prévoir une vérification à la fin du processus pour déterminer si le plan de prévention a été mis en œuvre avec succès.

 

Tenue de dossiers

Les organisations doivent conserver TOUTES les atteintes à protection des renseignements personnels en dossier, même si elles ont déterminé qu’il n’y avait aucun risque de préjudice grave. Elles doivent les conserver au moins deux ans afin que le Commissariat à la protection de la vie privée puisse les examiner, sur demande.

 

Les dossiers doivent inclure, au minimum, les éléments suivants :

  • La date ou durée estimée de l’atteinte

  • Une description des circonstances de l’atteinte

  • La nature des renseignements en cause dans l’atteinte

  • L’existence d’un rapport au Commissariat à la protection de la vie privée ou le nom des autres organisations avisées, s’il y a lieu

  • Une courte explication des raisons pour lesquelles l’organisation a déterminé qu’il n’y avait aucun risque de préjudice grave si l’atteinte n’a pas fait l’objet d’un rapport au Commissariat à la protection de la vie privée

 

Processus de documentation

  • Tenir un registre des incidents de confidentialité

  • Toute organisation doit tenir un registre colligeant l’ensemble des incidents de confidentialité impliquant un renseignement personnel qu’elle détient, même ceux ne présentant pas de risque de préjudice sérieux. L’organisation doit transmettre une copie du registre à la Commission lorsqu’elle le demande.

  • Le registre des incidents de confidentialité devrait notamment décrire les renseignements personnels visés par l’incident et contenir des informations sur les circonstances de l’incident, le nombre de personnes visées, l’évaluation de la gravité du risque de préjudice et les mesures prises en réaction à l’incident. Les dates pertinentes devraient aussi y figurer : survenance de l’incident, détection par l’organisation, transmission des avis (s’il y a lieu), etc.

  • Commencez le processus de documentation de toute atteinte à la vie privée dès que cette atteinte a été contenue. Tous les dossiers d’atteinte à la vie privée doivent être conservés de façon sûre.

 

Conservez les dossiers sur les atteintes à la vie privée pendant 24 mois. L’entreprise devrait être en mesure de fournir les dossiers au Commissaire à la protection de la vie privée ou à d’autres organisations sur demande. 

 

Le ou les dossiers doivent être gardés dans un endroit sûr et comprendre ce qui suit :

 

  • Date de l’atteinte

  • Description des circonstances de l’atteinte

  • Nombre de personnes visées

  • Types de renseignements personnels en cause

  • Sensibilité de l’information visée par l’atteinte

  • Probabilité de l’utilisation à mauvais escient

  • Un indicateur pour confirmer :

  • Si l’atteinte a entraîné un risque réel de préjudice grave et une explication quant à cette conclusion

  • Que la ou les personnes visées ont été avisées

  • La date de confirmation et d’avis visant le Commissariat à la protection de la vie privée 

  • Mesures prises pour éviter que des atteintes semblables se reproduisent –

 

Les cabinets situés au Québec (de la Canada Vie) doivent inclure ce qui suit dans le registre :

  • Date à laquelle le cabinet a été mis au courant de l’incident

  • Si la description des renseignements personnels n’est pas fournie, une explication de la raison

  • Si on détermine qu’il y a un risque grave ou sérieux – la date et la confirmation de l’avis à la CAI et aux personnes touchées et si des avis publics ont été émis et les raisons de l’avoir fait

 

OBTENIR L’AUTORISATION VALIDE ET ÉCLAIRÉE DU CLIENT

 

L’autorisation est considérée comme valide uniquement s’il est raisonnable de s’attendre à ce que les personnes comprennent la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication de leurs renseignements personnels auxquelles elles consentent.

 

Politique

Au début de la relation avec un client, Espace Finance obtiendra son autorisation écrite pour la collecte, l’utilisation et la communication de ses renseignements personnels et l’avisera du stockage possible à l’extérieur du Canada.

 

Lors d’interactions ultérieures au cours desquelles des renseignements personnels supplémentaires sont recueillis, nous vérifions verbalement que le consentement est toujours valable et nous le notons dans le dossier du client.

En ce qui concerne les personnes âgées de moins de 14 ans, le consentement doit être donné par le titulaire de l’autorité parentale ou par le tuteur, sauf si la collecte des renseignements est manifestement dans l’intérêt de la personne mineure.

 

Les clients sont informés que leurs renseignements personnels peuvent éventuellement être divulgués à l’extérieur du Canada ou de leur province de résidence dans le cadre des activités quotidiennes, y compris à des fins de stockage. Avant que les renseignements personnels ne soient transférés à l’extérieur du Québec, une Évaluation des répercussions sur la protection des renseignements personnels sera effectuée.

 

Lors de la collecte de renseignements auprès de clients existants et potentiels, expliquez le but de la collecte de ces renseignements et fournissez des renseignements sur les politiques en matière de protection des renseignements personnels du cabinet.

 

Communiquez uniquement des renseignements personnels sur les clients à une autre personne ou société si une autorisation verbale ou écrite du client a été obtenue ou lorsque la loi vous y autorise ou vous y oblige. S’il s’agit de renseignements de nature délicate, vous devez obtenir une autorisation écrite.

 

Le cabinet recommandera les services d’autres professionnels ou conseillers aux clients s’ils en font la demande ou si les clients peuvent tirer avantage de tels services. Le cabinet ne fournit jamais le nom des clients ni d’autres renseignements les concernant à des tiers susceptibles d’utiliser ces renseignements en vue d’offrir leurs services, à moins que les clients en aient été informés et y aient consenti.

 

Nouveaux droits d’accès et nouvelles utilisations des renseignements du client

 

Politique

Le cabinet obtiendra l’autorisation écrite du client advenant tout changement de l’objectif ayant motivé la collecte, l’utilisation et la communication des renseignements personnels du client, ainsi que l’accès à ceux-ci.

 

Procédure

Passez en revue le nouvel objectif et les nouveaux droits d’accès, d’utilisation et de communication avec le client et conservez une copie de la nouvelle autorisation dans le dossier de client.

 

Si le client s’oppose à un transfert ou aux nouveaux droits d’accès, il peut :

  • Demander que ses renseignements ne soient pas communiqués

  • Demander de faire affaire avec un nouveau conseiller

  • Demander le nom d’autres conseillers qu’il peut joindre ou le nom et le numéro de téléphone du directeur général régional auquel il peut s’adresser pour demander un autre conseiller

 

Contrats avec les fournisseurs

 

Politique

Le cabinet exige l’autorisation du client avant de transférer les renseignements d’un client à un fournisseur et conserve le contrôle sur les renseignements lors du transfert de renseignements personnels à un fournisseur aux fins de traitement.

 

Les transferts de renseignements aux fournisseurs aux fins de traitement, y compris les services infonuagiques, sont effectués pour différentes raisons, notamment le stockage de données et le traitement ou la manipulation des renseignements personnels du client.

Procédure

 

Avant de conclure, de modifier substantiellement ou de renouveler une entente contractuelle avec un fournisseur, le cabinet évalue les mesures de protection afin de s’assurer que le fournisseur est en mesure de protéger les renseignements du client de façon appropriée.

 

Le cabinet effectuera une vérification auprès d’un conseiller juridique avant d’accepter les modalités du fournisseur et conservera une copie imprimée de l’entente pour ses dossiers.  

 

Exception visant les autorisations de transactions commerciales

 

Les transactions commerciales comprennent, par exemple, la vente d’un cabinet, une fusion de deux organisations ou plus ou toute autre entente prescrite entre deux organisations ou plus visant à mener une activité commerciale.

 

Politique

Lorsque nécessaire, le cabinet transfère des renseignements personnels afin de déterminer si une transaction doit être effectuée ou afin d’effectuer une transaction. Les renseignements doivent uniquement être utilisés ou communiqués aux fins relatives à la transaction, protégés de façon adéquate, retournés ou détruits lorsqu’ils ne sont plus nécessaires à cette fin, et les clients concernés doivent être avisés que leurs renseignements personnels ont été transférés à une autre organisation.

 

Procédure

Lors de la réception de renseignements personnels, le cabinet conclut une entente visant à utiliser ou à communiquer les renseignements uniquement dans le cadre de la transaction et à les protéger et à les retourner ou à les détruire si la transaction n’est pas effectuée. Si la transaction est effectuée, le cabinet avisera les clients concernés que leurs renseignements personnels ont été transférés à une autre organisation.

 

COLLECTE DE RENSEIGNEMENTS PERSONNELS

 

Politique

Lors de la collecte de renseignements personnels :

  • Espace Finance limite la quantité et le type des renseignements recueillis au strict nécessaire pour la réalisation des fins visées.

  • Nous faisons tous les efforts raisonnables pour veiller à ce que les renseignements sur les clients existants et éventuels faisant partie des dossiers clients soient exacts et mis à jour ou corrigés au besoin.

  • Nous prenons les mesures nécessaires afin de nous assurer que les renseignements recueillis sont utilisés aux fins déterminées et non à d’autres fins, et qu’ils ne sont pas communiqués à une tierce partie sans le consentement du client existant ou éventuel, sauf indication contraire dans la loi.

  • Si des renseignements personnels sont recueillis dans un site Web ou une autre technologie accessible au public qui permet d’identifier, de localiser ou de profiler la personne, le paramètre par défaut doit être que la fonction à cet effet soit désactivée et une formulation facile à comprendre doit être fournie pour permettre à la personne de choisir les options qu’elle préfère en matière de protection des renseignements personnels.

    • Les paramètres de confidentialité doivent être définis par défaut au plus haut niveau.

 

Les paramètres par défaut des fonctionnalités reliées à l’établissement de profils ou de géolocalisation doivent être désactivés. (gestionnaire de témoins désactivé par défaut sur le site web)

Seuls les témoins essentiels sont acceptés.

 

Site web Espace Finance

Notre site web est hébergé sur la plateforme WIX. Wix utilise un programme de sécurité de l'information basé sur les meilleures pratiques internationales et une sécurité multicouche. Leur programme est en constante évolution pour faire face aux menaces émergentes. Ils mettent également en œuvre un cryptage des données en utilisant HTTPS, TLS 1.2 et plus, et SSL. Les données sont encryptées lorsqu’en transit tandis que les données au repos utilisent AES-256, la norme de cryptage la plus puissante sur le marché.

 

Pour les visiteurs de notre site web, le gestionnaire des témoins (aussi appelé « cookies ») est désactivé par défaut afin de limiter au strict minimum les données récoltées par le site (témoins essentiels).Si un visiteur décide de l’activer en acceptant les cookies, nous pouvons alors recueillir des renseignements sur votre visite afin de mesurer l’efficacité de notre site web ou de rehausser son expérience client.

 

Lorsqu'un visiteur fait une demande de renseignements via notre formulaire de prise de contact, il accepte qu’Espace Finance recueille son nom, son numéro de téléphone, son adresse électronique et tout autre renseignement qu'il décide de nous fournir via le formulaire. Espace Finance utilise ces renseignements strictement pour communiquer avec ses visiteurs et répondre à leurs questions ou demandes. Par mesure de sécurité, nous utilisons un outil d’un tiers parti pour authentifier que ceux-ci ne sont pas un robot quand ils nous envoyent le formulaire de prise de contact (reCaptcha). Par conséquent, ils acceptent que les renseignements personnels que communiqués en soumettant le formulaire soient assujettis à la politique de confidentialité et de sécurité de ce tiers parti.

 

Par précaution, nous recommandons toutefois aux visiteurs de ne jamais nous faire parvenir d’information personnelle ou sensible via cette plateforme.

Enregistrement des entretiens téléphoniques avec les clients

 

Politique

Tout enregistrement des appels avec les clients implique la collecte de renseignements personnels. Par conséquent, l’appelant doit consentir à l’enregistrement.

 

Le cabinet n’enregistre pas les entretiens téléphoniques avec ses clients.

 

UTILISATION, COMMUNICATION ET CONSERVATION

 

Politique

Les renseignements personnels ne doivent pas, sans consentement, être utilisés ou communiqués à un tiers à des fins autres que celles auxquelles ils ont été recueillis, sauf si cette utilisation ou communication est requise ou permise par la loi et sommes entièrement responsables de la garde en lieu sûr de ces documents et de la protection de la confidentialité de ceux-ci. En outre, s’il existe des raisons sérieuses et légitimes de conserver les renseignements personnels, ceux-ci peuvent être conservés, mais ils doivent être rendus anonymes au moyen de pratiques exemplaires généralement acceptées.

 

Le cabinet ne conserve les renseignements personnels que pendant la période où ils sont nécessaires aux fins déterminées, ou comme requis ou permis par la loi, et est entièrement responsable de la garde en lieu sûr de ces documents et de la protection de la confidentialité de ceux-ci.

 

Les renseignements personnels qui ne sont plus nécessaires aux fins précisées au moment de la collecte sont détruits ou effacés de façon sécuritaire.  

Destruction sécuritaire

 

Politique

  • Les documents papier renfermant tout renseignement personnel concernant un client existant ou éventuel doivent être détruits par déchiquetage, et non recyclés.

  • Les renseignements sont supprimés de tous les supports électroniques avant la destruction de ces derniers. Les dispositifs de stockage doivent être détruits afin de s’assurer que les données qu’ils contiennent ne peuvent pas être récupérées.

  • Lors de l’élimination ou de la destruction des renseignements personnels, prenez les mesures appropriées pour empêcher les parties non autorisées d’accéder aux renseignements.

  • Au moment de se défaire d’équipements ou d’appareils utilisés pour conserver des renseignements personnels (par exemple, des classeurs, des ordinateurs, des disquettes et des bandes sonores), prenez les mesures appropriées pour supprimer tous les renseignements consignés ou empêcher autrement des parties non autorisées d’y accéder.

Conservation des documents

Politique

Les dossiers, les évaluations et les documents sur les clients de ma pratique doivent être conservés pendant au moins la durée minimale stipulée par la loi.

 

Marche à suivre

Les dossiers sont conservés pendant la période la plus longue des exigences suivantes en matière de conservation :

  • Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes – les dossiers des clients doivent être conservés pendant cinq ans à compter de la date de la dernière transaction.

  • Exigences de l’Organisme canadien de réglementation des investissements (OCRo) – Les dossiers/documents des clients relatifs aux fonds communs de placement doivent être conservés pendant sept ans à compter de la date de création du dossier.

  • Réglementation québécoise à l’égard des cabinets – Les dossiers clients doivent être conservés pendant cinq ans après la fermeture définitive du dossier client, la dernière date de prestation d’un service au client (par le cabinet) ou l’échéance sans renouvellement ou remplacement du dernier produit vendu au client, selon la dernière éventualité.

 

Les dossiers peuvent être conservés au-delà de la période de conservation requise à des fins de litiges. Les dossiers conservés à ces fins doivent être stockés séparément, en toute sécurité, et n’être accessibles qu’en cas de litige.

 

Les bonnes pratiques généralement acceptées seront utilisées pour rendre anonymes les renseignements personnels conservés à des fins sérieuses et légitimes.

MESURES DE PROTECTION

 

Politique

Les mesures de protection appropriées doivent être prises pour ce qui est du stockage et de l’élimination des renseignements sur les clients. Toutes les personnes liées au cabinet ou à son emploi sont tenues de respecter les procédures décrites dans cette section.

 

Procédure

Le cabinet utilise une combinaison de mesures de protection technologiques, physiques et organisationnelles pour protéger les renseignements personnels des clients contre le vol et la mauvaise utilisation, ainsi que contre l’accès, la communication, la reproduction, l’utilisation ou les modifications non autorisées.

Mesures de protection technologiques 

 

Les outils technologiques nécessitant des mesures de protection comprennent entre autres :

  • Les ordinateurs : ordinateurs de bureau, portables, serveurs et assistants personnels (tablettes et téléphones intelligents)

  • Le matériel informatique et les logiciels

  • Les appareils mobiles

  • Les médias portables – clés USB, CD, DVD

  • Les imprimantes, numériseurs, télécopieurs et photocopieurs avec options d’impression sécurisées

  • Le courrier électronique et les services Internet (p. ex. l’infonuagique)

 

Chiffrement, antivirus et coupe-feu

 

Politique

  • Les logiciels de chiffrement, les antivirus et les coupe-feux sont installés et tenus à jour sur tous les outils technologiques utilisés en contexte professionnel afin d’assurer la sécurité des données des clients. Cela comprend le chiffrement des données de nature délicate lorsqu’elles sont stockées ou transmises, y compris lors de leur transmission vers les serveurs de sauvegarde.

  • Les mesures de protection de ces outils technologiques sont revues sur une base annuelle et mises à niveau lorsque nécessaire.

  • Lorsque ces outils technologiques sont sans surveillance ou en cours de transport, tous les appareils doivent être fermés (éteints). Si vous ne faites que fermer votre session, verrouiller l’appareil ou le laisser en mode veille, les mesures de sécurité supplémentaires peuvent être inefficaces.

 

Courriel sécurisé

Protection à l’aide d’un mot de passe et encryption

 

Lorsque vous traitez des renseignements de nature délicate et sensible, les courriels comprenant ces renseignements doivent être sécurisés à l’aide d’un mot de passe de dossier/document ou, si possible, être chiffrés. Les mots de passe du dossier doivent être communiqués par téléphone.

 

Espace Finance utilise l’outil Secure Exchange qui permet de sécuriser les courriels et les pièces jointes de façon simple et sécuritaire (chiffrement). De plus, pour authentifier la personne qui reçoit le courriel, un code sms lui est envoyé sur son cellulaire pour lui permettre d’accéder au document.

Mesures de protection physiques

 

Vous devez tenir compte des mesures de sécurité suivantes :

Aménagement du bureau

 

  • Les bureaux ou les espaces de travail sont aménagés de manière à ce qu’ils soient en retrait des aires de circulation du bureau.

  • Les télécopieurs, les photocopieurs et les imprimantes sont placés dans les aires dont l’accès est plutôt restreint.

  • Les associés ou les membres du personnel qui traitent les renseignements de nature délicate sont situés dans une aire de travail où les conversations ne peuvent pas être facilement entendues.

  • Les dossiers de renseignements personnels des clients sont conservés à l’écart des aires de circulation sous verrou

  • Les dossiers comprenant des renseignements personnels sont conservés dans des classeurs verrouillés.

 

Garde des documents à l’extérieur des lieux de travail

Il faut assurer la protection des renseignements des clients, qu’ils se trouvent dans un bureau personnel, dans une voiture ou dans tout autre lieu. Les dossiers papier qui renferment des renseignements personnels doivent être retirés du lieu de travail uniquement lorsque cela s’avère absolument nécessaire ou pour assurer un service approprié aux clients.

 

Aux fins de suivi et pour faciliter les démarches en cas de perte ou de vol, il faut prendre note de tous les dossiers ou documents avant qu’ils ne soient retirés du lieu de travail. Tous les associés et les membres du personnel doivent prendre connaissance de ces exigences et s’y conformer.

 

Boîte vocale

Les messages laissés aux clients ne doivent comporter aucun renseignement personnel à moins que le client en ait déjà été avisé. Le client doit aussi confirmer qu’il désire que ces renseignements lui soient laissés dans sa boîte vocale.

Identification de l’appelant

Si une demande est effectuée par téléphone, il est nécessaire d’identifier la personne avant de fournir quelque renseignement personnel que ce soit.

 

Pour identifier l’appelant, la personne doit répondre à trois des questions qui figurent dans la procédure interne d’identification de l’appelant.

 

Si les réponses ne sont pas exactes, indiquez à l’appelant que le cabinet est responsable de la protection de la vie privée et de la confidentialité des renseignements personnels du client et qu’il ne peut, par conséquent, divulguer des renseignements sans d’abord confirmer que l’appelant a bien droit de les obtenir. Demandez-lui de présenter sa demande par écrit.

 

Courrier

Tout document envoyé au client qui contient de l’information sensible, tel que, entre autres, des polices d’assurance, des renseignements médicaux, financiers etc. doit être posté sous forme de poste recommandée, avec un numéro de suivi et une exigence de signature du destinataire (preuve de réception du client). 

Courrier électronique

 

Les messages envoyés aux clients ne doivent comporter aucun renseignement personnel, à moins que le client en ait été avisé à l’avance et qu’il ait consenti à ce que ces renseignements lui soient transmis par courriel.

 

La mise en garde suivante doit être ajoutée à tout courriel renfermant des renseignements personnels sur le client :

 

« Le contenu de la présente communication, y compris tout fichier joint, est confidentiel et peut être privilégié. Si vous n’êtes pas le destinataire visé (ou si vous ne recevez pas la présente communication au nom du destinataire visé), veuillez en aviser immédiatement l’expéditeur et supprimer ou détruire la présente communication sans la lire, en tirer des copies, la retransmettre ou en enregistrer le contenu. Merci. À noter : Nous avons pris des mesures de protection contre les virus, mais nous n’assumons aucune responsabilité pour ce qui est de la perte ou des dommages causés par la présence d’un virus. »

 

Authentification de courriels

Les renseignements de nature délicate ne devraient pas être communiqués par courriel, sauf si le client en a fait la demande. Si une demande est effectuée par courriel, il est nécessaire d’identifier la personne avant de fournir des renseignements personnels par courriel selon la procédure détaillée interne d’authentification de courriels.

 

Télécopies

 

Les télécopies ne doivent pas comporter de renseignements personnels, à moins que le client en ait déjà été avisé et qu’il ait consenti à recevoir ces renseignements par télécopieur.

 

La mise en garde suivante doit être ajoutée au bordereau de toutes les télécopies comportant des renseignements personnels :

 

« Le contenu de la présente télécopie, y compris toute pièce jointe, est confidentiel et peut être privilégié. Si vous n’êtes pas le destinataire visé (ou si vous ne recevez pas la présente télécopie au nom du destinataire visé), veuillez en aviser immédiatement l’expéditeur et supprimer ou détruire la présente télécopie sans la lire, en tirer des copies, la retransmettre ou en enregistrer le contenu. Merci. »

 

Mesures de protection organisationnelles

Autorisation et limite d’accès uniquement en cas de nécessité

 

  • L’accès aux renseignements personnels est accordé uniquement en cas de nécessité (c.-à-d. aux renseignements nécessaires pour accomplir certaines tâches). L’accès aux dossiers (papier, système ou électroniques) est revu lors de l’embauche d’associés ou de membres du personnel ou de leur transfert à un poste différent.

  • Lorsqu’il est prévu qu’un associé ou membre du personnel quitte son emploi, il faut révoquer son accès aux renseignements sur les clients, y compris les données électroniques accessibles au moyen des ordinateurs et les renseignements consignés dans les documents se trouvant dans les aires de travail.

  • Une liste complète des actions à prendre lors de la terminaison d’un employé a été mise en place.

 

Ententes de confidentialité

 

Les employés sont avisés de l’importance de protéger la sécurité et la confidentialité des renseignements personnels. Lorsque des renseignements personnels sont de nature délicate ou que les conséquences possibles d’une communication non appropriée sont importantes, le cabinet :

  • Utilise les ententes de confidentialité avec les employés

  • Prend des mesures appropriées pour protéger les renseignements de client contre des tiers qui peuvent avoir accès aux bureaux, notamment les agents de sécurité, les préposés à l’entretien ménager et les fournisseurs

  • Obtient, le cas échéant, une entente de non-divulgation de la personne ou de l’entreprise chargée de la réparation de l’appareil si les renseignements confidentiels ne peuvent pas être retirés d’un appareil avant sa réparation

  • Une liste est en place pour s’assurer de gérer adéquatement la suppression des accès des employés lorsqu’ils quittent l’employeur.

------------------------------------------------------------------------------------------------------------------------------------------------

 

ADOPTION DES POLITIQUES ET DES PROCÉDURES

 

Politiques et procédures adoptées le 22 septembre 2023 par Etienne Ouimet et tous les employés du cabinet.

Par la présente, le cabinet s’engage à tenir à jour cette politique et à se former régulièrement afin de toujours répondre aux normes législatives en matière de protection des renseignements personnels.

Logo Espace Finance
Investia Sercices Financiers
Les renseignements contenus sur cette page web sont destinés uniquement aux résidents du Québec. Les produits d’assurance, y compris les polices de fonds distincts, sont offerts par Espace Finance, par l’intermédiaire de Canada Vie et de l’agent général La financière Horizons. Les produits d'assurance collective sont offerts par Espace Finance par l'entrepmise de l'agent général Groupe Cloutier. Les fonds communs de placement sont offerts par l’intermédiaire d’Investia Services financiers Inc. Les renseignements présentés ont été obtenus de sources que nous estimons fiables mais ils ne sont pas garantis par nous et peuvent être incomplets. Les opinions exposées n’ont pas été approuvées et ne sont pas endossées par Investia Services Financiers Inc. Le présent site Web ne doit pas être utilisé à des fins de sollicitation dans un territoire où ce représentant d’Investia n’est pas inscrit. La politique de protection des renseignements personnels d’Espace Finance est disponible sur demande.

La politique de protection des renseignements personnels pour iA Groupe Financier: Politique de protection des renseignements personnels | iA Groupe financier 
Visualisez ICI les renseignements juridiques, sur les droits d’auteur et sur les marques de commerce.
bottom of page