Politique de protection des renseignements personnels du CDSPI
La protection des renseignements personnels est un aspect fondamental des habitudes de travail au CDSPI et au CDSPI Services consultatifs Inc. (« CDSPI »). Nous attachons une grande importance à la protection du caractère privé et confidentiel des renseignements personnels, comme en témoigne notre politique qui décrit les moyens que nous mettons en œuvre pour recueillir, utiliser et divulguer les renseignements personnels de nos clients et de nos employés, tout en protégeant leur vie privée.
Que faut-il entendre par « renseignements personnels »?
Nous entendons par « renseignement personnel » tout renseignement factuel ou subjectif se rapportant à une personne identifiable à partir duquel l’identité de cette personne peut être raisonnablement déterminée. Cela comprend également des points de données qui, combinés avec d’autres renseignements, peuvent permettre d’identifier une personne.
Les renseignements personnels recueillis par le CDSPI peuvent notamment inclure, mais sans s’y limiter, le nom, l’adresse, le numéro de téléphone, la langue de préférence, la date de naissance, le numéro d’assurance sociale, l’emploi, les renseignements sur le conjoint, la famille ou d’autres membres du ménage, les antécédents de sinistres, de même que les renseignements médicaux et financiers d’une personne. Il se peut également que nous recueillions les renseignements bancaires ou de carte de crédit pour les paiements de prime d’assurance, une cotisation de placement ou un rachat.
Les renseignements personnels peuvent être recueillis de différentes manières, y compris sous forme écrite, de dossiers électroniques et d’enregistrements vidéo ou audio.
LES DIX PRINCIPES DE PROTECTION DES RENSEIGNEMENT PERSONNELS
Au CDSPI, nous respectons 10 principes en matière de protection des renseignements personnels, qui sont fondés sur la Loi sur la protection des renseignements personnels et les documents électroniques du gouvernement fédéral.
1. RESPONSABILITÉ
Le CDSPI est responsable des renseignements personnels qui lui sont confiés et a désigné une ou plusieurs personnes pour veiller au respect de la présente politique.
Un chef de la protection des renseignements personnels a été désigné pour veiller à ce que le CDSPI se conforme à la présente politique ainsi qu'aux règlements et aux lignes directrices applicables en matière de protection des renseignements personnels. S'il y a lieu, il est possible de déléguer ces responsabilités à une ou plusieurs personnes au sein de l’organisme. Notre chef de la protection des renseignements personnels supervise notre programme de protection des renseignements personnels.
2. DÉTERMINATION DES FINS DE LA COLLECTE DES RENSEIGNEMENTS
Le CDSPI précisera l'usage qu'il compte faire des renseignements personnels, au moment de leur collecte ou avant.
Le CDSPI a recours à divers moyens pour recueillir les renseignements personnels, par exemple, lorsque vous remplissez des propositions et formulaires, durant le processus de réclamations, des appels téléphoniques ou des entretiens personnels, ou encore, par toute autre méthode. Au moment de la collecte des renseignements, ou avant, le CDSPI indiquera l’usage qu’il compte en faire. Cette précision pourra être communiquée par écrit ou verbalement, selon la manière dont les renseignements sont recueillis.
Nous utilisons vos renseignements personnels pour nous aider à gérer les produits et services que nous offrons, notamment aux fins suivantes :
- vérifier votre identité
- communiquer avec vous
- respecter les obligations réglementaires
- déterminer si vous êtes admissible à nos produits et services
- évaluer et recommander d’autres produits et services
- traiter une proposition d’assurance, un régime de placement ou une indemnisation d’assurance
- prévenir et détecter une fraude
- répondre à des plaintes
- analyser des données
- solliciter votre opinion à la suite d’une interaction avec le CDSPI ou relativement à un produit ou service
- vous aider à profiter des avantages d’être un client du CDSPI
Le CDSPI recueillera, utilisera ou communiquera uniquement les renseignements dont il a besoin aux fins précisées au moment de la collecte. Il se peut que nous regroupions vos renseignements avec ceux d’autres personnes à des fins de recherche et de rapports statistiques. Vous ne serez pas identifié dans ces rapports.
Dans certains cas, l’utilisation et la divulgation de vos renseignements constituent un élément essentiel de nos produits et services. Si vous n’êtes pas d’accord avec l’utilisation et la divulgation de vos renseignements de cette manière, vous devrez peut-être choisir un autre produit ou service.
Il se peut que le CDSPI informe occasionnellement ses clients par courriel de d’autres produits et services financiers qui, selon nous, répondent à l’évolution de vos besoins. Si vous ne souhaitez pas recevoir de telles offres, veuillez contacter le CDSPI et nous en prendrons note. Nos clients peuvent mettre à jour leurs préférences de courriels sur le site Web du CDSPI ou cliquer sur le lien de désabonnement dans le bas de nos courriels.
Lorsque les renseignements personnels recueillis doivent être utilisés à des fins autres que celles précisées antérieurement, les nouvelles fins doivent être précisées avant l’utilisation et, à moins qu’elles soient exigées par la loi, le consentement de la personne concernée doit être obtenu avant l’utilisation.
3. CONSENTEMENT
Le CDSPI doit obtenir de la personne son consentement à la collecte, à l'utilisation ou à la communication des renseignements personnels, sauf lorsque ce consentement est inapproprié.
Le consentement est nécessaire pour recueillir des renseignements personnels et pour utiliser ou divulguer ces renseignements par la suite. Généralement, le CDSPI obtiendra le consentement à l’utilisation ou à la communication des renseignements personnels au moment de la collecte. Parfois, le consentement sera obtenu après la collecte des renseignements, mais avant leur utilisation (par ex., lorsque le CDSPI désire utiliser des renseignements à des fins qui n’ont pas été précisées antérieurement). En fournissant des renseignements concernant un tiers, comme un membre de la famille ou un employé, vous déclarez avoir obtenu le consentement de cette personne pour recueillir, utiliser et divulguer des renseignements conformément à la présente politique de protection des renseignements personnels.
Le CDSPI peut solliciter le consentement de diverses façons, selon les circonstances et la nature des renseignements à recueillir. Nous solliciterons le plus souvent un consentement exprès si la confidentialité des renseignements personnels ne fait aucun doute (par ex., les renseignements d'ordre médical ou portant sur le revenu). Parfois, le consentement pourra être obtenu auprès d'un représentant autorisé, par exemple un tuteur légal ou une personne disposant d'une procuration. Un consentement peut être implicitement accordé dans les cas où les renseignements sont peu confidentiels et que le consentement à leur collecte, utilisation ou communication peut raisonnablement être sous-entendu. Généralement, le consentement est valable pendant la période nécessaire pour atteindre les fins précisées.
Dans certains cas restreints, il se peut que le CDSPI recueille, utilise ou divulgue des renseignements personnels à l’insu de la personne concernée ou sans son consentement. Par exemple, pour des raisons juridiques, médicales ou sécuritaires qui peuvent rendre impossible ou irréalisable l’obtention du consentement. Lorsque des renseignements recueillis dans le cadre d’une enquête ou à des fins de détection de fraudes ou de répression criminelle, il peut être irréalisable d’obtenir le consentement. De même, il peut être impossible ou inapproprié de solliciter le consentement d'une personne d'âge mineur, gravement malade ou autrement inapte.
Une personne peut retirer son consentement en tout temps, sous réserve de certaines restrictions juridiques ou contractuelles et d’un préavis raisonnable. Toutefois, il se peut que le CDSPI soit restreint dans sa capacité d’offrir des services à une personne qui retire son consentement. Le CDSPI informera la personne des conséquences qui pourraient s’ensuivre.
4. LIMITES DE LA COLLECTE
La collecte se limitera aux seuls renseignements personnels jugés raisonnablement nécessaires aux fins précisées par le CDSPI. Seuls des moyens équitables et légaux seront utilisés pour recueillir les renseignements.
Le CDSPI recueillera les renseignements personnels avec discernement. La quantité et la nature des renseignements recueillis se limiteront aux seuls renseignements jugés raisonnablement nécessaires aux fins précisées.
Les renseignements seront recueillis conformément à l'obligation du CDSPI de préciser l'usage prévu des renseignements et d'obtenir le consentement de la personne à la collecte, à l'utilisation et à la communication des renseignements personnels.
Nous pouvons également être amenés à recueillir des renseignements personnels lorsque vous visitez notre site Web, par exemple, quand vous prenez rendez-vous avec un conseiller. Tous les renseignements personnels recueillis, sur notre site Web ou de toute autre manière, sont régis par la présente politique en matière de protection des renseignements personnels.
5. LIMITES DE L’UTILISATION, DE LA COMMUNICATION ET DE LA CONSERVATION
Le CDSPI utilisera ou communiquera les renseignements personnels aux seules fins pour lesquelles ils ont été recueillis, à moins que la personne concernée ne consente à ce qu'ils soient utilisés ou communiqués pour d'autres fins ou conformément à la loi. Les renseignements personnels seront conservés uniquement pendant la durée nécessaire aux fins précisées.
Les employés du CDSPI s’engagent chaque année à protéger la confidentialité des renseignements personnels dont ils ont besoin pour accomplir leurs tâches et doivent suivre régulièrement une formation sur la sécurité et la protection des renseignements personnels.
Des renseignements personnels peuvent être divulgués à nos partenaires et fournisseurs pour gérer les obligations d’affaires et juridiques. Cela inclut les services dans le nuage, d’hébergement Web et de traitement de données, les fournisseurs de produits d’assurance et de placement, les fournisseurs de services de réclamations et les services juridiques. Nos partenaires doivent s’engager contractuellement à respecter nos normes strictes pour la protection et la confidentialité de vos renseignements personnels, comme indiqué dans la présente politique de protection des renseignements personnels.
Certaines situations nous obligent à divulguer vos renseignements personnels aux tribunaux, aux autorités policières et à d’autres agences. De même, il se peut que nous devions divulguer vos renseignements personnels à des tiers, par exemple, des institutions financières, des sociétés de traitement des paiements, des agences d’évaluation du crédit et des bases de données publiques et privées sur les fraudes et les réclamations.
Le CDSPI conservera les renseignements utilisés dans le but de rendre une décision concernant une personne suffisamment longtemps pour que cette personne puisse y avoir accès une fois la décision rendue.
Les types de produits et de services qu’offre le CDSPI nécessitent que nous conservions les renseignements personnels pendant une période prolongée. Les renseignements personnels qui ne sont plus nécessaires pour une fin seront détruits conformément aux politiques et procédures de conservation et de destruction des données du CDSPI.
Le CDSPI ne vendra jamais vos renseignements personnels à qui que ce soit.
6. EXACTITUDE
Le CDSPI prendra des mesures raisonnables pour assurer que les renseignements personnels seront aussi exacts, complets et à jour que nécessaire aux fins pour lesquelles ils sont destinés.
La mesure dans laquelle les renseignements sont exacts, complets et à jour dépendra de leur utilisation, tout en tenant compte des intérêts de la personne. Les renseignements seront suffisamment exacts, complets et à jour pour réduire au minimum les risques qu'une décision se rapportant à une personne soit fondée sur des renseignements inappropriés.
Le CDSPI ne mettra pas régulièrement à jour les renseignements personnels, à moins que ne l'exigent les fins pour lesquelles ils ont été recueillis.
7. MESURES DE SÉCURITÉ
Le CDSPI protègera les renseignements personnels par des mesures de sécurité appropriées selon leur niveau de sensibilité.
Le CDSPI a mis en place des mesures de sécurité ainsi que des séances de formation appropriées pour les employés afin de protéger les renseignements personnels contre la perte ou le vol, et contre l'accès, la communication, la reproduction, l'utilisation ou la modification non autorisés. Le CDSPI protégera les renseignements personnels peut importe le format dans lequel ils sont conservés.
Les mesures de sécurité varieront sur la nature délicate des renseignements recueillis, la quantité de renseignements, la distribution, le format et la méthode de conservation. Les renseignements de nature plus délicate feront l’objet d’un niveau de protection accru.
Parmi les méthodes de protection, mentionnons :
- des mesures de sécurité physique comme un accès limité aux bureaux du CDSPI par carte de sécurité, classeurs verrouillés et accès limité aux dossiers
- des mesures organisationnelles comme un accès limité selon le « besoin de savoir »
- des mesures technologiques comme l’utilisation de mots de passe et de cryptage
Le CDSPI s’efforcera, dans la mesure du possible, de s’assurer que les personnes non autorisées ne puissent pas accéder aux renseignements pendant leur élimination ou destruction.
Les méthodes de protection comprennent également les mesures visant à s'assurer que tous les tiers avec qui nous signons des ententes et qui peuvent être appelés à manipuler les renseignements personnels disposent de mesures de sécurité comparables.
8. TRANSPARENCE
Le CDSPI mettra à la disposition immédiate des particuliers des renseignements précis sur ses politiques et pratiques relatives à la gestion des renseignements personnels.
Les renseignements ainsi mis à la disposition des particuliers comprendront :
- le nom ou le titre, ainsi que l'adresse, des personnes responsables des pratiques et des politiques du CDSPI et auxquelles les plaintes ou les demandes de renseignements peuvent être transmises;
- les moyens d'accéder aux renseignements personnels détenus par le CDSPI;
- une description du type de renseignements personnels détenus par le CDSPI ainsi qu'un aperçu général de leur utilisation;
- un exemplaire de la présente politique et de tout autre document d'information expliquant ou approfondissant cette politique; et
- la nature des renseignements personnels mis à la disposition d'organisations affiliées ou de filiales.
9. ACCÈS AUX RENSEIGNEMENTS PERSONNELS
Si une personne en fait la demande, le CDSPI l'informera de l'existence, de l'utilisation et de la communication des renseignements personnels qui la concernent et lui donnera accès à ceux-ci. Une personne pourra contester l'exactitude et l'exhaustivité de ces renseignements et demander que des modifications y soient apportées au besoin.
Sur demande, le CDSPI indiquera à la personne si des renseignements personnels sont détenus ou non à son sujet et, si possible, la source de ces renseignements. Le CDSPI permettra à la personne d'accéder aux renseignements et lui fournira, dans la mesure du possible, une description des usages auxquels ils sont réservés, y compris toute communication à des tiers. Dans le cas de renseignements médicaux confidentiels, le CDSPI peut choisir de les mettre à la disposition de la personne par l'entremise d'un médecin ou praticien désigné par la personne.
Dans certaines situations, le CDSPI peut ne pas être en mesure d'accorder l'accès à la totalité des renseignements personnels qu'il détient au sujet d'une personne. Les exceptions aux besoins d'accès à des renseignements seront limitées et spécifiques, et les raisons justifiant le refus de cet accès seront fournies sur demande. Parmi les renseignements visés par ces exceptions, notons les renseignements faisant référence à d'autres personnes, les renseignements relevant du secret professionnel ou du contentieux, les renseignements qui ne peuvent être divulgués pour des raisons juridiques, de sécurité ou d'intérêt commercial ou les renseignements qui seraient beaucoup trop coûteux à fournir.
Le CDSPI répondra aux demandes de la personne dans des délais raisonnables et en contrepartie de frais minimes, voire nuls. Les renseignements demandés seront fournis dans une forme généralement compréhensible. Si la personne demande une copie de tout document se trouvant dans un dossier du CDSPI, des frais raisonnables pourront être exigés pour la duplication de celui-ci.
Une personne pourrait être tenue de fournir des informations suffisantes sur son identité ou sur la nature des renseignements qu’elle a fournie au CDSPI pour qu’il soit possible au CDSPI de la renseigner sur l’existence, l’utilisation et la divulgation de ses renseignements personnels. Les renseignements personnels fournis seront utilisés uniquement à cette fin.
Si une personne parvient à démontrer que des renseignements personnels sont inexacts ou incomplets, le CDSPI apportera les modifications nécessaires. Selon la nature des renseignements contestés, la modification pourra prendre la forme d'une correction, d'un ajout ou d'une suppression de renseignements. Le cas échéant, les renseignements modifiés seront transmis aux tiers qui ont accès aux renseignements en cause.
Si une plainte n'est pas réglée à la satisfaction de la personne, le fondement de la plainte sera consigné. La personne pourra également verser au dossier une déclaration résumant sa position, de même que les documents sur lesquels elle appuie cette position.
10. FACILITATION DU DÉPÔT DES PLAINTES
Une personne peut protester contre tout manquement à la présente politique auprès du chef de la protection des renseignements personnels du CDSPI.
Le CDSPI fera connaître aux personnes qui présentent une demande de renseignements ou qui soulèvent des préoccupations le processus de traitement des plaintes applicable.
Le CDSPI fera enquête sur toutes les plaintes et y donnera suite. Si la plainte semble être fondée, le CDSPI prendra des mesures appropriées. Par exemple, elle pourra modifier ses politiques et ses pratiques, s'il y a lieu.
COORDONNÉES
Une personne peut demander à revoir ses renseignements personnels qui figurent dans nos dossiers et demander qu’ils soient corrigés en contactant notre chef de la protection des renseignements personnels en utilisant l’une des méthodes ci-dessous :
Par la poste :
À l’attention du : Chef de la protection des renseignements personnels
CDSPI
2005 Sheppard Ave East, Suite 500,
Toronto, ON M2J 5B4
Par courriel : privacy@cdspi.com