Politiques et Procédures de Confidentialité

Nous devons obtenir le consentement d’un individu lorsque nous collectons, utilisons ou divulguons les renseignements personnels (« RP ») de l’individu.  Un individu a le droit d’accéder aux RP que nous détenons et de contester leur exactitude. Les RP ne peuvent être utilisés qu’aux fins pour lesquels ils ont été collectés.  Si nous souhaitons les utiliser à une autre fin, nous devons obtenir à nouveau le consentement.  Nous devons également garantir aux individus que leurs renseignements seront protégés par des mesures de protection spécifiques, notamment des mesures telles que des armoires verrouillées, des mots de passe informatiques ou un encodage.

Réclamations : une personne peut déposer une réclamation auprès de nous ou du CPVP concernant toute violation présumée de la loi. Le CPVP peut également déposer une réclamation s’il existe des motifs raisonnables.

Demande à la Cour fédérale : après avoir reçu le rapport d’enquête du CPVP, un plaignant peut demander à la Cour fédérale une audition sous certaines conditions énoncées dans la Loi. Le CPVP peut également faire appel à la Cour, laquelle peut nous ordonner de modifier nos pratiques ou d’accorder des dommages-intérêts à un plaignant, y compris des dommages-intérêts pour toute humiliation subie.

Audits : avec des motifs raisonnables, le CPVP peut vérifier nos pratiques de gestion des RP.

Infractions : c’est une infraction :

• de détruire les RP qu’un individu a demandés;

• d’exercer des représailles contre un employé couvert qui s’est plaint au CPVP ou qui refuse de contrevenir aux Articles 5 à 10 de la Loi; ou

• de faire obstacle à une enquête sur une réclamation ou à une vérification par le CPVP.

Définition des RP :

Les RP incluent tout renseignement factuel ou subjectif, enregistré ou non, sur une personne identifiable.
Cela inclut des renseignements sous quelque forme que ce soit, tels que :

• l’âge, le nom, les numéros d’identification, les revenus, l’origine ethnique, l’ADN ou le groupe sanguin;

• les opinions, les évaluations, les commentaires, le statut social ou les mesures disciplinaires; et

• les dossiers d’employés, dossiers de crédit, dossiers de prêt, dossiers médicaux, l’existence d’un différend entre un consommateur et un commerçant, les intentions (par exemple, l’acquisition de biens ou de services, ou le changement d’emploi).

Actuellement, l’Alberta, le Québec et la Colombie-Britannique ont des lois sur la protection de la vie privée sensiblement semblables.  L’Ontario, le Nouveau-Brunswick et la Terre-Neuve-et-Labrador ont chacune adopté une loi qui est essentiellement semblable dans le traitement des renseignements personnels sur la santé.  La LPRPDE s’applique à tous les autres égards dans ces provinces.

En général, les provinces se sont vu accorder des « pouvoirs coercitifs » plus importants et les lois provinciales semblent être plus sévères.  La loi québécoise reflète le fait que la vie privée est un droit garanti par la Charte des droits et libertés du Québec.

Nous recevons, utilisons et conservons des renseignements recueillis sur les conseillers lors de leur sélection et par les conseillers sur leurs clients au nom des assureurs conformément à des contrats écrits.  Nous n’obtenons pas le consentement direct des clients finaux et nous ne pouvons pas utiliser ces informations à des fins pour lesquelles le conseiller ou l’assureur n’a pas obtenu le consentement. En ce qui concerne le traitement des renseignements sur les clients, à toutes fins utiles, nous agissons en tant qu’organe de l’assureur lors du traitement des demandes pour soumission et dans le cadre de la surveillance que nous effectuons au nom des assureurs lors de l’examen d’informations supplémentaires sur les clients que les Conseillers pourraient héberger sur nos systèmes ou produire en réponse à nos demandes.

Il est extrêmement important que les consentements des Conseillers incluent le partage de renseignements avec nous.  Le modèle de Déclaration de confidentialité et de consentement du Conseiller que nous fournissons sur notre site Web couvre les obligations des Conseillers.

Bien que nous ne puissions pas utiliser ces RP à quelque fin que ce soit, nous les conserverons dans nos systèmes.  Tout renseignement du client supplémentaire auquel nous pourrions avoir accès doit nous être fourni avec le consentement que le Conseiller reçoit.

Les politiques de confidentialité des assureurs indiquent généralement qu’ils obligent leurs fournisseurs de services à respecter leurs normes de confidentialité.  Bien que cette attente ne soit pas toujours explicite dans nos contrats avec les assureurs, nous nous efforçons de respecter ces normes à tout moment.

Outre l’adhésion aux 10 principes de la LPRPDE, nous devons mettre en place un programme spécifique de conformité en matière de protection de la vie privée.  Les éléments requis du programme sont conformes aux exigences du régime de conformité en vertu de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (la « Loi »).

L’Agent des normes de confidentialité (« l’Agent de conformité ») a besoin du soutien et de l’autorité de la haute direction pour intervenir sur les questions de confidentialité liées à toute opération de notre AGD.  En particulier, cette personne doit avoir la capacité de répondre aux enquêteurs, aux auditeurs et au CPVP.  Notre Agent de conformité et ses coordonnées sont identifiés sur la page couverture de ce manuel, dans notre Politique de confidentialité et sur notre site Web.

Politique de Confidentialité

Notre Politique de confidentialité a été rédigée pour décrire avec précision notre approche et pour se conformer aux exigences de la LPRPDE.  Nous la publions sur notre site Web et la rendons accessible au public.

Parce que nous obtenons des renseignements sur les clients au nom des assureurs et sommes généralement couverts par leurs consentements lors du traitement des demandes qui leur sont soumises, de la fourniture de services liés à ces demandes et à toute police, ou lors de la surveillance des Conseillers, toute activité que nous entreprenons concernant les renseignements personnels des clients obtenus à ces fins doit être accomplie par l’intermédiaire ou au nom de la compagnie d’assurance.  Nous pouvons accéder à d’autres renseignements du client que les Conseillers hébergent sur nos systèmes ou nous fournissent afin d’assister, par exemple, le Conseiller dans ses activités commerciales.

Lorsque nous recevons une demande d’accès d’un client, nous devons déterminer si les renseignements demandés ont été collectés pour le compte de l’assureur ou du Conseiller.  Par exemple, lorsqu’un conseiller effectue une analyse des besoins avec un client, il ou elle recueille un certain nombre de renseignements qui ne sont pas communiqués à l’assureur qui est ultimement invité à fournir une assurance.  Nous pouvons fournir un support logiciel au Conseiller pour héberger ses fichiers clients, y compris les analyses de besoins.  De plus, nous pouvons accéder de temps à autre à ces fichiers clients afin de respecter nos obligations de surveillance déléguée par les assureurs ou pour accompagner un Conseiller à la vente.  Si un client souhaite accéder uniquement à l’analyse des besoins, le Conseiller devra répondre à la demande.  En réalité, toute demande d’accès sera plus générale et impliquera des renseignements collectés au nom de l’assureur et du Conseiller. En contactant à la fois le Conseiller et l’assureur, nous pouvons, de temps à autre, être amenés à répondre en leur nom.  Auquel cas nous demandons des instructions écrites des deux parties.

Les règles suivantes s’appliquent :

• La réponse à une demande d’accès d’un client doit être faite dans les 30 jours. Ce délai peut être prolongé pour un maximum de 30 jours si :

  • une réponse dans les 30 jours initiaux nuirait de manière déraisonnable aux activités des parties.

  • plus de temps est nécessaire pour mener des consultations ou pour convertir les RP en un autre format.

• Si un délai est nécessaire, l’individu doit être avisé de ce délai dans les 30 jours suivant la réception de la demande et de son droit de porter plainte auprès du CPVP.

• Une assistance doit être fournie à tout client qui a besoin de préparer une demande de RP.

• L’individu peut être invité à fournir suffisamment de renseignements pour permettre aux parties de rendre compte de l’existence, de l’utilisation et de la divulgation des RP.

• L’accès doit être fourni à l’individu à un coût minime ou gratuitement.

• La personne doit être informée des coûts approximatifs avant de traiter la demande et doit confirmer qu’elle souhaite toujours donner suite à la demande.

• Les renseignements demandés doivent être compréhensibles, et les acronymes, abréviations et codes doivent être expliqués.

• Les parties doivent envoyer tout renseignement qui a été modifié, le cas échéant, à tout tiers ayant accès aux renseignements. Cela inclut les AGD.

• La personne doit être informée par écrit lorsqu’une demande d’accès est refusée, en indiquant les raisons et les recours possibles.

Procédures de demande d’accès client –
Si nous recevons une demande directement d’un client ou par l’intermédiaire d’un Conseiller pour le compte d’un client :

Invitez le demandeur à nommer le ou les assureurs concernés.  Ne divulguez aucun renseignement au demandeur.  Nous n’avons aucun contact régulier avec les clients et ne pouvons pas mettre en place un processus d’authentification suffisamment robuste pour nous permettre de divulguer des RP.  Même la confirmation de l’existence de polices d’assurance est inadéquate, car nous ne pouvons pas authentifier le demandeur et nous ne pouvons pas nous assurer qu’il ou elle a droit aux renseignements.

N’essayez pas de discuter des préoccupations qui auraient pu donner lieu à la demande.  N’oubliez pas qu’une conversation bien intentionnée avec les clients peut souvent les aider à « rationaliser » une réclamation alors qu’en fait leur intention initiale n’était pas de déposer une réclamation.

Si le demandeur est le Conseiller, assurez-vous que ce dernier comprend le processus à suivre et que tous les  RP du client collectés au nom de l’assureur ne sont pas communiqués directement au Conseiller.

Toute personne, y compris le Conseiller, qui fait une demande au nom de quelqu’un d’autre a besoin d’une autorisation écrite du propriétaire des RP.  Assurez-vous que le demandeur est informé de ce fait.

Avisez l’Agent de conformité de la demande.

L’Agent de conformité doit informer directement le Conseiller ou le point de contact du ou des assureurs et demander des instructions écrites pour savoir s’ils traiteront la demande ou s’ils exigeront notre implication.  Nous aurons besoin d’instructions sur le traitement de tous les RP en notre possession, y compris si les renseignements doivent être fournis dans un certain format, les délais pour fournir les renseignements, etc.

Demandes d’accès d’un Conseiller ou d’un employé :
avisez l’Agent de conformité, qui traitera toutes ces demandes ou déléguera au besoin.

Si nous recevons une réclamation liée à la confidentialité directement d’un client ou par l’intermédiaire d’un Conseiller au nom d’un client :

Ne donnez pas volontairement des renseignements sur les polices ou les assureurs concernés.  Expliquez que la réclamation devra être adressée directement au Conseiller ou aux assureurs concernés.  Invitez le demandeur à nommer le ou les assureurs.

Ne vous engagez pas dans des discussions avec le plaignant au sujet de la réclamation.  Une fois de plus, vous ne voulez pas être en mesure d’aider les individus à « rationaliser » leurs réclamations.

Avisez l’Agent de conformité. L’Agent de conformité doit :

aviser le ou les assureurs ou conseillers concernés et demander des instructions écrites si notre assistance est nécessaire pour fournir des RP ou résoudre la réclamation;

demander aux parties de nous tenir informés afin que nous puissions enregistrer la décision et apporter les modifications nécessaires à nos politiques et procédures et fermer le dossier de réclamation.

Demandes ou réclamations d’un Conseiller ou d’un employé :
avisez l’Agent de conformité qui traitera toutes ces demandes ou réclamations ou déléguera au besoin.

La manière dont nous protégeons les RP est très probablement l’élément le plus critique de nos efforts de protection de la confidentialité, étant donné la nature délicate des renseignements que nous recueillons, directement et indirectement, que nous utilisons et conservons.  

Nous devons avoir des dispositifs de sécurité appropriés pour nous assurer que les RP sont protégés entre autres contre la perte, le vol et la destruction accidentelle.

Les RP détenus par les Conseillers, les employés et les clients sont conservés au format papier et électronique dans nos bureaux.  Nous avons mis en place les contrôles suivants pour protéger ces renseignements :

Protections physiques : nous nous assurons que nos locaux sont sécurisés grâce à l’utilisation de :

• Verrous

  • Alarmes

  • Système de suppression des incendies

  • Cartes d’accès

  • Nos dossiers papier contenant des RP sont conservés dans des armoires verrouillées

  • Aires de réception

Protections opérationnelles

• Une politique de bureau propre.

• Des politiques et procédures relatives à la sécurité des renseignements.

• Des politiques et procédures concernant l’accès aux RP dans le cadre du télétravail.

• Des calendriers de conservation et de destruction des fichiers.

• Un contrat de sous-traitance pour nos accords avec des tiers, qui exige les mêmes protections que celles que nous employons.

• Nous interdisons le retrait des RP de nos bureaux.

• Nous formons notre personnel sur la sécurité des renseignements et la nécessité de protéger les RP.

• Nous fournissons un accès aux RP sur la base du besoin de savoir, généralement en fonction des rôles que le personnel joue avec l’AGD.

• Nous sauvegardons régulièrement nos fichiers électroniques et assurons leur stockage sécurisé.

Protections technologiques

• Nos systèmes sont programmés pour identifier les virus.

• Nous encodons, lorsque cela est possible, toutes les transmissions de renseignements délicats par voie électronique.

• Nous avons des règles pour l’utilisation des télécopies et notre équipement de télécopie est logé dans un endroit protégé à l’abri de la vue du public.

• Nous forçons l’utilisation de mots de passe sur nos systèmes.

Une violation de la confidentialité se produit lorsqu’il y a un accès non autorisé, ou une collecte, une utilisation ou une divulgation des RP qui enfreint la législation sur la confidentialité. En général, les violations se produisent parce que les RP sont perdus, volés, ou divulgués par erreur ou à la suite d’une défaillance opérationnelle.

• Avertissez immédiatement notre Agent de conformité. L’Agent de conformité peut, à son tour, informer le Responsable externe de la protection des données et solliciter un conseil.

• Rassemblez des renseignements sur l’incident :

  • Date de l’événement

  • Date de la découverte

  • Circonstances de la découverte

  • Lieu de l’incident

  • Cause de l’incident

  • Tout autre renseignement que vous pouvez rassembler rapidement

• Maîtrisez immédiatement l’intrusion : ne laissez plus aucun renseignement fuir.

  • Cessez toute pratique non autorisée

  • Récupérez les renseignements

  • Mettez hors service le système qui a été violé

  • Révoquez ou changez les codes d’accès à l’ordinateur ou

  • Corrigez les lacunes de sécurité physique ou électronique.

• Évaluez la violation : il est fort probable que l’Agent de conformité se chargera de cette tâche, car la personne qui mène l’enquête doit avoir autorité et être en mesure de faire des recommandations.

• Le CPVP déclare que « si la violation semble impliquer un vol ou une autre activité criminelle, la police doit être informée. Ne compromettez pas la capacité d’enquêter sur la violation. Veillez à ne pas détruire les preuves qui pourraient être utiles pour déterminer la cause ou vous permettre de prendre les mesures correctives appropriées. »

• Si des renseignements sur le client sont visés, informez le conseiller et les assureurs concernés et collaborez avec eux pour déterminer qui doit être informé de l’incident en interne et en externe. Demandez des instructions sur la manière dont l’assureur souhaite agir. L’assureur doit déterminer si les personnes concernées doivent être avisées, comment elles seront avisées et par qui. Le CPVP déclare : « En règle générale, l’organisation qui a une relation directe avec le client ou l’employé doit informer les personnes concernées, y compris lorsque la violation se produit chez un fournisseur de services tiers qui a été contracté pour conserver ou traiter les renseignements personnels. » La décision d’aviser ou non les personnes concernées peut devoir être retardée pour qu’une évaluation complète des risques puisse être effectuée.

• Évaluez les risques associés à la violation. Effectuez les déterminations suivantes :

Quels RP sont impliqués?

Quelle est la sensibilité des renseignements?   En général, plus les renseignements sont délicats, plus le risque de préjudice est élevé.  Considérez ces types de RP à haut risque :

• Renseignements médicaux

• Pièce d’identité émise par le gouvernement, comme le NAS, le permis de conduire et les numéros de soins de santé

• Numéros de compte bancaire et de carte de crédit

• Si une combinaison de RP est impliquée, car cela est généralement plus délicat. La combinaison de certains types de RP délicats avec le nom, l’adresse et la date de naissance suggère un risque plus élevé.

Comment ces RP peuvent-ils être utilisés?  Peuvent-ils être utilisés à des fins frauduleuses ou à d’autres fins préjudiciables (par exemple, un vol d’identité, une perte financière, une perte d’opportunités commerciales ou d’emploi, une humiliation, une atteinte à la réputation ou à des relations)?

Existe-t-il un risque raisonnable de vol d’identité ou de fraude (généralement en raison du type de renseignements perdus, comme le nom et l’adresse d’une personne ainsi que les numéros d’identification émis par le gouvernement ou la date de naissance)?

Y a-t-il un risque de blessure physique (si la perte expose une personne à un risque de blessure physique, de harcèlement ou d’intimidation)?

Y a-t-il un risque d’humiliation ou d’atteinte à la réputation de l’individu (par exemple,

les RP comprennent des dossiers de santé mentale, médicaux ou disciplinaires)?

Les RP ont-ils été correctement encodés, anonymisés ou autrement rendus difficiles d’accès?

Quelle est la capacité de l’individu à éviter ou à atténuer d’éventuels préjudices?

La cause de la violation.

L’étendue de la violation : combien de personnes ont été touchées?

Qui sont ces personnes?

Quels peuvent être les dommages pour l’AGD? (Perte de confiance, de patrimoine, risques financiers, poursuites judiciaires).

Dois-je signaler la violation à un organisme de réglementation?*

• Effectuez une analyse rétrospective afin d’éviter de futures violations. Quelles actions sont nécessaires pour corriger le problème? Le problème est-il ponctuel ou systémique?

Si des renseignements d’un Conseiller ou d’un employé sont visés, informez immédiatement l’Agent de conformité.  Il ne sera probablement pas nécessaire d’aviser les assureurs, mais l’Agent de conformité prendra généralement les mêmes mesures que celles indiquées ci-dessus en tenant dûment compte des sensibilités particulières entourant les RP de l’employé et du Conseiller.

* Notifications de violation de confidentialité : l’Alberta, l’Ontario, la Terre-Neuve-et-Labrador et le Nouveau-Brunswick ont des exigences de notification de violation de données pour les renseignements liés à la santé. L’Alberta exige également une notification de violation de la vie privée pour les renseignements de nature non médicale. Selon Gowlings, les organisations assujetties à la loi de l’Alberta doivent informer leur commissaire à la protection de la vie privée si des renseignements personnels sont perdus, consultés ou divulgués sans autorisation, ou s’ils ont subi de quelque façon que ce soit une violation de la vie privée,­ où un risque réel de préjudice à une personne existe à la suite de cette violation.  En vertu de la LPRPDE, la notification est volontaire pour le moment.

Si nous ou l’un de nos fournisseurs de services traitons les renseignements personnels des clients au-delà des frontières provinciales ou nationales, les assureurs feront très attention.  Nous devrons avoir d’excellents contrats avec vos fournisseurs, faire preuve de diligence raisonnable régulière et nous assurer que nous connaissons et respectons les directives fournies par le CPVP.  Reportez-vous au traitement international des données personnelles (directive du CPCP).

Traitement par un tiers aux Philippines

Les demandes des clients qui ont été transférées sur nos serveurs sont accessibles à distance par l’entremise des postes de travail locaux pour leur traitement et chargement dans VirtGate, par notre équipe filiale de la financière Greatway aux Philippines. Aucune donnée client en notre possession n’est stockée sur du matériel à l’extérieur du Canada. Toutes les données sont hébergées sur les serveurs de la financière Greatway, situés dans nos bureaux de Burnaby, en Colombie-Britannique. Notre responsable informatique supervise quotidiennement le personnel de traitement philippin et le personnel de support informatique, et se rend régulièrement sur notre site de traitement des données à l’étranger pour vérifier ses mesures de protection des données. Ces mesures de sécurité sont comparables à celles que nous avons mises en place dans nos bureaux canadiens. Avec l’introduction de la loi de 2011 sur la protection des données, les Philippines ont adopté un cadre solide pour assurer la protection des données et de la confidentialité des organisations opérant dans le pays. Les entreprises sont tenues de respecter les critères de protection des données et d’assurer la sûreté et la sécurité des données selon les normes les plus élevées.

Nous évaluons nos contrôles aussi souvent que nécessaire, mais en aucun cas moins souvent que tous les deux ans. Une analyse des lacunes est préparée pour identifier où se trouvent les lacunes et elle comprend le plan d’action de la direction et le calendrier de résolution.

Nous offrons une formation pour le personnel de première ligne et pour la direction afin de les tenir informés, et afin qu’ils puissent répondre aux questions suivantes :

Comment répondre aux demandes du public concernant nos politiques de confidentialité?

Qu’est-ce que le consentement? Quand et comment l’obtenir?

Comment reconnaître et gérer les demandes d’accès aux RP?

À qui dois-je adresser les réclamations relatives à la confidentialité?

Quelles sont les initiatives de confidentialité de mon AGD?

Que dois-je faire si je découvre une violation de la vie privée?