Politique de confidentialité

Section 1 – Nomination d’un responsable de la conformité

Le responsable de la conformité (RC) est chargé de :

  • La mise en œuvre, la surveillance, la mise à jour et l’exécution du programme de conformité, qui inclut
    • Les politiques et procédures
    • La formation et la sensibilisation
    • L’auto-évaluation/évaluation du programme
  • Le processus en cas de violation de la confidentialité, ainsi que les demandes de renseignements et les réclamations des clients
  • Rapporter régulièrement aux décideurs seniors au sein de LCIF les nouveaux risques, les risques existants, la surveillance et tout changement législatif/réglementaire susceptible d’impacter le programme de conformité.

Le RC devrait avoir l’autorité et les ressources nécessaires pour exercer ses responsabilités efficacement. Le RC devrait occuper un poste senior au sein de LCIF lui permettant un accès direct aux décideurs. Le RC peut déléguer certaines tâches à d’autres employés, mais il conserve la responsabilité de la mise en œuvre du programme de conformité.

Le responsable de la conformité actuel de TFIC à la date d’adoption de cette politique de confidentialité est :

Nom : Mark Traunero

Position : Président et Responsable de la conformité

Courrier : 2572 boul. Daniel-Johnson, suite 203, Laval, QC, H7T 2R3

Courriel : mtraunero@tficlub.ca


Section 2 – Politiques et procédures

  • Confidentialité et notre entreprise

Les clients fournissent des informations personnelles essentielles à l’activité de LCIF. Protéger ces informations est important pour maintenir la confiance et la confiance des clients. La loi fédérale sur la confidentialité, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), ainsi que les lois provinciales sur la confidentialité de l’Alberta, de la Colombie-Britannique et du Québec régissent la collecte, l’utilisation et la divulgation des informations personnelles. Les informations personnelles sont définies comme toute information concernant une personne identifiable, y compris des informations de santé et financières, ainsi que des informations commerciales, sauf si elles sont classées comme « informations de contact professionnelles ». Cela comprend le titre professionnel, le numéro de téléphone et le courriel professionnel, et les informations utilisées en relation avec l’emploi, l’entreprise ou la profession de l’individu.

LCIF est responsable des informations personnelles sous son contrôle et doit prendre les mesures appropriées pour protéger les informations personnelles et confidentielles en sa possession. Dans certaines situations, cela signifiera adopter de nouvelles pratiques commerciales pour protéger les informations personnelles.

Politique

LCIF rend les informations concernant ses politiques et procédures disponibles au public et respecte les directives de confidentialité des entreprises qu’elle représente (ci-après désignées comme « fournisseurs/partenaires »).

Ce document doit être utilisé conjointement avec la Politique de stockage et d’utilisation des documents électroniques de LCIF, qui décrit les politiques et procédures spécifiques aux documents électroniques et aux normes de sécurité qui s’y rapportent.

  • Préoccupations et demandes ou requêtes générales

Procédure

Toutes préoccupations, demandes ou requêtes générales liées à la confidentialité et LCIF sont transmises au responsable de la conformité de LCIF. Ce dernier examinera et accusera réception des demandes dans les 24 heures ou, en son absence, les redirigera de manière appropriée pour traitement. Le client sera informé de l’avancement du responsable de la conformité concernant la préoccupation avec une documentation complète de la préoccupation et des activités connexes conservées dans le dossier du client.

Le responsable de la conformité de LCIF transmet toute préoccupation, demande ou requête générale liée aux produits et services d’un fournisseur/partenaire à l’officier de conformité principal de cette entreprise.

2.1 Demandes des clients pour accéder aux informations personnelles 

Selon les lois sur la confidentialité, les clients ont le droit de demander l’accès à leurs informations personnelles contenues dans les dossiers clients conservés par LCIF ou un fournisseur/partenaire et de contester leur exactitude, si nécessaire.

Procédure

Toute demande d’accès des clients aux informations personnelles contenues dans les dossiers clients de LCIF est transmise au responsable de la conformité de LCIF pour répondre à la demande du client dans les plus brefs délais et au plus tard 30 jours après réception de la demande.

Corriger ou modifier toute information personnelle si son exactitude et son intégrité sont contestées et jugées insuffisantes. Noter tout désaccord sur le dossier et informer les tiers, si approprié.

Suivre le processus du fournisseur/partenaire si un client demande l’accès à ses informations personnelles détenues par un fournisseur/partenaire spécifique.

2.2 Mauvaise utilisation des informations personnelles  

Procédure

Toute mauvaise utilisation des informations personnelles ou violation potentielle des mesures de sécurité relatives aux produits et services d’un fournisseur/partenaire est immédiatement signalée au responsable de la conformité principal de ce fournisseur/partenaire par le responsable de la conformité de LCIF. 

2.3 Processus d’incident/violation de la confidentialité

Une violation de la confidentialité se produit lorsqu’il y a perte, accès non autorisé ou divulgation non autorisée d’informations personnelles résultant d’une violation des mesures de sécurité. Une violation de la confidentialité comprend également des informations conservées de manière non conforme à la législation applicable en matière de confidentialité, comme la conservation d’informations qui ne sont plus nécessaires aux fins identifiées.

Exemples de violations de la confidentialité :

  • Des copies de déclarations d’informations personnelles des clients sont volées dans un véhicule
  • Un ordinateur portable d’agent est perdu/volé et contient des informations personnelles de clients
  • Les informations d’un client sur le disque dur d’un ordinateur d’agent sont compromises/piratées
  • Les informations d’un client ne sont pas envoyées par courriel au destinataire prévu, que ce soit en interne ou en externe
  • Les informations d’un client sont envoyées à la mauvaise adresse (quelqu’un d’autre ouvrant le courrier)
  • Divulgation d’informations personnelles sans autorisation appropriée ou utilisation d’informations personnelles sans consentement approprié
  • Conservation d’informations de clients inactifs plus longtemps que la période de conservation

Politique

Les violations suspectées, les plaintes ou toute autre préoccupation relative à un problème de confidentialité, qu’elles impliquent un individu ou un fournisseur/partenaire, sont immédiatement signalées au responsable de la conformité de LCIF et/ou au fournisseur/partenaire. Le responsable de la conformité de LCIF évaluera, contiendra, remédiera et aidera à renforcer les contrôles pour empêcher la récurrence de la violation à l’avenir.

Procédure de contrôle

Perte, vol ou piratage d’appareils électroniques :

  • Engager le support informatique de LCIF
  • Scanner les ordinateurs pour des logiciels malveillants avant de réaccéder aux systèmes
  • Contacter immédiatement le service d’assistance du fournisseur/partenaire pour changer les mots de passe du système.
  • Déposer un rapport auprès de la police.
  • Changer les autres mots de passe du système (par exemple, banque en ligne).

Perte ou vol de documents papier (par exemple, contrats de police, demandes, dossiers clients) :

  • Informer le responsable de la conformité de LCIF, le responsable de la conformité principal du fournisseur/partenaire et le vice-président régional du bureau d’où les documents ont été volés
  • Signaler les matériaux volés à la police.

Courriels mal adressés :

  • Rappeler immédiatement le courriel.
    • Si non réussi, contacter le destinataire non prévu pour obtenir une confirmation écrite que le courriel a été supprimé
  • Informer le responsable de la conformité de LCIF, le responsable de la conformité principal du fournisseur/partenaire et le vice-président régional supervisant le représentant.

Détermination et évaluation de l’incident/violation

  • Répondre aux questions suivantes:
  1. Des informations personnelles étaient-elles impliquées ? Y a-t-il une preuve/probabilité ou est-il indéterminable que des informations personnelles étaient impliquées ?
  2. Une divulgation ou un transfert non autorisé d’informations personnelles d’un individu a-t-il eu lieu ? Une divulgation non autorisée, qu’elle soit intentionnelle, accidentelle ou résultant d’une activité criminelle, constitue une violation de la confidentialité.
  3. Les informations personnelles ont-elles été collectées ou utilisées sans autorisation ?

  1. Si la réponse aux questions ci-dessus est « oui », une violation de la confidentialité a eu lieu.

  1. Compléter les questions d’évaluation des risques:  
    1. Évaluer la situation
      1. Type/Sensibilité et quantité d’éléments de données d’informations personnelles divulguées (par exemple, numéro de compte bancaire, NAS, informations/données de santé)
      2. À qui les informations ont été divulguées/qui les a obtenues
      3. Nombre de personnes concernées
      4. Les informations ont-elles été entièrement récupérées
      5. Délai entre la découverte de l’incident et sa résolution
      6. Confirmation écrite qu’il n’y a eu aucune divulgation, mauvaise utilisation ou duplication
      7. Dommages potentiels pour l’individu (par exemple, vol d’identité, fraude ou autre préjudice incluant douleur et souffrance ou perte de réputation) ou aucun préjudice connu des individus affectés
      8. Valeur marchande potentielle des données
      9. Les informations personnelles ont-elles été compromises de manière malveillante, c’est-à-dire, était-ce ciblé ou une erreur technique/humaine
      10. L’incident est-il le résultat d’un problème systémique ou un incident similaire s’est-il déjà produit
      11. Les individus affectés ont-ils été informés ou non
      12. L’individu impacté est vulnérable (par exemple, un mineur)
      13. Attente que le Commissaire à la vie privée puisse recevoir des plaintes ou des demandes de renseignements (par exemple, sensibilisation du public)

  1. Considérer la sensibilité des informations impliquées et la probabilité que les informations soient mal utilisées pour déterminer si la violation pose un « risque réel de préjudice important » pour tout individu dont les informations étaient impliquées dans la violation (« individus affectés »).
    1. i. Basé sur l’évaluation des risques menée dans la section 3.a) y a-t-il un risque réel de préjudice important ?

2.4 Déclaration obligatoire de violation de données selon la LPRPDE

  • Lorsque LCIF considère qu’une violation présente un risque réel de préjudice important, elle doit notifier les individus affectés et signaler au Commissariat à la protection de la vie privée du Canada (le Commissaire) ou aux régulateurs provinciaux où requis dès que possible, même si un seul individu est impacté.
  • LCIF doit notifier toute autre organisation/société qui pourrait atténuer le préjudice pour les individus affectés.

2.4.1 Notification aux individus affectés

Une notification fournie par LCIF à un individu affecté par une violation de mesures de sécurité doit contenir :

  1. Une description des circonstances de la violation ;
  2. Le jour ou la période pendant laquelle la violation s’est produite ou, si ni l’un ni l’autre ne sont connus, la période approximative ;
  3. Une description des informations personnelles qui font l’objet de la violation dans la mesure où les informations sont connues ;
  4. Une description des mesures prises par l’organisation pour réduire le risque de préjudice pouvant résulter de la violation ;
  5. Une description des mesures que les individus affectés pourraient prendre pour réduire le risque de préjudice pouvant résulter de la violation ou pour atténuer ce préjudice ; et
  6. Des coordonnées que l’individu affecté peut utiliser pour obtenir plus d’informations sur la violation.

2.4.2 Notification aux régulateurs

  • Signaler au Commissaire en utilisant le formulaire de déclaration de violation de la LPRPDE
  • Québec – notifier à l’Autorité des marchés financiers (« l’AMF ») toute violation d’informations personnelles qui met en péril les intérêts ou les droits des consommateurs et la réputation de l’institution.
  • Ontario – notifier à l’Agence de réglementation des services financiers de l’Ontario (« ARSFO ») toute violation d’informations personnelles qui met en péril les intérêts/droits des consommateurs et la réputation de l’institution.

2.5 Renforcer les contrôles

Réviser tous les processus, mises à jour des systèmes, la formation des employés et améliorer si nécessaire pour aider à prévenir la récurrence.

2.6 Tenue de dossiers

Conserver des dossiers de toutes les violations de la confidentialité pendant 24 mois et les fournir au Commissaire sur demande.

  • Obtenir un consentement éclairé et valide du client

Le consentement est considéré comme valide uniquement s’il est raisonnable de s’attendre à ce que les individus comprennent la nature, le but et les conséquences de la collecte, de l’utilisation ou de la divulgation de leurs informations personnelles auxquelles ils consentent.

Politique

Au début d’une relation avec un client, LCIF obtiendra le consentement du client pour la collecte, l’utilisation et la divulgation de leurs informations personnelles et les informera d’un éventuel stockage hors du pays.

Lors de la collecte d’informations auprès des clients et des prospects, expliquer les raisons de cette collecte et fournir des informations sur les politiques de confidentialité de LCIF.

Ne divulguer les informations personnelles des clients à une autre personne ou entreprise que si un consentement verbal ou écrit du client a été obtenu ou si la loi le permet ou l’exige. Si les informations sont sensibles, un consentement écrit doit être obtenu.

LCIF recommandera d’autres professionnels ou conseillers aux clients si ceux-ci le demandent ou si cela peut leur être bénéfique. LCIF ne fournit jamais de noms de clients ou d’autres informations à des tiers pour offrir leurs services, à moins que le client n’ait été informé au préalable et ait donné son consentement par écrit. 

Procédure

Revoir le formulaire d’autorisation de dossier client avec le client, en gardant la copie signée dans le dossier client pour référence future. Couvrir :

  • Les raisons de la collecte
  • Qui a accès – accès du personnel, d’autres conseillers
    • Cela couvre une absence de courte durée ou temporaire du conseiller. Parfois, lorsqu’un conseiller est incapable de fournir un service aux clients pendant une période prolongée et que l’aide d’un autre conseiller ou d’une nouvelle personne de soutien administratif est nécessaire
  • Utilisation de fournisseurs externes (par exemple, processeurs d’informations qui incluent ; gestionnaires de relations clients et services de stockage basés sur le cloud)
  • Probabilité que les informations soient stockées hors Québec et soient soumises à la réglementation, y compris les lois d’accès des autorités publiques dans cette juridiction
  • Consentement au partage des informations conjugales ; dossiers conjoints et accès à ces informations
  • Capacité de l’individu à retirer son consentement à tout moment

3.1 Nouvelles utilisations/accès aux informations du client 

Politique

LCIF obtiendra le consentement du client si le but de la collecte, de l’accès, de l’utilisation et de la divulgation des informations personnelles du client change.

Procédure

Révisez le nouvel objectif, l’accès, l’utilisation et la divulgation avec le client et conservez une copie du nouveau consentement dans le dossier du client.

Si un client s’oppose à un transfert ou à un nouvel accès, il a le droit de :

  • Demander que ses informations ne soient pas divulguées
  • Demander un nouveau conseiller
  • Recevoir les noms d’autres conseillers à contacter ou se voir fournir le nom et le numéro du directeur régional où ils peuvent demander un autre conseiller 

3.1.2 Contrats fournisseurs

Politique
La LCIF exige le consentement du client avant de transférer des informations clients à un fournisseur et conserve le contrôle des informations lors du transfert d’informations personnelles à un fournisseur pour traitement.

Les transferts d’informations aux fournisseurs pour traitement, y compris l’informatique en nuage, sont effectués pour diverses raisons, notamment le stockage, le traitement ou la manipulation des informations personnelles des clients. 

Procédure

Avant d’entrer dans un accord contractuel avec un fournisseur, de le modifier substantiellement ou de le renouveler, la LCIF évalue si le fournisseur a ou non des mesures de protection appropriées en place pour protéger les informations des clients.

La LCIF consultera son conseiller juridique avant d’accepter les conditions du fournisseur et conservera une copie imprimée de l’accord pour les archives de la LCIF.

Considérations d’évaluation :

Expérience commerciale : Évaluer l’expérience et la compétence technique du fournisseur pour mettre en œuvre et soutenir les activités prévues.

  • Depuis combien de temps le fournisseur est-il en activité ? Un nouveau fournisseur peut ne pas avoir un historique suffisant pour permettre à la LCIF de juger de ses processus et procédures relatifs à la protection des informations. 

Réputation: Évaluer la durée de présence du fournisseur sur le marché et sa part de marché.

  • Obtenir des références pour évaluer la réputation ? Les références des utilisateurs actuels peuvent aider à évaluer la réputation du fournisseur. 

Sécurité de l’information: 

  • Quelle est leur expérience dans la gestion d’informations personnelles et financières sensibles ?
  • Le fournisseur dispose-t-il d’une politique de confidentialité documentée conforme à la législation sur la vie privée ?
  • Ont-ils une politique de sécurité physique documentée et actuelle ou une politique de sécurité de l’information ?
  • Confirmer avec le fournisseur que les données qu’ils stockent, ainsi que les données en transmission, sont cryptées. 

Rapport d’incident: Examiner les programmes de rapport et de gestion des incidents du fournisseur pour s’assurer qu’ils ont des processus clairement documentés pour identifier, rapporter, enquêter et escalader les incidents. S’assurer que le processus d’escalade et de notification du fournisseur répond aux attentes de la LCIF.

  • Le fournisseur accepte-t-il de notifier la LCIF dans les 48 heures ou moins en cas de violation de la sécurité des données pouvant impliquer des informations clients ?
  • En cas de soupçon de violation de la sécurité, le fournisseur apporte-t-il un soutien pour une enquête ? Des journaux d’accès sont-ils maintenus et fournis sur demande ?

Planification de contingence :

  • Le fournisseur dispose-t-il de processus de sauvegarde et de récupération ? LCIF pourra-t-il accéder aux fichiers si le fournisseur ferme ses portes ? Que fera LCIF si le fournisseur perd les fichiers clients ? LCIF a-t-il une sauvegarde ?

Notification hors du pays :

  • Le fournisseur détient-il des données hors du Québec ou des individus hors du Québec ont-ils accès aux données ? Les informations détenues dans d’autres juridictions peuvent ne pas bénéficier des mêmes protections qu’au Québec et peuvent ne pas être conformes aux exigences en matière de confidentialité. Essayez d’utiliser un fournisseur qui stocke les informations au Québec ou LCIF informera les clients que leurs informations seront stockées hors du Québec. 

Examinez attentivement le contrat de licence du fournisseur : c’est un contrat et en cliquant sur « J’accepte » ou en téléchargeant un logiciel, vous pourriez involontairement exposer des informations stockées sur le site à un risque excessif si les protections appropriées des informations ne sont pas respectées.

Le prestataire de services ne doit pas impliquer d’autres tiers et/ou partager des données, regrouper des données ou accéder aux droits à des informations sensibles des clients, à moins que cela ne soit spécifiquement mentionné dans le contrat du fournisseur de services. Assurez-vous que le fournisseur :

  • Limite l’utilisation des informations à l’objectif spécifié pour remplir le contrat
  • Limite l’accès aux données aux individus qui ont besoin d’accéder pour remplir le contrat
  • Limite la divulgation des informations à ce qui est autorisé par LCIF ou requis par la loi
  • Réfère toute demande d’accès ou plainte relative aux informations transférées à LCIF
  • Renvoie ou élimine de manière sécurisée les informations transférées à la fin du contrat
  • Rapporte sur l’adéquation de ses mesures de sécurité/contrôle des informations personnelles et permet à votre organisation d’auditer la conformité du tiers au contrat si nécessaire

Comprendre : 

  • Comment mettre fin à l’accord avec le fournisseur et assurer la purge ou le retour des données. Un fournisseur qui ne supprime pas ou ne retourne pas les informations peut présenter un risque pour les informations d’un client et donc pour LCIF.
  • Les limitations de la responsabilité du fournisseur de services 

3.2. Exception de consentement pour les transactions commerciales

Les transactions commerciales comprennent, par exemple, la vente d’une entreprise, une fusion ou une amalgamation de deux ou plusieurs organisations ou tout autre arrangement prescrit entre deux ou plusieurs organisations pour mener une activité commerciale.

Politique

LCIF transfère des informations personnelles si nécessaire pour décider de procéder à une transaction, ou pour compléter une transaction. Les informations doivent être utilisées ou divulguées uniquement à des fins liées à la transaction, protégées de manière appropriée, renvoyées ou détruites lorsqu’elles ne sont plus nécessaires à cette fin et les clients concernés doivent être informés que leurs informations personnelles ont été transférées à une autre organisation.

Procédure

Lors de la réception d’informations personnelles, LCIF conclura un accord pour utiliser ou divulguer les informations dans le seul but de la transaction, pour les protéger et pour les retourner ou les détruire si la transaction ne se poursuit pas. Si la transaction se poursuit, LCIF informera les clients concernés que leurs informations personnelles ont été transférées à une autre organisation.

3.2.1 Accords d’achat/vente 

Politique

LCIF utilisera, divulguera et protégera les informations des clients lors du processus d’évaluation et lors de la recherche d’un acheteur pour le portefeuille d’affaires ou lors de l’achat d’un portefeuille d’affaires.

Procédure

LCIF limite les informations d’identification des clients sur les documents partagés avec des tiers et contacte le conseil juridique pour rédiger un accord de confidentialité adapté qui doit être signé par les tiers impliqués dans le processus d’évaluation du portefeuille pour une vente ou un achat potentiel. 

3.2.2 Changements de Représentant de Service (CRS) 

Politique

Pour les CRS initiés par les clients, LCIF suppose le consentement pour transférer l’accès aux informations et aux dossiers du client, le cas échéant, au nouveau conseiller. 

  • Collecte d’informations personnelles

Politique

Lors de la collecte d’informations personnelles :

  • Limitez la quantité et le type d’informations recueillies à ce qui est nécessaire pour les fins identifiées.
  • Fournissez des efforts raisonnables pour s’assurer que les informations des clients et des prospects détenues dans les dossiers clients sont exactes et sont mises à jour ou corrigées au besoin.
  • Prenez des mesures appropriées pour vous assurer que les informations collectées sont utilisées aux fins identifiées et qu’elles ne sont pas utilisées à d’autres fins ou divulguées à un tiers sans le consentement du client ou du prospect, sauf tel que cela pourrait autrement être autorisé par la loi.

4.1 Enregistrement des appels téléphoniques des clients

Politique

Tout enregistrement d’appels clients implique la collecte d’informations personnelles et nécessite donc le consentement de l’appelant.

Procédure

  • L’enregistrement ne peut avoir lieu qu’avec le consentement de l’individu. Si l’appelant s’oppose à l’enregistrement, fournissez à l’appelant des alternatives significatives et si l’appelant continue de refuser, cessez immédiatement l’enregistrement de la conversation et détruisez tous les enregistrements qui auraient pu être créés.
  • Enregistrez uniquement les appels à des fins spécifiées.
  • L’individu doit être informé que la conversation est enregistrée au début de l’appel et doit être informé des fins pour lesquelles les informations seront utilisées.
  • Assurez la conformité avec la législation applicable sur la vie privée.
  • Si une copie du dossier client est demandée, fournissez l’enregistrement ou la transcription de l’enregistrement des appels avec le client.

  • Utilisation, divulgation et conservation

Politique

Les informations personnelles ne sont pas, sans consentement, utilisées ou divulguées à un tiers à des fins autres que celles pour lesquelles elles ont été collectées, sauf si une telle utilisation ou divulgation est requise ou autorisée par la loi.

LCIF conserve les informations personnelles uniquement aussi longtemps que nécessaire pour remplir l’objectif identifié ou tel que requis ou autorisé par la loi et est seul responsable de la sauvegarde de ce matériel et de son maintien en confidentialité.

Les informations personnelles qui ne sont plus nécessaires pour remplir l’objectif(s) identifié(s) lors de la collecte sont détruites ou effacées de manière sécurisée. 

5.1 Élimination sécurisée

Politique

  • Lorsque des documents en papier contenant des informations personnelles de clients ou de prospects doivent être détruits, cela se fait par broyage, non par recyclage.
  • Les informations sont supprimées de toute technologie d’entreprise avant que la technologie ne soit détruite. Les dispositifs de stockage doivent être détruits lors de leur élimination pour garantir que les informations ne sont pas récupérables.
  • Lors de l’élimination ou de la destruction d’informations personnelles, prenez des mesures appropriées pour empêcher des tiers non autorisés d’y accéder.
  • Lors de l’élimination d’équipements ou de dispositifs utilisés pour stocker des informations personnelles (tels que des classeurs, ordinateurs, disquettes et bandes audio), prenez des mesures appropriées pour supprimer ou effacer toute information stockée ou pour empêcher l’accès par des tiers non autorisés.

5.2 Conservation des dossiers

Politique
Les dossiers et les archives des clients de LCIF sont conservés pendant au moins toute période minimale requise par la loi.

  • Mesures de protection

Politique

Des mesures de protection appropriées doivent être prises dans le stockage et l’élimination des informations des clients. Toute personne travaillant pour ou contractée avec LCIF est tenue de suivre les Procédures décrites dans cette section.

Procédure

LCIF utilise des mesures de protection technologiques, physiques et organisationnelles pour protéger les informations personnelles des clients contre le vol ou l’abus, ainsi que contre l’accès, la divulgation, la copie, l’utilisation ou la modification non autorisés. 

6.1 Mesures de protection technologiques

Les exemples de technologies nécessitant des mesures de protection peuvent inclure :

  • Ordinateurs – postes de travail, ordinateurs portables et serveurs
  • Matériel et logiciel
  • Appareils mobiles, tels que les smartphones et les tablettes
  • Médias portables – clés USB, lecteurs flash, CD et DVD
  • Imprimantes, scanners, télécopieurs et photocopieuses avec options d’impression sécurisées
  • Services de messagerie et d’internet (par exemple, stockage ou informatique en nuage)

6.1.2 Cryptage, antivirus et pare-feu

Politique

  • Le cryptage et les logiciels antivirus et les pare-feu sont installés et maintenus à jour sur toute la technologie d’entreprise afin de garantir la sécurité des données des clients. Cela inclut le cryptage des données sensibles stockées et en transit, y compris la transmission aux serveurs de sauvegarde.
  • Les mesures de protection technologiques de l’entreprise sont examinées annuellement et mises à niveau si nécessaire.
  • Lorsque la technologie n’est pas surveillée ou est en transport, tous les appareils, à l’exception des serveurs, sont éteints (mis hors tension). Se déconnecter, verrouiller ou laisser l’appareil en mode veille ou en mode sommeil pourrait rendre les mesures de sécurité supplémentaires inefficaces.

Détails du programme de sécurité :

Mesures de protection

Produit

Dernière mise à jour

Cryptage (AES 256- & 1024-bit)

Disques durs et clés USB cryptés

2024

Sécurité du courriel

Système de détection de fraude et verification des liens provenant de l’extérieur

2024

Protection Antivirus/Malware

Logiciel antivirus

2024

Pare-feu

Pare-feu commercial professionnel

2024

6.1.3 Économiseurs d’écran, ID utilisateur et mots de passe

Le cryptage n’élimine pas le besoin de mots de passe forts.

  • Protégez l’ID utilisateur et les mots de passe et ne les partagez jamais avec personne.
  • Choisissez des mots de passe forts comme décrit dans le document Politique de stockage et d’utilisation des documents électroniques.
  • Utilisez des écrans de veille protégés par mot de passe pour empêcher l’accès non autorisé à des ordinateurs sans surveillance.
  • Verrouillez les ordinateurs en cliquant sur « verrouiller l’ordinateur » lorsque vous êtes temporairement absent de votre ordinateur.

6.1.4 Courriel sécurisé

Utilisation exclusive du courriel tficlub.ca pour la communication avec les clients

Les représentants sont tenus d’utiliser exclusivement leur adresse courriel tficlub.ca dans toutes les communications par courriel avec les clients. LCIF est responsable de fournir cette adresse courriel avec un cryptage de haute sécurité et des fonctionnalités de sécurité supplémentaires, en faisant le moyen le plus sûr (et professionnel) de communiquer avec les clients.

Les représentants doivent fortement recommander aux clients de détruire (supprimer, puis retirer de leur dossier d’éléments supprimés) tout courriel reçu de LCIF et envoyé à LCIF qui peut contenir des informations personnelles du client une fois qu’ils ont fini de l’utiliser, car il est possible que des pirates qui accèdent à leur compte courriel via le hameçonnage ou une autre méthode puissent accéder à ces informations en vérifiant ces dossiers.

Les dossiers d’éléments envoyés et d’éléments supprimés des courriels tficlub.ca doivent également être régulièrement vidés, pour les mêmes raisons énoncées ci-dessus. Ces dossiers ne doivent pas être utilisés comme une sauvegarde des discussions avec les clients : à la place, ces informations doivent être sauvegardées dans le dossier client du conseiller sous forme de fichiers PDF pour référence future comme notes client.

6.2 Mesures de protection physiques

Des considérations sont données aux mesures de protection suivantes:

6.2.1 Conception du bureau 

  • Les bureaux/espaces de travail sont disposés hors du flux de circulation dans le bureau.
  • Les fax, photocopieurs, imprimantes, etc. sont situés dans des zones où l’accès est raisonnablement limité.
  • Les associés/employés traitant des informations sensibles des clients sont situés, dans la mesure du possible, dans une zone où les conversations ne seront pas facilement audibles.
  • Les dossiers d’informations personnelles des clients sont situés à l’extérieur du flux de circulation dans la zone.
  • Des armoires de classement verrouillées sont utilisées pour les dossiers contenant des informations personnelles.

6.2.2 Ordinateurs et appareils grand public

Prenez toujours des mesures pour protéger contre le vol d’ordinateurs portables et d’appareils mobiles en utilisant un dispositif de sécurité antivol (par exemple, un câble de verrouillage), que ce soit au bureau, à la maison, dans une salle de réunion ou une chambre d’hôtel, etc. 

  • Verrouillez votre appareil dans un endroit sûr lorsque vous ne l’utilisez pas.
  • Pour éviter le vol, évitez de laisser les ordinateurs portables dans les véhicules. Si vous devez le faire, gardez votre ordinateur portable dans votre coffre ou dans un autre endroit hors de vue.
  • Éteignez et mettez hors tension votre ordinateur portable – cela garantira que toutes les applications ont été correctement fermées.
  • Déconnectez-vous de tous les sites Web ou programmes lorsque vous avez terminé de les utiliser. Et rappelez-vous, ne « sauvegardez » pas vos informations pour pouvoir vous connecter automatiquement la prochaine fois – si votre appareil mobile est perdu ou volé, quelqu’un pourrait accéder à vos comptes ou fichiers.
  • Les ordinateurs et appareils grand public (et le cas échéant les ordinateurs des associés/employés) sont stockés en toute sécurité pour empêcher l’accès pendant toutes les absences (soirées, week-ends, maladies et vacances). 

On the road:

  • Soyez prudent avec les points d’accès Wi-Fi publics car quelqu’un pourrait les écouter. Évitez de faire des opérations bancaires, des achats en ligne ou d’accéder à des ressources d’entreprise depuis de telles connexions. Il est préférable de réserver les transactions sensibles pour lorsque vous êtes sur un réseau de confiance. 
  • Soyez également prudent en utilisant votre appareil mobile hors de votre pays d’origine. L’écoute et l’analyse du trafic peuvent être plus fréquentes sur un réseau étranger. 
  • En travaillant, positionnez les ordinateurs portables de sorte que seul l’utilisateur puisse voir les informations personnelles à l’écran.
  • Enregistrez les numéros de série et les modèles des ordinateurs portables et conservez-les dans un endroit séparé.
  • Transportez les ordinateurs portables dans un sac discret. Utilisez un sac rembourré, tel qu’un sac à dos, au lieu du sac pour ordinateur portable normal, pour transporter un ordinateur portable de manière sécurisée et sûre.
  • Gardez les ordinateurs portables hors de vue en les stockant dans le compartiment verrouillé de la voiture pendant le voyage pour éviter le vol.
  • Ne placez jamais les ordinateurs portables dans le coffre d’un taxi ou d’une limousine car la plupart des chauffeurs ne verrouillent pas leurs coffres.
  • Ne confiez jamais les ordinateurs portables aux hôtels ou aux compagnies aériennes.
  • Après avoir placé l’ordinateur portable sur le tapis roulant à rayons X de l’aéroport, surveillez le sac et ne laissez personne vous devancer dans la file.
  • À la maison ou dans une chambre d’hôtel, sécurisez les ordinateurs portables comme vous le feriez au travail. Ayez le câble de verrouillage à portée de main, verrouillez l’ordinateur portable et rangez-le hors de vue.
  • Les chambres d’hôtel à accès par carte produisent un historique précis des visites dans la chambre et à quel moment. Les clés en métal peuvent être perdues et copiées. Si la chambre d’hôtel utilise des clés en métal, considérez ne pas laisser l’ordinateur portable dans la chambre d’hôtel.

6.2.3 Bureaux et dossiers

  • Tous les documents non utilisés activement par le représentant doivent être stockés électroniquement sur un disque crypté comme décrit dans le document Politique de stockage et d’utilisation des documents électroniques. Les documents ne doivent pas être transférés du disque crypté vers un disque dur non sécurisé, sauf dans les cas où cela est jugé nécessaire ou que le fichier doit être travaillé.
  • Les dossiers clients ne doivent jamais être reproduits sous forme papier, sauf si une signature manuelle est nécessaire ou sur demande expresse du client.
  • Les informations personnelles sensibles ou autres documentations clients ne doivent jamais être laissées sans surveillance. Lorsque des informations personnelles doivent être accessibles au format papier pour des fins commerciales actives, tous les dossiers et le contenu des dossiers doivent être placés de manière que le contenu soit protégé de la vue de ceux qui ne sont pas autorisés à les voir.
  • Assurez-vous que toutes les informations personnelles sensibles sont sécurisées dans des pièces, armoires et/ou tiroirs de bureau verrouillés lorsqu’elles ne sont pas activement utilisées et que l’accès est restreint de manière appropriée.

Documents hors des locaux d’affaires

Les informations clients doivent être protégées, que ce soit au bureau, en voiture ou dans un autre lieu. Les dossiers papier contenant des informations personnelles ne doivent être retirés du bureau que lorsque cela est nécessaire ou requis pour servir correctement les clients.

À des fins de suivi, tous les dossiers/documents sont enregistrés avant d’être retirés des locaux pour référence en cas de perte ou de vol. Tous les associés/employés doivent être informés de cette exigence et s’y conformer. 

6.3 Communication d’informations confidentielles avec d’autres 

  • Ne discutez jamais des clients dans des lieux publics tels que des ascenseurs, des cafétérias ou des restaurants.
  • Lorsque vous partagez des informations personnelles de clients ou d’employés sur des téléphones cellulaires, prenez des précautions pour éviter d’être entendu.
  • Lors de la lecture d’informations personnelles d’un client dans les transports publics tels que les trains, les avions ou les bus, positionnez les documents pour empêcher quiconque d’autre de les lire.

6.3.1 Messagerie vocale

Les messages laissés pour les clients ne doivent pas contenir d’informations personnelles à moins que le client ne soit informé à l’avance que le message peut contenir des informations personnelles. Le client doit également confirmer qu’il/elle souhaite que ces informations soient fournies sur son service de messagerie vocale. 

6.3.2 Authentification de l’appelant

Si une demande est faite par téléphone, il est nécessaire d’authentifier cette personne avant de lui fournir des informations personnelles.

Pour authentifier l’appelant, la personne doit répondre avec succès à trois des questions suivantes. Toujours poser les questions dans cet ordre :

  • Nom complet du ou des propriétaires
  • Pour la personne appelant au nom du domaine, demandez le nom complet du propriétaire décédé
  • Pour le propriétaire – en fiducie, assurez-vous que le nom de l’appelant correspond au nom du fiduciaire dans le système
  • Pour une procuration, l’appelant doit fournir le nom de la procuration qui correspond au nom dans le dossier en plus du nom du propriétaire de la Politique.
  • Numéro de Politique
  • Numéro d’appartement, numéro de rue, nom de rue et ville
  • Date de naissance de l’assuré/rentier
  • Nom complet de l’assuré/rentier 

Si la validation n’est pas réussie, informez l’appelant que LCIF est responsable de la protection de la vie privée et de la confidentialité des informations personnelles des clients et ne peut donc pas divulguer de détails sans avoir d’abord validé que l’appelant est la personne qui devrait recevoir ces informations. Demandez-leur de soumettre leur demande par écrit.

6.3.3 Courriel 

Les messages ne doivent pas contenir d’informations personnelles à moins que le client ne soit informé de cela à l’avance et ait confirmé qu’il/elle souhaite que ces informations soient fournies par courriel.

L’avertissement suivant est ajouté à tous les courriels contenant des informations personnelles des clients : 

L’information contenue dans ce message est personnelle et confidentielle. Elle est destinée au seul usage de l’individu ou entité nommée ci-dessus. Toute lecture, copie, divulgation, approbation ou dissémination du contenu de ce message par toute autre personne que le destinataire est strictement défendu. Si vous avez reçu la communication par erreur, veuillez-nous en informer immédiatement. Nous vous remercions de votre collaboration.”

Authentification du courriel

Les informations sensibles ne doivent pas être communiquées par courriel à moins que ce ne soit à la demande du client. Si une demande est faite par courriel, il est nécessaire d’authentifier cette personne avant de fournir des informations personnelles par courriel.

  • Appelez le client et confirmez qu’il a demandé les informations.
  • Assurez-vous que le courriel est envoyé au destinataire correct, car les noms dans les listes d’adresses peuvent être similaires.
  • Authentifiez le client et obtenez et documentez son consentement à communiquer par courriel.
  • Cryptez/protégez par mot de passe les fichiers lorsque la divulgation d’informations client identifiables est demandée par courriel.

6.3.4 Télécopies (Fax)

Les fax ne doivent pas contenir d’informations personnelles à moins que le client ne soit informé à l’avance que le fax peut contenir des informations personnelles et ait confirmé qu’il/elle souhaite que ces informations soient fournies par fax.

L’avertissement suivant est ajouté à la feuille de couverture de tous les fax contenant des informations personnelles des clients : 

« Le contenu de ce fax, y compris tout(s) pièce(s) jointe(s), est confidentiel et peut être privilégié. Si vous n’êtes pas le destinataire prévu (ou si vous ne recevez pas ce fax au nom du destinataire prévu), veuillez en informer immédiatement l’expéditeur et supprimer ou détruire ce fax sans le lire, et sans en faire, transmettre ou conserver aucune copie ou enregistrement de son contenu ou de ses pièces jointes. Merci. »

Confirmez le numéro de fax avant d’envoyer des informations personnelles du client

  • Faites attention aux différents préfixes de longue distance (ex : 1-866, 1-888, 1-800) et prenez le temps de confirmer le numéro de fax avant d’envoyer. Les informations personnelles ou confidentielles peuvent facilement être mal acheminées en utilisant le mauvais préfixe de longue distance.
  • Pour les numéros couramment utilisés, envisagez de préprogrammer votre fax pour éviter les erreurs.
  • Reconfirmez le numéro de fax avant d’appuyer sur envoyer.
  • Contactez le destinataire une fois le fax envoyé pour confirmer la réception.

6.4 Mesures de protection organisationnelles

6.4.1 Autorisation et limitation de l’accès sur une base « besoin de savoir »

  • L’autorisation n’est accordée pour accéder aux informations personnelles que sur une base « besoin de savoir » (c’est-à-dire, informations requises pour effectuer les fonctions de travail définies). L’accès aux dossiers (physiques, systèmes et électroniques) est examiné lorsque des associés/employés sont embauchés ou déplacés vers une fonction de travail différente.
  • Lorsqu’un associé/employé est en cours de licenciement, l’accès aux informations des clients, y compris les informations électroniques des ordinateurs et tout autre matériel des zones de travail, est suspendu.

6.4.2 Accords de confidentialité

Les employés sont informés de l’importance de maintenir la sécurité et la confidentialité des informations personnelles. Lorsque les informations personnelles sont sensibles ou lorsque les conséquences potentielles de divulgations inappropriées sont importantes, LCIF :

    • Utilise des accords de confidentialité avec les employés
    • Prend des précautions appropriées pour protéger les informations des clients des tiers qui peuvent avoir accès aux locaux, par exemple, la sécurité, les services de nettoyage et les fournisseurs.
  • Obtient, si approprié, un accord de non-divulgation de l’individu ou de la société qui entretient l’appareil si les informations confidentielles ne peuvent pas être retirées d’un appareil avant de le libérer pour réparations.