mtraunero@tficlub.ca<\/b><\/a> <\/p>\n<\/b>
<\/b><\/p>\nSection 2 \u2013 Politiques et proc\u00e9dures<\/b><\/h1>\n\n- \n
Confidentialit\u00e9 et notre entreprise<\/b><\/h1>\n<\/li>\n<\/ul>\n<\/b><\/h1>\n
Les clients fournissent des informations personnelles essentielles \u00e0 l’activit\u00e9 de LCIF. Prot\u00e9ger ces informations est important pour maintenir la confiance et la confiance des clients. La loi f\u00e9d\u00e9rale sur la confidentialit\u00e9, la Loi sur la protection des renseignements personnels et les documents \u00e9lectroniques (LPRPDE), ainsi que les lois provinciales sur la confidentialit\u00e9 de l’Alberta, de la Colombie-Britannique et du Qu\u00e9bec r\u00e9gissent la collecte, l’utilisation et la divulgation des informations personnelles. Les informations personnelles sont d\u00e9finies comme toute information concernant une personne identifiable, y compris des informations de sant\u00e9 et financi\u00e8res, ainsi que des informations commerciales, sauf si elles sont class\u00e9es comme \u00ab informations de contact professionnelles \u00bb. Cela comprend le titre professionnel, le num\u00e9ro de t\u00e9l\u00e9phone et le courriel professionnel, et les informations utilis\u00e9es en relation avec l’emploi, l’entreprise ou la profession de l’individu.<\/span><\/p>\n<\/h1>\n
LCIF est responsable des informations personnelles sous son contr\u00f4le et doit prendre les mesures appropri\u00e9es pour prot\u00e9ger les informations personnelles et confidentielles en sa possession. Dans certaines situations, cela signifiera adopter de nouvelles pratiques commerciales pour prot\u00e9ger les informations personnelles.<\/span><\/p>\n<\/h1>\n
Politique<\/b><\/p>\n
LCIF rend les informations concernant ses politiques et proc\u00e9dures disponibles au public et respecte les directives de confidentialit\u00e9 des entreprises qu’elle repr\u00e9sente (ci-apr\u00e8s d\u00e9sign\u00e9es comme \u00ab fournisseurs\/partenaires \u00bb).<\/span><\/p>\n<\/h1>\n
Ce document doit \u00eatre utilis\u00e9 conjointement avec la Politique de stockage et d’utilisation des documents \u00e9lectroniques de LCIF, qui d\u00e9crit les politiques et proc\u00e9dures sp\u00e9cifiques aux documents \u00e9lectroniques et aux normes de s\u00e9curit\u00e9 qui s’y rapportent.<\/span><\/p>\n\n- \n
Pr\u00e9occupations et demandes ou requ\u00eates g\u00e9n\u00e9rales<\/b><\/h1>\n<\/li>\n<\/ul>\n<\/b><\/h1>\n
Proc\u00e9dure<\/b><\/p>\n
Toutes pr\u00e9occupations, demandes ou requ\u00eates g\u00e9n\u00e9rales li\u00e9es \u00e0 la confidentialit\u00e9 et LCIF sont transmises au responsable de la conformit\u00e9 de LCIF. Ce dernier examinera et accusera r\u00e9ception des demandes dans les 24 heures ou, en son absence, les redirigera de mani\u00e8re appropri\u00e9e pour traitement. Le client sera inform\u00e9 de l’avancement du responsable de la conformit\u00e9 concernant la pr\u00e9occupation avec une documentation compl\u00e8te de la pr\u00e9occupation et des activit\u00e9s connexes conserv\u00e9es dans le dossier du client.<\/span><\/p>\n<\/h1>\n
Le responsable de la conformit\u00e9 de LCIF transmet toute pr\u00e9occupation, demande ou requ\u00eate g\u00e9n\u00e9rale li\u00e9e aux produits et services d’un fournisseur\/partenaire \u00e0 l’officier de conformit\u00e9 principal de cette entreprise.<\/span><\/p>\n2.1 Demandes des clients pour acc\u00e9der aux informations personnelles<\/b>\u00a0<\/b><\/h2>\n<\/h1>\n
Selon les lois sur la confidentialit\u00e9, les clients ont le droit de demander l’acc\u00e8s \u00e0 leurs informations personnelles contenues dans les dossiers clients conserv\u00e9s par LCIF ou un fournisseur\/partenaire et de contester leur exactitude, si n\u00e9cessaire.<\/span><\/p>\n<\/h1>\n
Proc\u00e9dure<\/b><\/p>\n
Toute demande d’acc\u00e8s des clients aux informations personnelles contenues dans les dossiers clients de LCIF est transmise au responsable de la conformit\u00e9 de LCIF pour r\u00e9pondre \u00e0 la demande du client dans les plus brefs d\u00e9lais et au plus tard 30 jours apr\u00e8s r\u00e9ception de la demande.<\/span><\/p>\n<\/h1>\n
Corriger ou modifier toute information personnelle si son exactitude et son int\u00e9grit\u00e9 sont contest\u00e9es et jug\u00e9es insuffisantes. Noter tout d\u00e9saccord sur le dossier et informer les tiers, si appropri\u00e9.<\/span><\/p>\n<\/h1>\n
Suivre le processus du fournisseur\/partenaire si un client demande l’acc\u00e8s \u00e0 ses informations personnelles d\u00e9tenues par un fournisseur\/partenaire sp\u00e9cifique.<\/span><\/p>\n<\/h1>\n2.2 Mauvaise utilisation des informations personnelles<\/b>\u00a0\u00a0<\/b><\/h2>\n<\/h1>\n
Proc\u00e9dure<\/b><\/p>\n
Toute mauvaise utilisation des informations personnelles ou violation potentielle des mesures de s\u00e9curit\u00e9 relatives aux produits et services d’un fournisseur\/partenaire est imm\u00e9diatement signal\u00e9e au responsable de la conformit\u00e9 principal de ce fournisseur\/partenaire par le responsable de la conformit\u00e9 de LCIF.\u00a0<\/span><\/p>\n2.3 Processus d’incident\/violation de la confidentialit\u00e9<\/b><\/h2>\n<\/h1>\n
Une violation de la confidentialit\u00e9 se produit lorsqu’il y a perte, acc\u00e8s non autoris\u00e9 ou divulgation non autoris\u00e9e d’informations personnelles r\u00e9sultant d’une violation des mesures de s\u00e9curit\u00e9. Une violation de la confidentialit\u00e9 comprend \u00e9galement des informations conserv\u00e9es de mani\u00e8re non conforme \u00e0 la l\u00e9gislation applicable en mati\u00e8re de confidentialit\u00e9, comme la conservation d’informations qui ne sont plus n\u00e9cessaires aux fins identifi\u00e9es.<\/span><\/p>\n<\/h1>\n
Exemples de violations de la confidentialit\u00e9 :<\/span><\/p>\n\n- Des copies de d\u00e9clarations d’informations personnelles des clients sont vol\u00e9es dans un v\u00e9hicule<\/span><\/li>\n
- Un ordinateur portable d’agent est perdu\/vol\u00e9 et contient des informations personnelles de clients<\/span><\/li>\n
- Les informations d’un client sur le disque dur d’un ordinateur d’agent sont compromises\/pirat\u00e9es<\/span><\/li>\n
- Les informations d’un client ne sont pas envoy\u00e9es par courriel au destinataire pr\u00e9vu, que ce soit en interne ou en externe<\/span><\/li>\n
- Les informations d’un client sont envoy\u00e9es \u00e0 la mauvaise adresse (quelqu’un d’autre ouvrant le courrier)<\/span><\/li>\n
- Divulgation d’informations personnelles sans autorisation appropri\u00e9e ou utilisation d’informations personnelles sans consentement appropri\u00e9<\/span><\/li>\n
- Conservation d’informations de clients inactifs plus longtemps que la p\u00e9riode de conservation<\/span><\/li>\n<\/ul>\n
<\/h1>\n
Politique<\/b><\/p>\n
Les violations suspect\u00e9es, les plaintes ou toute autre pr\u00e9occupation relative \u00e0 un probl\u00e8me de confidentialit\u00e9, qu’elles impliquent un individu ou un fournisseur\/partenaire, sont imm\u00e9diatement signal\u00e9es au responsable de la conformit\u00e9 de LCIF et\/ou au fournisseur\/partenaire. Le responsable de la conformit\u00e9 de LCIF \u00e9valuera, contiendra, rem\u00e9diera et aidera \u00e0 renforcer les contr\u00f4les pour emp\u00eacher la r\u00e9currence de la violation \u00e0 l’avenir.<\/span><\/p>\n<\/h1>\n
Proc\u00e9dure de contr\u00f4le<\/b><\/p>\n<\/h1>\n
Perte, vol ou piratage d’appareils \u00e9lectroniques :<\/span><\/p>\n\n- Engager le support informatique de LCIF<\/span><\/li>\n
- Scanner les ordinateurs pour des logiciels malveillants avant de r\u00e9acc\u00e9der aux syst\u00e8mes<\/span><\/li>\n
- Contacter imm\u00e9diatement le service d’assistance du fournisseur\/partenaire pour changer les mots de passe du syst\u00e8me.<\/span><\/li>\n
- D\u00e9poser un rapport aupr\u00e8s de la police.<\/span><\/li>\n
- Changer les autres mots de passe du syst\u00e8me (par exemple, banque en ligne).<\/span><\/li>\n<\/ul>\n
<\/h1>\n
Perte ou vol de documents papier (par exemple, contrats de police, demandes, dossiers clients) :<\/span><\/p>\n\n- Informer le responsable de la conformit\u00e9 de LCIF, le responsable de la conformit\u00e9 principal du fournisseur\/partenaire et le vice-pr\u00e9sident r\u00e9gional du bureau d’o\u00f9 les documents ont \u00e9t\u00e9 vol\u00e9s<\/span><\/li>\n
- Signaler les mat\u00e9riaux vol\u00e9s \u00e0 la police.<\/span><\/li>\n<\/ul>\n
<\/h1>\n
Courriels mal adress\u00e9s :<\/span><\/p>\n\n- Rappeler imm\u00e9diatement le courriel.<\/span><\/li>\n
\n- Si non r\u00e9ussi, contacter le destinataire non pr\u00e9vu pour obtenir une confirmation \u00e9crite que le courriel a \u00e9t\u00e9 supprim\u00e9<\/span><\/li>\n<\/ul>\n
- Informer le responsable de la conformit\u00e9 de LCIF, le responsable de la conformit\u00e9 principal du fournisseur\/partenaire et le vice-pr\u00e9sident r\u00e9gional supervisant le repr\u00e9sentant.<\/span><\/li>\n<\/ul>\n
<\/h1>\n
D\u00e9termination et \u00e9valuation de l’incident\/violation<\/b><\/p>\n<\/b><\/h1>\n\n- R\u00e9pondre aux questions suivantes:<\/b><\/li>\n<\/ul>\n
\n- Des informations personnelles \u00e9taient-elles impliqu\u00e9es ? Y a-t-il une preuve\/probabilit\u00e9 ou est-il ind\u00e9terminable que des informations personnelles \u00e9taient impliqu\u00e9es ?<\/span><\/li>\n
- Une divulgation ou un transfert non autoris\u00e9 d’informations personnelles d’un individu a-t-il eu lieu ? Une divulgation non autoris\u00e9e, qu’elle soit intentionnelle, accidentelle ou r\u00e9sultant d’une activit\u00e9 criminelle, constitue une violation de la confidentialit\u00e9.<\/span><\/li>\n
- Les informations personnelles ont-elles \u00e9t\u00e9 collect\u00e9es ou utilis\u00e9es sans autorisation ?<\/span><\/li>\n<\/ol>\n
<\/h1>\n\n- Si la r\u00e9ponse aux questions ci-dessus est \u00ab oui \u00bb, une violation de la confidentialit\u00e9 a eu lieu.<\/span><\/li>\n<\/ol>\n
<\/h1>\n\n- Compl\u00e9ter les questions d’\u00e9valuation des risques<\/b>:\u00a0\u00a0<\/span><\/li>\n
\n- \u00c9valuer la situation<\/span><\/li>\n
\n- Type\/Sensibilit\u00e9 et quantit\u00e9 d’\u00e9l\u00e9ments de donn\u00e9es d’informations personnelles divulgu\u00e9es (par exemple, num\u00e9ro de compte bancaire, NAS, informations\/donn\u00e9es de sant\u00e9)<\/span><\/li>\n
- \u00c0 qui les informations ont \u00e9t\u00e9 divulgu\u00e9es\/qui les a obtenues<\/span><\/li>\n
- Nombre de personnes concern\u00e9es<\/span><\/li>\n
- Les informations ont-elles \u00e9t\u00e9 enti\u00e8rement r\u00e9cup\u00e9r\u00e9es<\/span><\/li>\n
- D\u00e9lai entre la d\u00e9couverte de l’incident et sa r\u00e9solution<\/span><\/li>\n
- Confirmation \u00e9crite qu’il n’y a eu aucune divulgation, mauvaise utilisation ou duplication<\/span><\/li>\n
- Dommages potentiels pour l’individu (par exemple, vol d’identit\u00e9, fraude ou autre pr\u00e9judice incluant douleur et souffrance ou perte de r\u00e9putation) ou aucun pr\u00e9judice connu des individus affect\u00e9s<\/span><\/li>\n
- Valeur marchande potentielle des donn\u00e9es<\/span><\/li>\n
- Les informations personnelles ont-elles \u00e9t\u00e9 compromises de mani\u00e8re malveillante, c’est-\u00e0-dire, \u00e9tait-ce cibl\u00e9 ou une erreur technique\/humaine<\/span><\/li>\n
- L’incident est-il le r\u00e9sultat d’un probl\u00e8me syst\u00e9mique ou un incident similaire s’est-il d\u00e9j\u00e0 produit<\/span><\/li>\n
- Les individus affect\u00e9s ont-ils \u00e9t\u00e9 inform\u00e9s ou non<\/span><\/li>\n
- L’individu impact\u00e9 est vuln\u00e9rable (par exemple, un mineur)<\/span><\/li>\n
- Attente que le Commissaire \u00e0 la vie priv\u00e9e puisse recevoir des plaintes ou des demandes de renseignements (par exemple, sensibilisation du public)<\/span><\/li>\n<\/ol>\n<\/ol>\n<\/ol>\n
<\/h1>\n\n- Consid\u00e9rer la sensibilit\u00e9 des informations impliqu\u00e9es et la probabilit\u00e9 que les informations soient mal utilis\u00e9es pour d\u00e9terminer si la violation pose un \u00ab risque r\u00e9el de pr\u00e9judice important \u00bb pour tout individu dont les informations \u00e9taient impliqu\u00e9es dans la violation (\u00ab individus affect\u00e9s \u00bb).<\/span><\/li>\n
\n- i. Bas\u00e9 sur l’\u00e9valuation des risques men\u00e9e dans la section 3.a) y a-t-il un risque r\u00e9el de pr\u00e9judice important ?<\/span><\/li>\n<\/ol>\n<\/ol>\n
2.4 D\u00e9claration obligatoire de violation de donn\u00e9es selon la LPRPDE<\/b><\/h2>\n<\/h1>\n\n- Lorsque LCIF consid\u00e8re qu’une violation pr\u00e9sente un risque r\u00e9el de pr\u00e9judice important, elle doit notifier les individus affect\u00e9s et signaler au Commissariat \u00e0 la protection de la vie priv\u00e9e du Canada (le Commissaire) ou aux r\u00e9gulateurs provinciaux o\u00f9 requis d\u00e8s que possible, m\u00eame si un seul individu est impact\u00e9.<\/span><\/li>\n
- LCIF doit notifier toute autre organisation\/soci\u00e9t\u00e9 qui pourrait att\u00e9nuer le pr\u00e9judice pour les individus affect\u00e9s.<\/span><\/li>\n<\/ul>\n
2.4.1 Notification aux individus affect\u00e9s<\/b><\/h3>\n<\/h1>\n
Une notification fournie par LCIF \u00e0 un individu affect\u00e9 par une violation de mesures de s\u00e9curit\u00e9 doit contenir :<\/span><\/p>\n\n- Une description des circonstances de la violation ;<\/span><\/li>\n
- Le jour ou la p\u00e9riode pendant laquelle la violation s’est produite ou, si ni l’un ni l’autre ne sont connus, la p\u00e9riode approximative ;<\/span><\/li>\n
- Une description des informations personnelles qui font l’objet de la violation dans la mesure o\u00f9 les informations sont connues ;<\/span><\/li>\n
- Une description des mesures prises par l’organisation pour r\u00e9duire le risque de pr\u00e9judice pouvant r\u00e9sulter de la violation ;<\/span><\/li>\n
- Une description des mesures que les individus affect\u00e9s pourraient prendre pour r\u00e9duire le risque de pr\u00e9judice pouvant r\u00e9sulter de la violation ou pour att\u00e9nuer ce pr\u00e9judice ; et<\/span><\/li>\n
- Des coordonn\u00e9es que l’individu affect\u00e9 peut utiliser pour obtenir plus d’informations sur la violation.<\/span><\/li>\n<\/ol>\n
2.4.2 Notification aux r\u00e9gulateurs<\/b><\/h3>\n<\/i><\/b><\/h1>\n\n- Signaler au Commissaire en utilisant le formulaire de d\u00e9claration de violation de la LPRPDE<\/span><\/li>\n<\/ul>\n
\n- Qu\u00e9bec \u2013 notifier \u00e0 l’Autorit\u00e9 des march\u00e9s financiers (\u00ab l’AMF \u00bb) toute violation d’informations personnelles qui met en p\u00e9ril les int\u00e9r\u00eats ou les droits des consommateurs et la r\u00e9putation de l’institution.<\/span><\/li>\n<\/ul>\n
\n- Ontario \u2013 notifier \u00e0 l’Agence de r\u00e9glementation des services financiers de l’Ontario (\u00ab ARSFO \u00bb) toute violation d’informations personnelles qui met en p\u00e9ril les int\u00e9r\u00eats\/droits des consommateurs et la r\u00e9putation de l’institution.<\/span><\/li>\n<\/ul>\n
<\/i><\/b><\/h1>\n2.5 Renforcer les contr\u00f4les<\/b><\/h2>\n
R\u00e9viser tous les processus, mises \u00e0 jour des syst\u00e8mes, la formation des employ\u00e9s et am\u00e9liorer si n\u00e9cessaire pour aider \u00e0 pr\u00e9venir la r\u00e9currence.<\/span><\/p>\n<\/span><\/p>\n
2.6 Tenue de dossiers<\/b><\/h2>\n<\/h1>\n
Conserver des dossiers de toutes les violations de la confidentialit\u00e9 pendant 24 mois et les fournir au Commissaire sur demande.<\/span><\/p>\n<\/b><\/h1>\n\n- \n
Obtenir un consentement \u00e9clair\u00e9 et valide du client<\/b><\/h1>\n<\/li>\n<\/ul>\n<\/b><\/h1>\n
Le consentement est consid\u00e9r\u00e9 comme valide uniquement s’il est raisonnable de s’attendre \u00e0 ce que les individus comprennent la nature, le but et les cons\u00e9quences de la collecte, de l’utilisation ou de la divulgation de leurs informations personnelles auxquelles ils consentent.<\/span><\/p>\n<\/h1>\n
Politique<\/b><\/p>\n
Au d\u00e9but d’une relation avec un client, LCIF obtiendra le consentement du client pour la collecte, l’utilisation et la divulgation de leurs informations personnelles et les informera d’un \u00e9ventuel stockage hors du pays.<\/span><\/p>\n<\/h1>\n
Lors de la collecte d’informations aupr\u00e8s des clients et des prospects, expliquer les raisons de cette collecte et fournir des informations sur les politiques de confidentialit\u00e9 de LCIF.<\/span><\/p>\n<\/h1>\n
Ne divulguer les informations personnelles des clients \u00e0 une autre personne ou entreprise que si un consentement verbal ou \u00e9crit du client a \u00e9t\u00e9 obtenu ou si la loi le permet ou l’exige. Si les informations sont sensibles, un consentement \u00e9crit doit \u00eatre obtenu.<\/span><\/p>\n<\/h1>\n
LCIF recommandera d’autres professionnels ou conseillers aux clients si ceux-ci le demandent ou si cela peut leur \u00eatre b\u00e9n\u00e9fique. LCIF ne fournit jamais de noms de clients ou d’autres informations \u00e0 des tiers pour offrir leurs services, \u00e0 moins que le client n’ait \u00e9t\u00e9 inform\u00e9 au pr\u00e9alable et ait donn\u00e9 son consentement par \u00e9crit.\u00a0<\/span><\/p>\n<\/h1>\n
Proc\u00e9dure<\/b><\/p>\n
Revoir le formulaire d’autorisation de dossier client avec le client, en gardant la copie sign\u00e9e dans le dossier client pour r\u00e9f\u00e9rence future. Couvrir :<\/span><\/p>\n\n- Les raisons de la collecte<\/span><\/li>\n
- Qui a acc\u00e8s – acc\u00e8s du personnel, d’autres conseillers<\/span><\/li>\n
\n- Cela couvre une absence de courte dur\u00e9e ou temporaire du conseiller. Parfois, lorsqu\u2019un conseiller est incapable de fournir un service aux clients pendant une p\u00e9riode prolong\u00e9e et que l\u2019aide d’un autre conseiller ou d’une nouvelle personne de soutien administratif est n\u00e9cessaire<\/span><\/li>\n<\/ul>\n
- Utilisation de fournisseurs externes (par exemple, processeurs d’informations qui incluent ; gestionnaires de relations clients et services de stockage bas\u00e9s sur le cloud)<\/span><\/li>\n
- Probabilit\u00e9 que les informations soient stock\u00e9es hors Qu\u00e9bec et soient soumises \u00e0 la r\u00e9glementation, y compris les lois d’acc\u00e8s des autorit\u00e9s publiques dans cette juridiction<\/span><\/li>\n
- Consentement au partage des informations conjugales ; dossiers conjoints et acc\u00e8s \u00e0 ces informations<\/span><\/li>\n
- Capacit\u00e9 de l’individu \u00e0 retirer son consentement \u00e0 tout moment<\/span><\/li>\n<\/ul>\n
3.1 Nouvelles utilisations\/acc\u00e8s aux informations du client<\/b>\u00a0<\/b><\/h2>\n<\/h1>\n
Politique<\/b><\/p>\n
LCIF obtiendra le consentement du client si le but de la collecte, de l’acc\u00e8s, de l’utilisation et de la divulgation des informations personnelles du client change.<\/span><\/p>\n<\/h1>\n
Proc\u00e9dure<\/b><\/p>\n
R\u00e9visez le nouvel objectif, l’acc\u00e8s, l’utilisation et la divulgation avec le client et conservez une copie du nouveau consentement dans le dossier du client.<\/span><\/p>\n<\/h1>\n
Si un client s’oppose \u00e0 un transfert ou \u00e0 un nouvel acc\u00e8s, il a le droit de :<\/span><\/p>\n\n- Demander que ses informations ne soient pas divulgu\u00e9es<\/span><\/li>\n
- Demander un nouveau conseiller<\/span><\/li>\n
- Recevoir les noms d’autres conseillers \u00e0 contacter ou se voir fournir le nom et le num\u00e9ro du directeur r\u00e9gional o\u00f9 ils peuvent demander un autre conseiller\u00a0<\/span><\/li>\n<\/ul>\n
<\/h1>\n3.1.2 Contrats fournisseurs<\/b><\/h3>\n<\/h1>\n
Politique<\/b>
<\/b>La LCIF exige le consentement du client avant de transf\u00e9rer des informations clients \u00e0 un fournisseur et conserve le contr\u00f4le des informations lors du transfert d’informations personnelles \u00e0 un fournisseur pour traitement.<\/span><\/p>\n