Rechercher
Fermer ce champ de recherche.

POLITIQUE DE CONFIDENTIALITÉ

INFORMATIONS RELATIVES À NOTRE POLITIQUE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS

Mise à jour – 17 juillet 2024

Chez MICA, la protection de vos renseignements personnels et le respect de votre vie privée font partie intégrante de notre culture d’entreprise. C’est une priorité constante ! Nous nous assurons de mettre en place des mesures de sécurité robustes pour s’assurer de la protection de vos renseignements personnels.

Les renseignements personnels que vous nous confiez sont indispensables pour notre relation d’affaires avec vous. Nous savons qu’ils sont précieux et nous sommes déterminés à tout mettre en œuvre pour les protéger.

Dans les lignes qui suivent, nous vous expliquerons, en toute transparence, les raisons et les objectifs pour lesquels nous recueillons vos renseignements personnels, comment nous les traitons et comment nous les protégeons, en respect de la loi sur la protection des renseignements personnels dans le secteur privé (LRQ Chapitre P-39.1).

Ce document explique nos pratiques de collecte, d’utilisation et de divulgation des renseignements personnels à l’égard des personnes, ainsi que les mesures mises en place pour nous assurer que ces renseignements soient traités adéquatement.

Pour toute question reliée à la protection des renseignements personnels, veuillez vous adresser à notre responsable de la protection des renseignements personnel aux coordonnées suivantes :

Responsable de la protection des renseignements personnel : Nicolas Nadeau

nnadeau@hapifinance.com
HAPI, cabinet de services financiers
397, rue Dufferin, Granby (QC) J2G 4Y3
450 305-1120

Voici le résumé des 6 grands principes importants qui guident notre façon de gérer vos renseignements personnels :

‍Nous obtenons votre consentement : Nous obtenons votre consentement avant de recueillir, d’utiliser et de partager vos renseignements personnels.

Nous limitons notre collecte à ce qui est nécessaire seulement : Nous recueillons, utilisons et communiquons seulement les renseignements nécessaires qui nous permettent d’accomplir le mandat qui nous est confié par vous.

Nous assurons la protection, la sécurité et la confidentialité de vos renseignements : Nous mettons en place de bonnes pratiques de gestion et de protection pour conserver vos renseignements personnels en sécurité et encadrer leur utilisation.

Nous faisons preuve de transparence dans nos pratiques : Nous traitons vos renseignements personnels en toute transparence, par exemple en vous expliquant clairement pourquoi et comment nous les recueillons.

Nous agissons de façon responsable : Nos employés, nos fournisseurs, nos partenaires et les conseillers qui agissent en notre nom doivent respecter nos pratiques en matière de protection des renseignements personnels. Nous veillons constamment à ce que ces exigences soient respectées de la part de tous. Nos initiatives de sensibilisation et de formation auprès de ceux-ci leur permettent de demeurer alertes et sensibles à la protection de vos renseignements.

Nous respectons vos droits : Vous avez des droits liés aux renseignements personnels que nous détenons sur vous. Vous pouvez les exercer en tout temps en communiquant avec nous.

POLITIQUE SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

Mise à jour: novembre 2023

Cette politique est celle de: HAPI, cabinet de services financiers.

1. CONTEXTE

Compte tenu que les entreprises doivent avoir et adapter leurs politiques et leurs pratiques en vue de se conformer aux obligations prévues en matière de confidentialité et de protection des renseignements personnels qu’elles recueillent, il est primordial d’établir une politique interne et des procédures pour la protection des renseignements personnels et ce, conformément à la Loi sur la protection des renseignements personnels dans le secteur privé, (LRQ. Chapitre P-39.1). Cette politique inclut la conformité avec les obligations en matière de gestion des renseignements personnels au moment de leur collecte, de leur utilisation, de leur divulgation, de leur conservation, de leur protection et de leur destruction. Cette politique s’applique à tous les mandataires et préposés du cabinet HAPI. Toutes les entreprises fournissant des biens et services au Québec doivent se conformer à cette loi.

2. DÉFINITION

Il faut entendre par renseignement personnel, tout renseignement qui concerne une personne physique et qui permet de l’identifier, tant directement qu’indirectement. À titre d’exemples, voici des types de renseignements personnels:

  • Prénom et nom;
  • Âge;
  • Adresse de domicile;
  • Adresse électronique personnelle, les messages courriel personnels et l’adresse IP ;
  • État matrimonial;
  • Situation financière (revenus, placements, assurances, actifs, passifs, etc.);
  • Le numéro d’assurance sociale (NAS) permis de conduire ou passeport, numéro d’assurance maladie, numéro de plaque d’immatriculation);
  • Opérations financières auxquelles une personne a participé;
  • Ordres ou opérations dans le compte d’une personne;
  • Les relevés de comptes de placement;
  • Renseignements bancaires (ex.: numéros de compte de banque ou caisse);
  • Les déclarations de revenus;
  • Dossiers médicaux, le groupe sanguin, l’ADN, etc.;
  • Questionnaires médicaux (assurances);
  • Contrats d’assurance et proposition d’assurance;
  • Situation familiale;
  • Et autres.

3. MISE EN ŒUVRE DE LA POLITIQUE

La mise en œuvre et l’application de cette politique a été confiée à Nicolas Nadeau qui est la personne responsable de la protection des renseignements personnels. Non seulement cette personne a la tâche élevée de veiller au respect des différentes lois applicables à la protection des renseignements personnels, mais elle est tenue d’assurer la circulation de l’information ainsi que la formation des membres de l’organisation sur les procédures et pratiques de cette politique. L’application de cette politique s’inscrit dans un cadre déontologique et légal qui privilégie la prudence dans la collecte, l’utilisation et la divulgation des renseignements personnels ainsi que la confidentialité et la protection de ceux-ci. Finalement, cette personne aura la charge de recevoir les demandes d’information ou d’accès ou de rectification ainsi que les plaintes en lien avec la protection des renseignements personnels.

4. ORGANISME RESPONSABLE

La Commission d’accès à l’information (CAI) du Québec est responsable de veiller au respect et à l’application de la loi sur la protection des renseignements personnels – secteur privé –. Elle a des pouvoirs d’inspection ainsi que le pouvoir d’imposer des sanctions et des pénalités importantes en cas de non-respect. Des informations en lien avec le mandat et les pouvoirs de la CAI ainsi que sur les obligations des entreprises sont disponibles sur son site Web: https://www.cai.gouv.qc.ca/

5. INFORMATIONS À FOURNIR AVANT LA COLLECTE DE RENSEIGNEMENTS PERSONNELS

Avant de procéder à la collecte de renseignements personnels qui sont nécessaires (et qui concernent une personne physique), les informations suivantes doivent être fournies à la personne concernée de qui on désire obtenir ces renseignements. Il faudra donc l’informer de ceci:

  • Les objectifs pour lesquels les renseignements sont recueillis;
  • Les moyens par lesquels les renseignements sont recueillis (par exemple un formulaire, par téléphone, une captation vidéo);
  • Expliquer ses droits quant à ses droits d’accès et de rectification prévus par la loi;
  • Son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis.
  • Le cas échéant, les informations suivantes devront aussi être fournies :
  • Nom du tiers pour qui la collecte est faite, si applicable;
  • Nom du tiers ou des catégories de tiers à qui il est nécessaire de communiquer les renseignements pour atteindre les objectifs justifiant la collecte;
  • Possibilité que les renseignements soient communiqués à l’extérieur du Québec. (par exemple, si les renseignements recueillis sont stockez chez un fournisseur infonuagique dans une autre province ou un autre pays).

6. CONSENTEMENT

Le cabinet et ses représentants s’engagent à recueillir seulement les renseignements personnels d’un client qui sont nécessaires à la constitution de son dossier que dans la seule mesure où celui-ci aura donné un consentement, sauf les cas prévus à la loi qui permettent de recueillir de tels renseignements sans le consentement du client Lorsque requis, le consentement sera exigé avant de recueillir les renseignements.

Pour être valide, le consentement d’une personne doit être :

  • Manifeste: évident et donné d’une façon qui démontre la volonté réelle de la personne concernée;
  • Libre: impliquant un réel choix et donné sans contraintes ou pression indue;
  • Éclairé:: précis, donné en toute connaissance de cause et avec toutes les informations nécessaires pour comprendre la portée du consentement;
  • Spécifique: donné dans un objectif précis et clairement circonscrit;
  • Temporaire:: valide seulement pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.

Un consentement valide doit aussi être :

  • Granulaire: demandé pour chaque fin spécifique;
  • Compréhensible: demandé en termes simples et clairs;
  • Distinct: demandé distinctement de toute autre information, lorsque la demande est faite par écrit.

Pour plus de précisions quant aux critères de validité du consentement, la CAI a rendu disponible des lignes directrices : https://www.cai.gouv.qc.ca/documents/CAI_LD_Criteres_validite_consentement.pdf

Il est permis de demander le consentement de différentes façons :

  • par écrit;
  • verbalement;
  • par téléphone, incluant par un message automatisé;
  • de façon électronique ou numérique ou par rencontre virtuelle vidéo.

Consentement d’un mineur: différentes situations peuvent survenir:

  • si le mineur a moins de 14 ans, le consentement à l’utilisation ou à la communication de ses renseignements personnels devra être donné par le parent ou le titulaire de l’autorité parentale;
  • si le mineur a 14 ans ou plus, le consentement pourra être donné par le mineur lui-même ou par le parent ou le titulaire de l’autorité parentale;
  • si cette collecte est manifestement au bénéfice du mineur, il sera possible de procéder à cette collecte sans consentement parental.

7. LES RENSEIGNEMENTS PERSONNELS RECUEILLIS

Dans le but de pouvoir exécuter le mandat confié par les clients, voici les catégories de renseignements qui sont recueillis:

  • Renseignements servant à identifier et à authentifier la personne;
  • Renseignements sur sa santé;
  • Renseignements sur ses dossiers d’assurance;
  • Renseignements financiers;
  • Renseignements d’emploi;
  • Renseignements sur ses produits et services utilisés et sur ses opérations;
  • Renseignements sur ses proches;
  • Renseignements numériques (sites web, applications, médias sociaux, portails, etc.);
  • Renseignements sur ses communications avec nous;
  • Autres renseignements dont la collecte est exigée par une loi, un règlement, une directive ou une norme qui sont applicables à nos activités.

8. UTILISATION ET COMMUNICATION À DES FINS DÉTERMINÉES

Les renseignements personnels recueillis ne seront utilisés et communiqués qu’aux seules fins pour lesquelles ils auront été recueillis et dans le cours normal de nos affaires dans l’unique but d’exécuter le mandat qui nous est confié.

Les personnes aux services de HAPI, cabinet de services financiers, pourront en prendre connaissance, et cela, à la condition que le partage de ces renseignements soient nécessaires à l’exercice de leurs fonctions ou à l’exécution de leurs responsabilités.

Si ceci est nécessaire pour atteindre les objectifs visés et ce, dans le but d’accomplir et réaliser le mandat qui nous est confié par les clients dans le cours normal de nos affaires, nous pouvons communiquer les renseignements personnels à des tiers (partenaires) afin que ceux-ci s’acquittent de leurs tâches, fonctions et obligations contractuelles conclues avec nous. Évidemment, nous devons nous assurer au préalable que ces tiers aient de bonnes pratiques en matière de sécurité de l’information et de protection des renseignements personnels.

9. CONSERVATION DES RENSEIGNEMENTS PERSONNELS

Lieu de conservation: Nous conservons principalement les renseignements personnels sous notre responsabilité sur le territoire du Québec ou au Canada. Il arrive et pourrait arriver que nous fassions affaires avec des fournisseurs partenaires externes (tiers) qui sont basés ailleurs faisant ainsi en sorte que nous pouvons donc communiquer vos renseignements personnels dans un autre pays ou une autre province. Évidemment, nous nous assurons qu’ils aient de bonnes pratiques en matière de sécurité de l’information et de protection des renseignements personnels avant de leurs communiquer ces renseignements.

Avant de partager des renseignements personnels avec un tiers situé à l’extérieur du Canada, nous procéderons à une Évaluation des facteurs de risques à la vie privée dont le résultat devra être à notre satisfaction. Nous documenterons cet exercice pour références ultérieures.

Supports de conservation: Les renseignements personnels que nous recueillons sont conservés sous différents formats et sur différents supports, principalement sous forme numérique et papier. Nous appliquons des mesures de sécurité très strictes pour protéger les renseignements personnels contre tout incident, peu importe le format sous lequel nous les détenons. Nous nous efforçons d’adapter, de manière continue, nos mesures de sécurité aux progrès technologiques. Entre autres, nous appliquons des mesures de sécurité physiques, technologiques et administratives.

10. MESURES DE SÉCURITÉ ET CONSERVATION DES DOSSIERS

Nous nous engageons à mettre en place des mesures que nous croyons appropriées afin d’assurer la protection des renseignements personnels que nous conservons, notamment contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les mesures de protections utilisées s’appliquent quelle que soit la forme de support utilisé pour les conserver. Voici des exemples de moyens que nous utilisons:

Mesures de sécurité physiques

  • Contrôles physiques des visiteurs à nos locaux administratifs dès leur arrivée ;
  • Accès restreints à nos locaux administratifs ainsi qu’aux locaux dans lesquels nos serveurs se retrouvent ;
  • Sauvegarde et archivage des renseignements personnels dans un système de sauvegarde d’urgence ;
  • Autres mesures de sécurité.

Mesures de sécurité technologiques

  • Authentification à multiples facteurs pour accéder à la plupart de nos différents systèmes ;
  • Chiffrement des données lorsque nécessaire pour leur conservation ou leur communication à l’extérieur de l’organisation ;
  • Certificats numériques ;
  • Antivirus et Pare-feu ;
  • Journalisation des accès aux différents systèmes ;
  • Autres mesures de sécurité.

Mesures de sécurité administratives

  • Vérifications de sécurité pour certains types d’emplois ;
  • Contrôle des droits d’accès aux renseignements personnels afin de limiter au strict nécessaire ;
  • Enregistrer (journaliser) toutes les opérations de copie et d’exportation de renseignements personnels dans le cadre de nos activités courantes ;
  • Surveillance constante de nos installations afin de détecte des activités suspectes ;
  • Formation et sensibilisation régulière du personnel aux politiques, aux pratiques et aux procédures en matière de sécurité et de protection des renseignements personnels ;
  • Vérification de l’identité de toute personne souhaitant obtenir des renseignements personnels, que ce soit en ligne, au téléphone ou en personne ;
  • Autres mesures de sécurité.

11. DURÉE DE CONSERVATION

Nous conservons les renseignements personnels recueillis aussi longtemps que nécessaire pour :

  • Atteindre les buts pour lesquels nous les avons recueillis, et;
  • Respecter les obligations que nous imposent différentes lois et règlements qui s’appliquent à nos activités.

Et même lorsqu’un client ne fait plus affaires avec nous, nous devons tout de même les conserver pendant une certaine période pour respecter nos obligations légales et réglementaires ainsi que pour protéger nos droits en cas de litige.

La durée minimale de conservation des livres, registres et dossiers clients sera celle prescrite par règlement soit 5 ans à partir de la fermeture du dossier. (Discipline de l’assurance de personnes)

12. DESTRUCTION DES RENSEIGNEMENTS PERSONNELS

Toute destruction de dossiers, livres, registres ou documents contenant des renseignements personnels doit être effectuée en respectant le caractère confidentiel de ces renseignements.

Une fois que le délai de conservation qui nous est exigé est passé, nous détruisons vos renseignements personnels de façon définitive et de manière sécuritaire selon notre calendrier de conservation.

13. RESPECT DES DROITS DES PERSONNES

Nous nous engageons à respecter les droits des personnes nous partageant leurs renseignements personnels en conformité avec la loi sur la protection des renseignements personnels – secteur privé –.

Ceux-ci bénéficient des droits suivants :

a) Droit de modifier son consentement
La personne qui nous a partagé ses renseignements personnels peut demander à consulter et modifier ses préférences de consentement à la collecte, à l’utilisation et à la communication de vos renseignements personnels à tout moment.

Puisque le consentement donné à l’origine est temporaire, elle a aussi le droit de retirer son consentement. Vu nos obligations contractuelles et légales qui nous obligent à conserver certains renseignements personnels pour pouvoir continuer de servir la personne, nous ne pourrons plus lui offrir nos produits et services pour l’avenir.

b) Droit d’accéder à ses renseignements personnels
La personne qui a fourni ses renseignements personnels peut en tout temps accéder aux renseignements personnels que nous détenons à son sujet.

Pour ce faire, elle doit présenter une demande écrite à notre responsable de la protection des renseignements personnels et y expliquer les raisons pour lesquelles elle fait cette demande afin que celle-ci soit bien comprise et de nous permettre d’identifier les documents contenant les renseignements personnels auxquels la personne souhaite avoir accès.

Nous traiterons cette demande dans un délai de 30 jours après l’avoir reçue, à moins de circonstances exceptionnelles.

Nous lui transmettrons une réponse écrite. Accompagnée des renseignements auxquels elle souhaite avoir accès dans un format technologique structuré et souvent utilisé (par exemple, un fichier PDF).

Entre autres choses, la personne peut nous demander:

  • Si nous détenons des renseignements personnels qui la concernent;
  • De quelle façon ses renseignements personnels ont été recueillis, utilisés et communiqués;
  • Si une autre personne ou organisation détient ses renseignements personnels pour nous;
  • De consulter les renseignements personnels que nous détenons sur elle.

L’accès aux renseignements personnels sera gratuit sous réserve de frais raisonnables pouvant être exigés pour la transcription, reproduction ou transmission. Dans l’éventualité où des frais seraient exigibles, le client en sera informé au préalable.

L’accès aux renseignements personnels pourrait être refusé dans l’une des situations suivantes : les renseignements personnels contiennent des détails sur d’autres personnes, la divulgation des renseignements personnels pourrait nuire à une enquête menée par notre service interne, la divulgation des renseignements personnels pourrait avoir un effet sur une procédure judiciaire dans laquelle nous avons un intérêt, l’impossibilité de reproduire les renseignements personnels en raison du support sur lequel ils sont détenus. Par ailleurs, tout refus sera motivé et notifié par écrit à la personne concernée.

Note importante: Nous ne pouvons pas lui transmettre des renseignements qui révéleraient de l’information sur une autre personne.

c) Droit de modifier, corriger ou rectifier ses renseignements personnels
Si la personne qui nous a fourni ses renseignements personnels souhaite modifier des renseignements que nous détenons sur elle, par exemple à la suite d’un changement d’adresse ou un changement dans sa situation personnelle, il est de sa responsabilité de communiquer avec nous.

Si elle désire rectifier des renseignements inexacts ou incomplets que nous détenons à son sujet, elle doit communiquer avec nous pour en faire la demande et nous fournir les informations nécessaires justifiant sa demande.

d) Droit de demander de supprimer ses renseignements personnels
La personne qui nous a fourni ses renseignements personnels peut nous demander de supprimer ses renseignements personnels. Toutefois, notre réponse pourrait varier en tenant compte de la situation.

Dans certaines situations, il se pourrait que nous ne puissions pas supprimer ses renseignements personnels tenant compte de nos obligations légales et réglementaires. Si c’est le cas, nous lui expliquerons les motifs pour lesquels nous ne pouvons le faire.

Dans certains cas, la suppression de ses renseignements personnels nous amènera à ne plus pouvoir la servir ni lui offrir nos produits et services.

Procédures concernant les plaintes

Dans l’éventualité d’un refus à communiquer à un client un renseignement personnel le concernant ou du non-respect d’un des principes énoncés ci-dessus, le client aura le loisir de formuler ses commentaires, préoccupations ou plainte à l’attention de notre personne responsable de la protection des renseignements personnels.

Celle-ci s’engage à répondre à toutes demandes dans un délai de 30 jours suivant la réception d’une telle plainte et à informer le plaignant des mesures entreprises. Si elle le juge nécessaire, la personne responsable fera une enquête. Elle communiquera au plaignant le résultat du traitement de la plainte reçue à l’intérieur de ce délai.

14. INCIDENT DE CONFIDENTIALITÉ IMPLIQUANT DES RENSEIGNEMENTS PERSONNELS

Un incident de confidentialité correspond à tout accès, utilisation ou communication non autorisés par la loi d’un renseignement personnel, de même qu’à la perte d’un renseignement personnel ou à toute autre atteinte à sa protection.

Si nous avons des motifs de croire qu’un incident de confidentialité impliquant un renseignement personnel que nous détenons s’est produit, nous devons prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.

Tout incident de confidentialité doit être déclaré immédiatement à la personne responsable de la protection des renseignements personnels. Immédiatement après en avoir été informé, cette personne responsable devra déployer tous les efforts nécessaires et raisonnables afin d’investiguer la situation, de minimiser les impacts d’un tel incident de confidentialité et devra veiller à rétablir la situation dans les meilleurs délais. Elle pourra retenir les services de personnes expertes en matière de protection des renseignements personnels et en sécurité de l’information si elle le croit nécessaire.

De plus, en application des ententes contractuelles conclues avec notre agent général, nous devons en informer immédiatement MICA en communiquant avec son service des affaires juridiques.

Aussi, en application des ententes contractuelles conclues avec nos partenaires pour qui nous distribuons des produits d’assurance de personnes, nous devons informer immédiatement chacune des compagnies d’assurances auprès desquelles les clients concernés par l’incident de confidentialité afin de les informer de la situation.

Responsabilités de la personne responsable de la protection des renseignements personnels

Prendre des mesures pour diminuer les risques et éviter de nouveaux incidents

Si nous avons des motifs de croire qu’un incident de confidentialité impliquant un renseignement personnel que nous détenons s’est produit, nous devons prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.

Les questions suivantes sont utiles afin d’évaluer rapidement la situation :

Qui : quelles sont les personnes concernées par l’incident? S’agit-il d’employés, de clients ou de partenaires d’affaires? Qui peut avoir eu accès aux renseignements personnels?

Combien : combien de personnes sont touchées par l’incident?

Quoi : quelle est la nature des renseignements personnels visés par l’incident? Sont-ils des renseignements sensibles? Quels sont les risques pour les personnes concernées?

Quand : quand l’incident a-t-il eu lieu? Quand a-t-il été découvert?

: où l’incident a-t-il eu lieu? Au sein de l’organisation? Si oui, dans quel secteur? L’incident a-t-il eu lieu chez un tiers détenant des renseignements personnels pour le compte de l’organisation (ex.: un mandataire, un fournisseur)?

Pourquoi: quelles sont les causes? Quelles mesures de sécurité étaient en place au moment de l’incident? Pourquoi n’ont-elles pas été efficaces?

Les mesures raisonnables à mettre en place dépendent de cet état de la situation. Toutes les situations sont différentes. Même si l’ensemble des informations pertinentes ne sont pas connues dès le départ, il est important de réagir rapidement. Au besoin, nous continuerons d’adapter nos mesures ou à en adopter de nouvelles au fur et à mesure que les circonstances et les impacts de l’incident se précisent par la suite.

Évaluer si l’incident présente un risque de préjudice sérieux

Pour tout incident de confidentialité, la personne responsable de la protection des renseignements personnels devra évaluer la gravité du risque de préjudice pour les personnes concernées. Pour ce faire, elle doit considérer, notamment :

  • la sensibilité des renseignements concernés;
  • les conséquences appréhendées de leur utilisation;
  • la probabilité qu’ils soient utilisés à des fins préjudiciables.

Au besoin, nous pourrons également impliquer d’autres acteurs, comme des experts externes.

Si l’analyse fait ressortir un risque de préjudice sérieux, la personne responsable de la protection des renseignements personnels doit aviser la Commission et les personnes concernées de l’incident. Dans le cas contraire, elle doit tout de même poursuivre ses travaux pour réduire les risques et éviter qu’un incident de même nature se produise à nouveau dans le futur.

Qui aviser lorsque l’incident représente un risque de préjudice sérieux?

a) La Commission d’accès à l’information

En remplissant et transmettant le formulaire prévu à cet effet:
https://www.cai.gouv.qc.ca/documents/CAI_FO_avis_incident_confidentialite.pdf

Suivant l’envoi du formulaire d’avis, si nous prenons connaissance de nouvelles informations, nous en informerons la Commission.

b) Les personnes dont les renseignements sont concernés

L’avis à la personne concernée doit l’informer de la portée et des conséquences de l’incident présentant le risque de préjudice sérieux.

Cet avis doit contenir :

  • Une description des renseignements personnels visés par l’incident. Si cette information n’est pas connue, nous devons communiquer la raison justifiant l’impossibilité de fournir cette description;
  • Une brève description des circonstances de l’incident;
  • La date ou la période où l’incident a eu lieu, ou une approximation de cette période si elle n’est pas connue;
  • Une brève description des mesures prises ou envisagées pour diminuer les risques qu’un préjudice soit causé à la suite de l’incident;
  • Les mesures proposées à la personne concernée afin de diminuer le risque qu’un préjudice lui soit causé ou d’atténuer celui-ci;
  • Les coordonnées d’une personne ou d’un service avec qui la personne concernée peut communiquer pour obtenir davantage d’informations au sujet de l’incident.

Note : Toutefois, nous n’avons pas à aviser les personnes dont les renseignements personnels sont concernés, si cet avis est susceptible d’entraver une enquête menée en vertu de la loi pour prévenir, détecter, réprimer le crime ou les infractions aux lois.

c) Les personnes susceptibles de prévenir ou de diminuer le risque de préjudice sérieux

Nous pouvons aviser toute personne ou organisme susceptible de diminuer le risque de préjudice sérieux. Seuls les renseignements personnels nécessaires peuvent alors être communiqués, sans le consentement de la personne concernée. Notre responsable de la protection des renseignements personnels doit conserver cette communication pour référence ultérieure.

15. TENUE D’UN REGISTRE DES INCIDENTS DE CONFIDENTIALITÉ

Nous tenons un registre dans lequel nous inscrivons tous les incidents de confidentialité impliquant des renseignements personnels. Nous devons y inscrire même les incidents qui ne présentent pas de risque de préjudice sérieux. À la demande de la Commission, nous devons transmettre une copie de notre registre.

Notre registre des incidents de confidentialité doit contenir les éléments suivants :

  • Une description des renseignements personnels visés par l’incident. Si cette information n’est pas connue, nous devons inscrire la raison justifiant l’impossibilité de fournir cette description;
  • Une brève description des circonstances de l’incident;
  • La date ou la période où l’incident a eu lieu, ou une approximation de cette période si elle n’est pas connue;
  • La date ou la période au cours de laquelle nous avons pris connaissance de l’incident;
  • Le nombre de personnes concernées par l’incident ou, s’il n’est pas connu, une approximation de ce nombre;
  • Une description des éléments qui nous amènent à conclure qu’il y a, ou non, risque qu’un préjudice sérieux soit causé aux personnes concernées, comme :
    • la sensibilité des renseignements personnels concernés;
    • les utilisations malveillantes possibles des renseignements;
    • les conséquences appréhendées de l’utilisation des renseignements et la probabilité qu’ils soient utilisés à des fins préjudiciables;
  • Les dates de transmission des avis à la Commission et aux personnes concernées, quand l’incident présente un risque de préjudice sérieux. Nous devons aussi préciser si nous avons donné des avis publics et la raison de ceux-ci;
  • Une brève description des mesures prises par nous à la suite de l’incident, pour diminuer les risques qu’un préjudice soit causé.

Les renseignements du registre doivent être mis à jour et être conservés pour une période minimale de cinq (5) ans, après la date ou période de prise de connaissance de l’incident.

16. DEVOIR D’INFORMER LE PUBLIC ET D’ÊTRE TRANSPARENT

Nous rendons accessibles au public les renseignements suivants :

  • Le titre et les coordonnées du responsable de la protection des renseignements personnels;
  • De l’information claire et simple à propos de notre politique et nos pratiques concernant la protection des renseignements personnels;
  • Une politique de confidentialité concernant les renseignements personnels recueillis par un moyen technologique (ex.: témoins de connexion ou cookies).

Ces informations sont rendues accessibles au public, en des termes simples et clairs, de la façon suivante :

Option 1
Sur notre site Web: www.hapifinance.com

Option 2
• En format papier mis à la disposition des visiteurs à la réception de nos bureaux et/ou dans notre salle d’attente;
• Et sur demande.

17. APPROBATION DE LA POLITIQUE

Cette politique a été approuvée par la personne responsable de la protection des renseignements personnels.

Fin de la politique

Retour en haut