Date d’entrée en vigueur : 22 septembre 2022
1. Contexte
SPE Valeur Assurable, étant une entreprise privée, s’engage à protéger les renseignements personnels dans le cadre de ses activités. Cette politique vise à informer nos clients et toute personne intéressée sur la manière dont SPE Valeur Assurable collecte, utilise, communique, conserve et détruit les renseignements personnels. Elle s’applique également à l’utilisation de moyens technologiques pour le traitement des renseignements personnels.
2. Rôles et responsabilités
La personne responsable de l’application de la présente politique est la personne responsable de la protection des renseignements personnels, soit monsieur Robert Plante, président. Le titre et les coordonnées du responsable de la protection des renseignements personnels sont publiés sur le site internet de SPE Valeur Assurable.
Les membres du personnel de SPE Valeur Assurable doivent se conformer à la présente politique et mettre en place les mesures de sécurité, le tout avec le soutien et l’accompagnement du responsable de la protection des renseignements personnels.
3. Application et définitions
Cette politique s’applique à SPE Valeur Assurable, ce qui inclut notamment ses dirigeants, représentants et employés. Elle s’applique également à l’égard du site internet de SPE Valeur Assurable.
Elle englobe tous les types de renseignements personnels gérés par SPE Valeur Assurable, notamment mais non limitativement les renseignements de ses clients, potentiels ou actuels, de ses sous-traitants, de ses employés ou toutes autres personnes tels que les visiteurs de son site internet.
Pour l’application des présentes, un renseignement personnel est un renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier. Une donnée est alors réputée être un renseignement personnel dès sa collecte si en lui adjoignant d’autres informations elle peut être utilisée pour identifier une personne. À titre indicatif, mais non limitatif, il pourrait s’agir du nom, de la date de naissance, de l’adresse civique, de l’adresse courriel, du numéro de téléphone, du genre, de renseignements bancaires ou financiers d’une personne, de rapport de solvabilité, de déclarations de revenus, de renseignements médicales, son origine ethnique, sa langue, identifiant en ligne, adresse IP, pièces d’identité, etc.
Un renseignement personnel sensible est un renseignement envers lequel il y a un haut degré d’attente raisonnable en matière de vie privée, par exemple les renseignements de nature médicale, bancaires, biométriques, orientation sexuelle, origine ethnique, opinions politiques, croyances religieuses ou philosophiques, etc.
De manière générale, les coordonnées professionnelles ou d’affaires d’une personne ne constituent pas des renseignements personnels au regard de la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après : « Loi sur le secteur privée »), par exemple le nom, le titre, l’adresse, l’adresse courriel ou le numéro de téléphone au travail d’une personne. Plus particulièrement et par souci de précision, au sens de la Loi sur le secteur privé, les sections 4 (collecte, utilisation, communication), 5 (conservation et destruction) et 7 (sécurité des données) de la présente politique ne s’appliquent pas aux renseignements d’une personne relatifs à l’exercice d’une fonction dans une entreprise.
Ces mêmes paragraphes ne s’appliquent pas non plus à un renseignement personnel qui a un caractère public en vertu de la loi, et ce, dès l’entrée en vigueur de la présente politique.
4. Collecte, utilisation et communication
Dans le cadre de ses activités, SPE Valeur Assurable peut collecter différents types de renseignements, et ce, à différentes fins. Les types de renseignements que SPE Valeur Assurable pourrait collecter, leur utilisation (ou l’objectif visé) ainsi que les moyens par lesquels les renseignements sont recueillis sont indiqués à l’Annexe A de la présente politique.
Consentement
En tout temps, SPE Valeur Assurable collecte les renseignements personnels directement auprès de la personne concernée et avec son consentement, à l’exception des situations prévues par la loi qui ne requièrent pas le consentement de la personne concernée. Le consentement peut être obtenu de façon implicite dans certaines situations, par exemple, lorsque la personne décide de fournir ses renseignements personnels après avoir été informée des éléments suivants :
- Des fins auxquelles les renseignements sont collectés (voir Annexe A)
- Des moyens par lesquels les renseignements sont collectés ;
- Des droits d’accès et de rectification ;
- De son droit de retirer son consentement ;
Et si applicable :
- Du nom du tiers pour qui la collecte est faite ;
- Des catégories de tiers à qui il est nécessaire de communiquer les renseignements ;
- De la possibilité que les renseignements soient communiqués à l’extérieur du Québec, et ;
- Du recours à une technologie comprenant des fonctions permettant d’identifier, de localiser ou d’effectuer un profilage et des moyens pour les activer ;
La forme du consentement requise, qu’elle soit implicite ou explicite, dépend de la sensibilité des renseignements et des attentes raisonnables que les clients pourraient avoir dans les circonstances.
Le consentement ne vaut que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé. Le consentement doit être manifeste, libre et éclairé et être donné à des fins spécifiques.
SPE Valeur Assurable applique les principes généraux suivants relativement à la collecte, l’utilisation et la communication de renseignements personnels :
Collecte
Pour recueillir des renseignements personnels sur autrui, il faut un intérêt sérieux et légitime. Il est impossible de déroger à ce principe, et ce, même avec le consentement de la personne concernée. La personne qui recueille des renseignements personnels sur autrui informe la personne concernée au moment de la collecte ou préalablement à celle-ci, des fins auxquelles ces renseignements sont recueillis, des moyens par lesquels les renseignements sont recueillis, des droits d’accès et de rectification prévus par la loi et de son droit de retirer son consentement à la communication ou l’utilisation des renseignements recueillis.
De plus, la collecte doit se limiter aux renseignements personnels qui sont nécessaires aux fins de la réalisation du mandat ou des services ou encore de l’objectif visé par la collecte.
Dans l’éventualité où des renseignements personnels sont recueillis auprès d’un tiers, le consentement de la personne concernée doit être obtenu au préalable. Toutefois, il est possible de recueillir des renseignements personnels auprès d’un tiers sans le consentement de la personne concernée lorsque la loi l’autorise.
De plus, sur demande, la personne concernée pourra être informée en termes clairs et simples des renseignements personnels recueillis auprès d’elle, des catégories de personnes ayant accès à ces renseignements au sein de SPE Valeur Assurable, de la durée de conservation des renseignements et des coordonnées du responsable de la protection des renseignements personnels.
Détention et utilisation
SPE Valeur Assurable veille à ce que les renseignements qu’il détient soient à jour et exacts au moment de leur utilisation pour prendre une décision relative à la personne visée.
SPE Valeur Assurable ne peut utiliser les renseignements personnels que pour les raisons indiquées aux présentes ou pour toutes autres raisons fournies lors de la collecte. Dès que SPE Valeur Assurable veut utiliser ces renseignements pour une autre raison ou une autre fin, un nouveau consentement devra être obtenu de la personne concernée. Cependant, dans certains cas prévus par la loi, SPE Valeur Assurable peut utiliser les renseignements personnels à d’autres fins sans le consentement de la personne concerné, notamment dans les cas suivants :
- lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il a été recueilli;
- lorsque cette utilisation est manifestement au bénéfice de la personne concernée;
- lorsque son utilisation est nécessaire à des fins de prévention et de détection de la fraude ou d’évaluation et d’amélioration des mesures de protection et de sécurité;
- lorsque son utilisation est nécessaire à des fins d’études, de recherche ou de production de statistiques et qu’il est dépersonnalisé;
- lorsque cela est nécessaire pour évaluer ou améliorer des mesures de protection et de sécurité.
Accès limité :
L’accès aux renseignements personnels dans un dossier est limité aux employés qui doivent connaître les informations pour exercer leurs fonctions. Au surplus, les renseignements concernés doivent être nécessaires à l’exercice des fonctions de l’employé ou à l’exécution de son mandat.
Communication
Il est interdit de communiquer des renseignements personnels sur le client à des tiers, sans avoir obtenu l’autorisation du client au préalable, à l’exception des cas permis par la loi. Le consentement doit être manifesté de façon expresse dès qu’il s’agit d’un renseignement personnel sensible.
Il est toutefois possible de communiquer un renseignement personnel à toute personne ou organisme sans le consentement de la personne concernée si cette communication est nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise qu’elle confie à cette personne ou à SPE Valeur Assurable. La personne qui conclut une entente de services avec un tiers dont les activités pourraient permettre un accès aux renseignements personnels doit s’assurer que l’offre de service inclut un engagement à cet effet. Le mandat ou le contrat doit être confié à l’écrit et les mesures que le mandataire ou l’exécutant du contrat doit prendre pour assurer la protection du caractère confidentiel du renseignement personnel communiqué doivent être incluses par des termes clairs et simples.
Également, d’autres exceptions sont prévues par la loi qui permettent de communiquer des renseignements personnels à des tiers sans le consentement de la personne concernée dans certains cas, notamment, mais non exclusivement, dans les cas suivants :
- à un organisme public (comme le gouvernement) qui, par un de ses représentants, le recueille dans l’exercice de ses attributions ou la mise en œuvre d’un programme dont il a la gestion;
- à une personne ou à un organisme ayant le pouvoir de contraindre à leur communication et qui les requiert dans l’exercice de ses fonctions;
Communication à l’extérieur du Québec
SPE Valeur Assurable s’engage à se conformer aux dispositions de la Loi sur le secteur privé régissant la communication à l’extérieur du Québec des renseignements personnels. Cela inclut les situations où l’entreprise pourrait utiliser des fournisseurs de services infonuagiques avec des serveurs situés à l’extérieur du Québec ou collaborer avec des sous-traitants situés en dehors de la province.
5. Conservation et destruction des renseignements personnels
Conservation
Afin de s’assurer de bien conserver les renseignements personnels contenus dans les dossiers actifs, les employés prennent les mesures suivantes :
- Consigner au dossier les communications écrites avec le client (notes évolutives, courriels, formulaires, etc.);
- Toutes les informations personnelles transmises par le client seront consignées dans son dossier;
- Tourner face contre table les documents et/ou fermer les dossiers contenant des renseignements personnels lorsque l’employé s’absente de son bureau;
- Limiter l’accès aux locaux aux personnes autorisées;
- Accompagner en tout temps les visiteurs sur les lieux;
- Ne pas discuter dans les aires publiques du bureau à propos des clients;
- À la fin de la journée, la dernière personne à quitter les locaux/bureaux veille à ce que les portes soient verrouillées et le système d’alarme activé.
Tout employé de SPE Valeur Assurable en télétravail doit s’assurer d’appliquer et mettre en place les mêmes normes de sécurité quant à la conservation et la protection des dossiers des clients qu’il traite à son domicile ou à tout autre endroit à l’extérieur de son milieu de travail.
Dossiers clients
Lorsqu’un dossier n’est plus actif, il doit être classé dans un endroit et/ou un répertoire séparé.
Il y a fermeture du dossier d’un client dans l’une ou l’autre des situations suivantes :
- La personne a reçu tous les services dont elle avait besoin;
- La personne nous informe qu’elle désire interrompre sa démarche ou procéder à la fermeture de son dossier;
- SPE Valeur Assurable est sans nouvelle du client depuis plus de 6 mois.
Une note au dossier apparait mentionnant la date ainsi que la raison pour laquelle le dossier peut être considéré comme inactif.
Les dossiers inactifs sont conservés pour une période de sept (7) ans à partir du moment où ils ont été déclarés inactifs.
L’entreposage est prévu pour une période de sept (7) ans à partir de la date où ils ont été déclarés inactifs et respecte la confidentialité des renseignements personnels détenus. Après ce délai, les dossiers peuvent être détruits.
Dossiers employés
Il y a fermeture du dossier d’un employé lors de la terminaison d’emploi ou la fin de relation d’emploi.
Les renseignements personnels à l’égard des employés sont également assujettis au délai de conservation de sept (7) ans à partir de la terminaison d’emploi ou la fin de relation d’emploi. À titre d’exemple, les documents de nature financière, d’assurance ou d’équité salariale (documents fiscaux, documents relatifs à l’assurance-emploi ou Régime des rentes du Québec, etc.) la conservation est prévu pour une période de sept (7) ans.
Les documents suivants peuvent être conservé pour un délai minimal de trois (3) ans, étant le délai de prescription prévu par la Code civil du Québec pour les recours personnels :
- Les dossiers de candidatures des candidats retenus ou non;
- Les registres de paies;
- Les registres d’assiduité;
- Les feuilles de temps et de vacances;
- Les contrats d’emploi;
- Les preuves de sanctions disciplinaires/lettre de congédiement, etc.
Certains renseignements personnels sur les employés peuvent être conservés de façon permanente dans les situations prévues par la loi. Dans tous les cas, le délai prévu doit être prolongé dans le cas d’un litige en cours pour lesquels les documents sont ou pourraient être nécessaires.
À la fin de la durée de conservation ou lorsque les renseignements personnels ne sont plus nécessaires, SPE Valeur Assurable s’assure :
- de les détruire; ou
- de les anonymiser (c’est-à-dire qu’ils ne permettent plus, de façon irréversible, d’identifier la personne et qu’il n’est plus possible d’établir un lien entre la personne et les renseignements personnels) pour les utiliser à des fins sérieuses et légitimes. L’anonymisation sera possible exceptionnellement et à des fins précises seulement.
Destruction
Lorsque les fins auxquelles, un renseignement personnel a été recueilli ou utilisé, ont été accomplies, ceux-ci sont détruits ou anonymisés sous réserve du délai de conservation prévu par la loi. La destruction des renseignements personnels par SPE Valeur Assurable doit être faite de façon sécuritaire, afin d’assurer la protection de ces renseignements. Les employés s’assurent de la protection des renseignements personnels qu’ils détruisent et ne doivent pas jeter les documents papier ou électroniques sans s’être assurés au préalable que leur contenu ne peut être retrouvé ou reconstitué.
La personne responsable de la protection des renseignements personnels s’assure que l’ensemble du personnel comprenne et suive cette règle.
Si le volume des documents à détruire le justifie, SPE Valeur Assurable peut avoir recours à une entreprise spécialisée. Dans l’intervalle de leur destruction, les documents sont entreposés dans un endroit fermé à clé. Ladite clé étant sous la responsabilité du responsable de la protection des renseignements personnels, monsieur Robert Plante. SPE Valeur Assurable peut également avoir recours à une entreprise spécialisée pour la destruction des renseignements personnels qui sont contenus dans des programmes informatiques.
Dans les deux (2) cas, un contrat écrit avec l’entreprise spécialisée doit être établi afin de respecter les mesures de sécurité et la protection de renseignements confidentiels.
La présente section peut être complétée par toute politique ou procédure adoptée par SPE Valeur Assurable concernant la conservation et la destruction de renseignements personnels, le cas échéant. Veuillez contacter le responsable de la protection des renseignements personnels de SPE Valeur Assurable pour en savoir davantage.
6. Responsabilités de SPE Valeur Assurable
SPE Valeur Assurable est responsable de la protection des renseignements personnels qu’elle détient et s’engage à mettre en œuvre les dispositions de la présente politique ainsi que s’assurer qu’elle soit connue, comprise et appliquée au sein de l’organisation.
Les membres du personnel de SPE Valeur Assurable qui ont accès à des renseignements personnels ou qui sont autrement impliqués dans leur gestion doivent veiller à leur protection et respecter la présente politique.
7. Sécurité des données
Informations supplémentaires sur les technologies utilisées
Utilisation de témoins de connexion
Des témoins de connexion sont des fichiers de données transmis à l’ordinateur du visiteur d’un site internet par son navigateur Web lorsqu’il consulte ce site et peuvent avoir plusieurs utilités.
Les sites internet contrôlés par SPE Valeur Assurable utilisent des témoins de connexion notamment :
- Pour mémoriser les réglages et préférences des visiteurs, par exemple pour le choix de la langue et pour permettre le suivi de la session courante.
- À des fins statistiques pour connaître le comportement des visiteurs, le contenu consulté et permettre l’amélioration du site internet.
Les sites internet contrôlés par SPE Valeur Assurable utilisent les types de témoins suivants :
- Témoins de session : Il s’agit de témoins temporaires qui sont gardés en mémoire pour la durée de la visite du site internet seulement.
- Témoins persistants : Ils sont gardés sur l’ordinateur jusqu’à ce qu’ils expirent et ils seront récupérés lors de la prochaine visite du site.
SPE Valeur Assurable s’assure que les témoins de connexion soient désactivés par défaut et que les visiteurs puissent choisir d’activer ces fonctions ou non, lors de la consultation des sites internet de SPE Valeur Assurable.
Il est également possible d’activer et de désactiver l’utilisation des témoins de connexion en changeant les préférences dans les paramètres du navigateur utilisé.
Utilisation de Google Analytics
Le site de SPE Valeur Assurable (https://www.spevaleurassurable.com/) utilise Google Analytics afin de permettre son amélioration continue. Google Analytics permet notamment d’analyser la manière dont un visiteur interagit avec un site internet. Google Analytics utilise des témoins de connexion pour générer des rapports statistiques sur le comportement des visiteurs de ses sites internet et le contenu consulté.
Les informations provenant de Google Analytics ne seront jamais partagées par SPE Valeur Assurable à des tiers.
Il est possible d’installer un module complémentaire de navigateur pour désactiver Google Analytics.
Autres moyens technologiques utilisés
SPE Valeur Assurable recueille également des renseignements personnels par l’entremise de moyens technologiques comme des formulaires Web intégrés à un site internet contrôlé par SPE Valeur Assurable (par exemple, son formulaire de demande de soumission).
Si SPE Valeur Assurable recueille des renseignements personnels en offrant un produit ou un service technologique qui dispose de paramètres de confidentialité, SPE Valeur Assurable doit s’assurer que ces paramètres offrent le plus haut niveau de confidentialité par défaut (les témoins de connexion ne sont pas visés).
SPE Valeur Assurable s’engage à mettre en place des mesures de sécurité raisonnables pour assurer la protection des renseignements personnels qu’elle gère. Ces mesures de sécurité sont déterminées en fonction de la finalité, de la quantité, de la répartition, du support et de la sensibilité des renseignements. Ainsi, les renseignements considérés comme sensibles tel que définis précédemment dans la présente politique seront soumis à des mesures de sécurité plus strictes et bénéficieront d’une protection renforcée. Conformément à ce qui a été mentionné précédemment concernant l’accès restreint aux renseignements personnels, SPE Valeur Assurable doit mettre en place les mesures nécessaires pour imposer des restrictions sur les droits d’utilisation de ses systèmes d’information, permettant ainsi l’accès uniquement aux employés autorisés.
Télétravail
Tout employé de SPE Valeur Assurable en télétravail doit s’assurer d’appliquer et mettre en place les mêmes normes de sécurité quant à la conservation et la protection du matériel informatique, propriété de SPE Valeur Assurable, qu’il utilise à son domicile ou à tout autre endroit à l’extérieur de son milieu de travail. À titre d’exemple, mais de manière non limitative, l’employé doit s’assurer de verrouiller les accès au matériel informatique lorsqu’il n’est pas présent, il ne doit pas permettre l’usage du matériel informatique par une autre personne et ranger le matériel informatique dans un endroit sécuritaire.
Processus de sauvegarde des données
Les données sont sauvegardées quotidiennement sur le serveur de l’entreprise qui répond à toutes les exigences de la Loi sur la protection des renseignements personnels dans le secteur privé. (Sauvegarde DATTO par une firme externe Précicom)
Mot de passe et droits d’accès
Les normes de protection des renseignements personnels doivent être respectées par les employés relativement à la protection par mot de passe.
Les mots de passe sont changés directement par les employés aux trois (3) mois et contiennent plusieurs lettres minuscules et majuscules, chiffres et symboles compris entre huit (8) et douze (12) caractères.
Sur les ordinateurs portables, un écran de veille verrouillé par mot de passe apparait après cinq (5) minutes d’inactivité.
La personne responsable de la protection des renseignements personnels s’assure que les employés apportent les correctifs et les mises à jour proposés par les fournisseurs de logiciels. Également, cette dernière s’assure qu’un antivirus soit régulièrement mis à jour pour permettre un meilleur contrôle et une sécurité des logiciels.
Pour ce faire, elle peut retenir les services d’un fournisseur externe. Par ailleurs, en aucun temps, le recours à une firme externe ne dégage la personne responsable de la protection des renseignements personnels de ses responsabilités.
La personne responsable de la protection des renseignements personnels révoque sans délai le mot de passe et les droits d’accès des employés qui quittent SPE Valeur Assurable ou lorsqu’ils sont congédiés.
Atteinte à l’information confidentielle ou faille de sécurité
La personne responsable de la protection des renseignements personnels identifie la source de l’atteinte ou de la faille, prend les mesures nécessaires au rétablissement de la sécurité informatique et collige le tout par écrit.
Au besoin, elle valide les informations suivantes visant la restauration des systèmes et des procédures en cas de sinistre informatique :
- Récupérer les applications bureautiques;
- Récupérer les fichiers partagés du réseau local, le cas échéant;
- Vérifier si tous les dossiers ont été récupérés;
- Évaluer le travail à faire pour récupérer les données manquantes, le cas échéant.
Afin de détecter et prévenir la perte d’information et de limiter la vulnérabilité aux risques informatiques, la personne responsable de la protection des renseignements personnels met en place de manière non cumulative et non exhaustive les mesures suivantes selon les besoins :
- Surveillance des logiciels non autorisés ou non enregistrés;
- Mise à jour des logiciels;
- Mise à jour de l’antivirus;
- Mise à jour des pare-feux;
- Politique de gestion des mots de passe;
- Verrouillage automatique des appareils;
- Cryptage;
- Autre(s) : ________________________________________________
8. Droits d’accès, de rectification et de retrait du consentement
Pour exercer ses droits d’accès, de rectification ou de retrait du consentement, la personne concernée doit soumettre une demande écrite à cet effet au responsable de la protection des renseignements personnels de SPE Valeur Assurable, à l’adresse courriel indiquée à la section suivante.
Sous réserve de certaines restrictions légales, les personnes concernées peuvent demander l’accès à leurs renseignements personnels détenus par SPE Valeur Assurable et en demander la rectification ou la correction pour toutes informations fausses, incomplètes, inexactes, équivoques ou erronées. Également, si la collecte, la communication ou la conservation n’est pas autorisée par la loi, les personnes concernées peuvent exiger la destruction de leurs renseignements personnels.
L’accès aux renseignements est gratuit. Il est toutefois possible de demander des frais raisonnables pour la transcription, la reproduction ou la transmission des renseignements. La personne concernée doit être informée des frais raisonnables avant de procéder à la transcription, la reproduction ou la transmission de ces renseignements.
Elles peuvent également exiger la cessation de la diffusion d’un renseignement personnel les concernant, ou que tout hyperlien associé à leur nom permettant d’accéder à ce renseignement par un moyen technologique soit désindexé, lorsque la diffusion de ce renseignement contrevient à la loi ou à une ordonnance judiciaire. Elles peuvent faire de même, ou encore exiger que l’hyperlien permettant d’accéder à ce renseignement soit réindexé, lorsque certaines conditions prévues par la loi sont réunies.
Le responsable de la protection des renseignements personnels de SPE Valeur Assurable doit répondre par écrit à ces demandes dans les 30 jours suivant la réception de la demande. À défaut de répondre dans les délais, la personne responsable de la protection des renseignements personnels est réputée avoir refusé d’y acquiescer. Tout refus doit être motivé et accompagné de la disposition légale justifiant le refus. Dans ces cas, la réponse doit indiquer les recours en vertu de la loi et le délai pour les exercer. Le responsable doit aider le requérant à comprendre le refus, si nécessaire. Les renseignements faisant l’objet d’un refus doivent être conservés le temps requis pour permettre à la personne concernée d’épuiser les recours prévus par la loi.
Lorsque la personne responsable de la protection des renseignements personnels acquiesce à une demande de rectification, il doit délivrer sans frais à la personne qui a fait la demande une copie de tout renseignement personnel modifié ou ajouté, ou selon la situation, une attestation de la suppression d’un tel renseignement.
Sous réserve des restrictions légales et contractuelles applicables, les personnes concernées peuvent retirer leur consentement à la communication ou à l’utilisation des renseignements recueillis. Elles peuvent également demander à SPE Valeur Assurable quels sont les renseignements personnels recueillis auprès d’elles, les catégories de personnes chez SPE Valeur Assurable qui y ont accès et leur durée de conservation.
Demande d’accès par un tiers concerné
Si une personne concernée ou un représentant demande l’accès à un dossier, il doit justifier son identité et faire sa demande d’accès par écrit. Cette demande doit être présentée au responsable de la protection des renseignements personnels.
9. Processus de traitement des plaintes
Réception
Aux fins de la présente politique, une plainte constitue l’expression d’au moins un (1) des deux (2) éléments suivants :
- Un reproche à l’endroit d’un employé ou de SPE Valeur Assurable;
- L’identification d’un préjudice potentiel ou réel qu’aurait subi ou pourrait subir un client.
La personne responsable de la protection des renseignements personnels doit s’assurer qu’un registre des plaintes soit créé et qu’elle est la responsable de la gestion de ce registre.
Tout client qui désire porter plainte doit le faire à l’écrit à l’adresse du responsable de la protection des renseignements personnels indiqué plus bas dans la présente politique. Lors du signalement d’une plainte, sous quelque forme que ce soit, la personne responsable de la protection des renseignements personnels ouvre un dossier et note la date de la réception de la plainte dans le registre des plaintes. Celui qui reçoit la plainte invite le plaignant à transmettre sa plainte par écrit ou prend tous les détails, par écrit, relatifs à la plainte selon ce qui s’applique le mieux dans la situation.
L’individu doit minimalement indiquer son nom, ses coordonnées pour le joindre, y compris un numéro de téléphone, ainsi que l’objet et les motifs de sa plainte, en fournissant suffisamment de détails pour que celle-ci puisse être évaluée par SPE Valeur Assurable. Si la plainte formulée n’est pas suffisamment précise, le responsable de la protection des renseignements personnels peut demander toute information additionnelle qu’il juge nécessaire pour pouvoir évaluer la plainte.
Traitement
SPE Valeur Assurable s’engage à traiter toute plainte reçue de manière confidentielle. Suite à la réception d’une plainte, la personne responsable de la protection des renseignements personnels doit faire parvenir un accusé de réception à la personne plaignante dans les cinq (5) jours suivants la réception de la plainte.
L’accusé de réception doit contenir les renseignements suivants :
- une description de la plainte reçue, précisant le préjudice subi ou potentiel, le reproche fait et la mesure correctrice demandée;
- le nom et les coordonnées du responsable du traitement de la plainte;
- dans le cas d’une plainte incomplète, un avis comportant une demande de complément d’informations à laquelle le plaignant doit répondre dans un délai fixé, à défaut de quoi la plainte sera réputée abandonnée;
- la section de la présente politique portant sur le traitement des plaintes;
La personne responsable de la protection des renseignements personnels doit constituer un dossier de plainte qui comprend les éléments suivants :
- la plainte écrite du plaignant, incluant les trois (3) éléments de la plainte (le reproche, le préjudice réel ou potentiel et la mesure correctrice demandée);
- le résultat du processus de traitement de la plainte (l’analyse et les documents l’appuyant);
- la réponse finale au plaignant, écrite et motivée;
- les correspondances avec le plaignant et tout document relatif à la plainte.
La personne responsable de la protection des renseignements personnels procède à l’enquête du dossier dans les trente (30) jours suivant la réception de la plainte ou suivant la réception de tous les renseignements additionnels jugés nécessaires et requis par le responsable de la protection des renseignements personnels. Ce dernier recueille et analyse les commentaires et la documentation pertinente. Il s’assure d’obtenir les renseignements supplémentaires qu’il juge manquants, le cas échéant.
Dans le cas où la plainte ne peut être traitée dans ce délai, le plaignant doit être informé des motifs justifiant l’extension de délai, de l’état d’avancement du traitement de sa plainte et du délai raisonnable nécessaire pour pouvoir lui fournir une réponse définitive.
Lorsque la personne responsable de la protection des renseignements personnels a terminé le traitement de la plainte, elle rédige un rapport. Elle informe ensuite la partie plaignante du résultat de son enquête par une réponse écrite et motivée.
Le rapport et la réponse sont consignés dans le dossier de plainte.
10. Incident de confidentialité et plan de réponse aux incidents
Dès qu’une personne de SPE Valeur Assurable a des motifs de croire qu’il s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient, elle doit immédiatement prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature se produisent.
Un incident de confidentialité comprend :
- l’accès, la communication et l’utilisation non autorisée par la loi d’un renseignement personnel;
- la perte d’un renseignement personnel; ou
- toute autre atteinte à la protection d’un tel renseignement.
Une évaluation de l’incident afin de déterminer s’il existe un risque qu’un préjudice sérieux soit causé doit être réalisée de concert avec la personne responsable de la protection des renseignements personnels. Lorsque la situation présente un risque de préjudice sérieux, SPE Valeur Assurable doit notifier la personne concernée et la Commission d’accès à l’information de cet incident de confidentialité.
SPE Valeur Assurable se réserve le droit d’aviser toute personne ou tout organisme susceptible de diminuer le risque de préjudice sérieux, en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. La personne responsable de la protection des renseignements personnels s’assure que la communication est enregistrée si elle est verbale ou qu’elle est sauvegardée si elle est écrite.
Lors de l’évaluation du caractère de l’incident, la sensibilité des renseignements, les conséquences appréhendées de son utilisation et la probabilité que les renseignements soient utilisés à des fins préjudiciables doivent être considérées.
La personne responsable de la protection des renseignements personnels procède à une analyse des causes du problème et identifie les mesures qui doivent être prises pour éviter qu’un incident semblable se reproduise.
Les informations suivantes sont colligées dans un registre des incidents de confidentialité, que celles-ci représentent un risque de préjudice sérieux ou non :
- Date de l’incident;
- Description des circonstances de l’incident et des renseignements personnels visés par l’incident;
- Décrire l’évaluation de la gravité du risque de préjudice et de la conclusion;
- Les raisons pour lesquelles SPE Valeur Assurable juge que l’incident ne comporte pas de préjudice sérieux pour les individus concernés, le cas échéant;
- Description des mesures prises en réaction de l’incident;
- Date et description de la transmission des avis s’il y a lieu.
Une révision des mesures de sécurité a lieu suite à l’incident en question pour s’assurer qu’un incident de la même nature ne se reproduise pas à nouveau. La personne responsable de la protection des renseignements personnels s’assure également de communiquer ces nouvelles mesures à l’ensemble du personnel, le cas échéant.
Si les mesures prises modifient la politique actuellement en vigueur, elle s’assure d’y apporter les modifications nécessaires.
11. Approbation
La présente politique est approuvée par le responsable de la protection des renseignements personnels de SPE Valeur Assurable, dont les coordonnées d’affaires sont les suivantes :
Responsable de la protection des renseignements personnels :
Robert Plante
565, 98e Rue
Saint-Georges, Québec G5Y 8G2
[email protected]
Pour toute demande, question ou commentaire dans le cadre de la présente politique, veuillez communiquer avec le responsable par courriel.
12. Publication et modifications
De l’information détaillée sur la présente politique est publiée sur le site internet de SPE Valeur Assurable, auquel s’applique la présente politique, et ce, relativement aux renseignements personnels qui y sont recueillis. Cette politique est également diffusée par tout moyen propre à atteindre les personnes concernées.
La présente politique doit être révisée annuellement par la personne responsable de la protection des renseignements personnels, laquelle doit rédiger un document faisant état de son travail de révision.
Le document doit faire état notamment de la pertinence de modifier le contenu de la politique, des modifications proposées, le cas échéant, et leur justification.
S’il y a une vérification externe en cours d’année, les recommandations du rapport doivent être intégrées à la politique, le cas échéant.
Notes : Veuillez noter que l’emploi du genre masculin a pour but d’alléger la présente politique et d’en faciliter la lecture
La présente politique de conformité est en vigueur depuis le 8 décembre 2023.
Annexe A
Voici une liste non exhaustive sur les types de renseignements que SPE Valeur Assurable pourrait collecter, l’utilisation des renseignements personnels qui est fait (ou l’objectif visé) ainsi que les moyens par lesquels les renseignements sont recueillis. Ainsi, cela comprend, sans s’y limiter, les éléments qui suivent.
Veuillez noter que la plupart des renseignements personnels gérés par SPE Valeur Assurable sont des renseignements personnels d’employés, de clients (actuels et potentiels) et de sous-traitant. Pour ce qui est des autres catégories de personnes indiquées dans la liste ci-dessous, les renseignements fournis sont, dans la majorité des cas, des renseignements de nature professionnelle ou d’affaires (voir la section 2 sur les coordonnées professionnelles). À noter que dans la majorité des cas, SPE Valeur Assurable recueille également le titre/fonction professionnel(le) des personnes, le nom de l’organisation et/ou l’adresse de l’organisation (voir la section 2 sur les coordonnées professionnelles).
Relation avec SPE Valeur Assurable:
Clients
Type de renseignements personnels
L’une ou l’autre de ces informations, lorsqu’elles sont nécessaires:
- Nom;
- numéro de téléphone;
- courriel;
- renseignements bancaires (lorsque nécessaire);
- langue;
- Adresse;
Fin de la collection/utilisation :
- Établir et gérer les relations avec la clientèle (et obtenir un moyen de communication);
- Fournir un service; (Rapport d’évaluation pour fin de valeur assurable)
- Connaître la langue privilégiée de communication;
- Assurer le paiement des coûts liés aux services;
- L’inscription à l’infolettre de SPE Valeur Assurable;
Manière de recueillir les renseignements (moyens) :
- au moyen de formulaires Web intégrés à un site internet contrôlé par SPE Valeur Assurable, de questionnaires accessibles en ligne sur ses plateformes et ses applications, ainsi que d’autres plateformes ou outils technologiques de formulaires.
- par courriel (directement ou par l’entremise d’un document ou autre type de formulaire joint).
Relation avec SPE Valeur Assurable:
Employés
Type de renseignements personnels
L’une ou l’autre de ces informations, lorsqu’elles sont nécessaires:
- nom;
- numéro de téléphone;
- courriel;
- renseignements bancaires;
- numéro d’assurance sociale;
- date de naissance;
- adresse;
Fin de la collection/utilisation :
- la gestion des communications avec l’employé;
- assurer le fonctionnement du système de paie.
Manière de recueillir les renseignements (moyens) :
- par courriel
- par téléphone
Relation avec SPE Valeur Assurable:
Sous-traitant
Type de renseignements personnels
L’une ou l’autre de ces informations, lorsqu’elles sont nécessaires:
- nom;
- numéro de téléphone;
- courriel;
- renseignements bancaires;
- adresse;
Fin de la collection/utilisation :
- la gestion des communications et gestion des mandats avec le sous-traitant;
- le paiement des factures;
Manière de recueillir les renseignements (moyens) :
- par courriel (directement ou par l’entremise d’un document joint: Word, PDF etc.)
Relation avec SPE Valeur Assurable:
Fournisseurs de services
Type de renseignements personnels
L’une ou l’autre de ces informations, lorsqu’elles sont nécessaires:
- nom;
- numéro de téléphone;
- courriel;
- renseignements bancaires;
- adresse;
Fin de la collection/utilisation :
- le paiement des factures,
Manière de recueillir les renseignements (moyens) :
- au moyen de formulaires Web intégrés à un site internet contrôlé par le paiement des factures.
- par courriel;