Politique relative à la protection des renseignements personnels

Objectif

S’assurer que :

  1. PPI (y compris les sociétés de PPI Partners exploitées sous les noms de Conseils PPI, Solutions PPI et de PPI Collectif) est en conformité avec les dispositions réglementaires et avec ses exigences d’autoréglementation au sujet de la protection des renseignements personnels;
  2. Les obligations de PPI à l’égard de la protection des renseignements personnels sont respectées de manière professionnelle, dans un environnement sécurisé, et font l’objet d’un contrôle adéquat.

Politique

Personnes responsables :

  • La responsabilité générale de l’application de la Politique sur la protection des renseignements personnels incombe à la directrice, conformité. Dans chaque bureau PPI, la responsable désignée de la conformité veillera à ce que la politique soit mise en place et à ce que le personnel en connaisse les exigences.

Notre engagement

Les conseillers de PPI et leurs clients sont l’essence même de notre entreprise. En qualité de société de services financiers, nous nous voyons confier certains renseignements personnels très confidentiels de leurs clients. Nous devons respecter la confiance qu’ils nous témoignent et leur expliquer notre engagement à protéger les renseignements qu’ils nous communiquent dans le cadre de notre relation d’affaires.

Il y a 10 principes que nous devons suivre, conformément à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

  1. Responsabilité : Une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s’assurer du respect des principes énoncés ci-dessous.
  2. Détermination des buts : Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l’organisation avant la collecte ou au moment de celle-ci.
  3. Consentement : Vous devez obtenir le consentement éclairé d’une personne pour recueillir, utiliser et communiquer des renseignements personnels à son sujet.
  4. Limitation de la collecte : L’organisation ne doit recueillir que les renseignements personnels nécessaires aux fins qu’elle a déterminées. L’information doit être recueillie de façon honnête et licite.
  5. Limitation de l’utilisation, de la communication et de la conservation : Les renseignements personnels ne doivent pas être utilisés ou communiqués à d’autres fins que celles auxquelles ils ont été recueillis, à moins que la personne concernée n’y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées.
  6. Exactitude : Les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés.
  7. Mesures de sécurité : Les renseignements personnels doivent être protégés au moyen de mesures de sécurité appropriées à leur degré de confidentialité.
  8. Transparence : Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.
  9. Accès des personnes : Une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels la concernant, de l’usage qui en est fait et de leur communication à des tiers, et lui permettre d’en prendre connaissance. Il sera aussi possible de contester l’exactitude et l’intégralité des renseignements et d’y faire apporter les rectifications nécessaires.
  10. Possibilité de porter plainte : Toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec la ou les personnes responsables de la conformité de l’organisation.

Applicabilité

La Loi ne s’applique qu’aux renseignements personnels. Cependant, il a été suggéré que la LPRPDE soit appliquée, en respectant l’esprit de loi, aux renseignements obtenus au sujet des sociétés à peu d’actionnaires, dont font partie la plupart de nos entreprises clientes, sinon toutes.

Responsable de la protection des renseignements personnels de PPI

Mme Kim Russell, directrice, conformité, est le cadre responsable de la protection des renseignements personnels, et toutes les demandes de renseignements et les plaintes doivent lui être transmises à l’adresse suivante : krussell@ppi.ca

Collecte et utilisation des renseignements

Nous recueillons les renseignements dont nous avons besoin pour réaliser les tâches que nous nous sommes engagés à accomplir, qu’il s’agisse de produits d’assurance ou de produits d’investissements. Les renseignements figurent sur les propositions des assureurs et peuvent aussi être obtenus avant ou pendant le processus de tarification.

Consentement

Afin que nous puissions ouvrir un dossier, obtenir des renseignements et les mettre à jour, le conseiller doit obtenir du client un consentement dûment signé et le verser à son dossier.

Protection des renseignements personnels

En qualité de dirigeants, de cadres et d’employés de PPI, nous avons le droit d’accéder aux renseignements personnels des clients et nous devons bien comprendre l’importance de protéger ces renseignements et d’en préserver la confidentialité. Nos programmes de formation nous indiquent clairement que nous ne devons utiliser les renseignements qu’aux fins déterminées. À l’embauche, tous les employés de PPI apposent leur paraphe en regard de la clause de non-divulgation ou de confidentialité que comporte leur lettre d’offre d’emploi.

Sécurité du réseau

Les centres de données de PPI sont protégés physiquement par des systèmes d’alarme activement vérifiés, des cartes d’accès et des rondes de sécurité effectuées dans les immeubles par intermittence. PPI utilise la technologie de pare-feu de dernière génération – avec inspection des applications, protection contre les maliciels et système de prévention des intrusions – pour se protéger contre les menaces en provenance d’Internet. Les serveurs et les services des centres de données sont activement contrôlés et des alarmes peuvent être transmises par téléavertisseur 24 heures sur 24, sept jours sur sept, aux membres de l’équipe chargée du réseau de PPI, dont les membres sont de garde tour à tour.

Conservation des renseignements personnels

Les renseignements personnels sont conservés en dossier tant qu’ils sont nécessaires au processus de tarification et à la gestion continue de la police, ou jusqu’à l’expiration des délais stipulés par la loi.

Options concernant la protection des renseignements personnels

Les clients peuvent obtenir en tout temps un exemplaire de notre Politique de protection des renseignements personnels et de nos procédures connexes.

Ils peuvent accéder à leurs renseignements. Nous devons donner suite à leurs demandes le plus rapidement possible et, au plus tard, dans un délai de 30 jours suivant la réception de la demande.

Les clients peuvent retirer leur consentement en tout temps, en communiquant avec notre responsable de la protection des renseignements personnels. Cependant, ils seront informés que l’impossibilité d’obtenir les renseignements pertinents pourrait nous empêcher d’accomplir les tâches pour lesquelles nos services sont requis.

Plaintes

Les clients peuvent déposer une plainte au sujet de nos procédures de protection des renseignements personnels et de toute infraction à la Politique de protection des renseignements personnels. Les plaintes doivent être faites par écrit et transmises au responsable de la protection des renseignements personnels. Le responsable de la protection des renseignements personnels communiquera avec le client pour obtenir de plus amples précisions. Le responsable de la protection des renseignements personnels analysera alors les circonstances à l’origine de la plainte et déterminera s’il y a lieu de modifier les dispositions actuelles de la Politique de protection des renseignements personnels. Les assureurs devraient être avisés de toute plainte relative à leurs clients ou à leurs produits.

Exceptions au droit d’accès des clients

L’entreprise doit refuser l’accès aux renseignements personnels dans les situations suivantes :

  • la communication révélerait des renseignements personnels au sujet d’un tiers, à moins que le tiers en question n’y consente ou qu’il s’agisse d’une situation qui mette en danger la vie d’une personne;
  • l’entreprise a communiqué des renseignements personnels à un organisme d’État pour des motifs liés à l’application de la loi ou à la sécurité nationale. Sur demande, l’organisme d’État peut enjoindre à l’entreprise de refuser l’accès aux renseignements ou encore de ne pas révéler que les renseignements ont été communiqués. L’entreprise doit alors refuser la demande et en informer le Commissariat à la protection de la vie privée du Canada. L’entreprise ne peut informer la personne concernée de la communication à l’organisme d’État, ni du fait que l’organisme a été informé de la demande, ni du fait que le Commissariat à la protection de la vie privée du Canada a été informée du refus.

L’entreprise peut refuser l’accès à des renseignements personnels si ces derniers appartiennent à l’une ou l’autre des catégories suivantes :

  • renseignements protégés par le secret professionnel liant l’avocat à son client;
  • renseignements commerciaux confidentiels;
  • renseignements dont la divulgation risquerait de nuire à la vie ou à la sécurité d’une personne;
  • renseignements recueillis à l’insu de la personne et sans son consentement, pour en assurer l’exactitude ou l’accès, et dont l’obtention est nécessaire aux fins d’une enquête sur la violation d’une convention ou sur une contravention à la législation fédérale ou provinciale (le Commissariat à la protection de la vie privée du Canada doit en être informé);
  • les renseignements ont été fournis dans le cadre du processus de règlement officiel d’un litige.