Politique sur la protection des renseignements personnels
Politique sur la protection des renseignements personnels
Préambule
Cette politique vise à régir la conformité du cabinet. Elle doit être
appliquée rigoureusement et utilisée comme un outil au service de
l’exercice des courtiers hypothécaires autonomes ou des cabinets
pour répondre aux exigences de l’Autorité des marchés financiers
(ci-après nommée « l’AMF »).
L’objet des politiques
Établir les principes généraux relatifs à la collecte, l’utilisation
et la communication de renseignements personnels;
Conserver adéquatement les données;
Détruire adéquatement les renseignements personnels;
Anonymiser les renseignements personnels, le cas échéant;
Recevoir et traiter adéquatement les plaintes et demandes
d’individus souhaitant exercer leurs droits;
Sécuriser adéquatement les données;
Gérer les incidents de confidentialité et plan de réponse aux
incidents.
Les objectifs
1. S’assurer que la confidentialité des renseignements
personnels de nos clients est et demeure en tout temps une
priorité;
2. S’assurer que les mesures nécessaires sont prises pour
protéger les renseignements personnels collectés, utilisés,
communiqués, conservés ou détruits et qui sont raisonnables
compte tenu de leur sensibilité, de la finalité de leur
utilisation, de leur quantité, de leur répartition et de leur
support.
1. Rôles et responsabilités
La personne responsable de l’application de la présente politique
est la personne responsable de la protection des renseignements
personnels, M. Serge Lafrenière. Le titre et les coordonnées sont
publiés sur le site Internet de Performance Hypothécaire.
Le personnel doit se conformer à cette politique et mettre en place
les mesures de sécurité, avec le soutien de la personne
responsable.
2. Définition de renseignement personnel
« Est un renseignement personnel, tout renseignement qui
concerne une personne physique et permet, directement ou
indirectement, de l’identifier. » Une donnée est réputée
personnelle dès sa collecte si elle peut identifier une personne,
même indirectement.
Exemples (non exhaustifs) : nom, religion, état matrimonial, âge,
ADN, adresse IP, etc. Les informations professionnelles (titre,
adresse de courriel professionnelle, etc.) ne sont pas considérées
comme telles.
Les obligations de protection s’appliquent à tout support : écrit,
visuel, informatisé, etc.
3. Définition de renseignement personnel sensible
Est sensible tout renseignement de nature médicale, biométrique
ou autrement intime, ou dont l’utilisation ou la communication
suscite un haut degré d’attente de vie privée.
4. Embauche
Tout employé doit signer une entente de confidentialité (voir
annexe A).
5. Entente de services
Chaque fournisseur ayant accès aux renseignements doit signer un
engagement de confidentialité ou inclure cette clause dans le
contrat (voir annexe B).
6. Consentement
Le courtier doit obtenir une autorisation écrite signée du client
avant de collecter, utiliser, communiquer ou conserver ses
renseignements personnels (voir annexe C).
7. Principes généraux – collecte, utilisation et
communication
7.1 Collecte
La collecte doit reposer sur un intérêt sérieux et légitime. Elle doit
être licite et accompagnée d’une information sur les finalités, les
droits (accès, rectification, retrait), etc.
Si recueillie auprès d’un tiers, le consentement est requis, sauf
disposition contraire prévue par la loi. L’origine doit être indiquée
sur demande.
Collecte pour mineur (< 14 ans) nécessite consentement parental,
sauf exception manifeste au bénéfice de l’enfant.
7.2 Utilisation
Les renseignements sont utilisés uniquement pour la finalité
prévue, sauf nouvelles fins compatibles ou légales (fraude, études,
statistiques anonymisées).
L’accès est limité au personnel ayant un besoin légitime.
7.3 Communication
La communication à des tiers est interdite sans consentement
explicite, sauf exceptions légales ou situations d’urgence.
8. Conservation des données
8.1 Dossiers actifs
Consigner communications, emails, formulaires;
Fermer ou verrouiller dossiers en l’absence d’employé;
Limiter l’accès aux locaux, accompagner visiteurs;
Ne pas discuter de dossiers en public;
Verrouiller locaux et classeurs en fin de journée;
Récupérer documents imprimés immédiatement.
8.2 Dossiers inactifs
Un dossier est inactif si : service terminé, demande du client ou
absence de contact depuis 6 mois. Les dossiers inactifs sont
conservés au moins 7 ans, puis détruits (voir annexe D).
9. Accès au dossier
Le client peut consulter ou obtenir copie du dossier et en
demander la correction. Demande de correction ou destruction
doit être satisfaite.
10. Fermeture de dossiers
Après 7 ans, les dossiers peuvent être détruits selon les critères de
confidentialité.
11. Destruction et anonymisation
Les renseignements dont la finalité est accomplie sont détruits ou
anonymisés si irréversiblement non-identifiables. Les employés
assurent la destruction sécuritaire (déchiqueteuse, etc.) ; brûler les
documents n’est pas permis.
Une entreprise spécialisée peut être mandatée; un contrat doit
définir les obligations et garanties (voir section détaillée).
12. Gestion des plaintes et demandes d’exercice des
droits
12.1 Définition et registre
Plainte : reproche ou identification de préjudice réel ou potentiel.
La plainte doit être inscrite dans un registre géré par le
responsable (voir annexe E).
12.2 Procédure de traitement
Ouverture du dossier, enregistrement, invitation à formuler par
écrit, transmission au responsable, stockage de la plainte écrite ou
consignée.
La plainte doit être envoyée à :
M. Serge Lafrenière
320-900 Boul du Séminaire Nord
StJeansurRichelieu, QC J3A 1C3
4508953574 p100
s.lafreniere@performanceih.ca
Accusé de réception sous 5 jours, incluant description,
responsable, demande complément, référence à la politique (voir
annexe F).
12.3 Contenu du dossier et enquête
Plainte écrite complète;
Analyse et documentation;
Réponse finale écrite et motivée;
Correspondances et documents liés.
Enquête menée, assureur informé si nécessaire, rapport et
réponse consignés.
12.4 Accès et rectification
Client ou employé peut accéder ou corriger ses renseignements,
avec réponse dans les 30 jours. Refus ou frais raisonnables
peuvent s’appliquer. Recours via la Commission d’accès à
l’information.
13. Incidents de confidentialité et plan de réponse
Tout incident (accès non autorisé, perte, etc.) doit faire l’objet d’une
évaluation de risque. Si risque grave, notification au client et à la
Commission. Registre des incidents à tenir (voir annexe H). Analyse
des causes, mesures correctives, révision de la politique si
nécessaire.
14. Vol d’identité
En cas de vol d’identité présumé : activer indicateur, informer
assureur, renforcer vérification, notifier immédiatement le
responsable et suivre les procédures.
Dispositions générales
Révision annuelle impérative par le responsable avec document de
révision et intégration des recommandations externes.
En vigueur depuis le 14 juillet 2023 et mis à jour le 27 juin 2025.
Ce que vous devez savoir sur notre politique de protection des renseignements personnels :
Notre politique couvre les rôles et responsabilités,
les embauches, les consentements, les ententes de
services. Elle établit les principes généraux relatifs à
la collecte, l’utilisation et la communication de
renseignements personnels, la conservation
Elle définit les procédures pour détruire adéquatement les
renseignements personnels, les anonymiser, recevoir et
traiter les plaintes et les demandes des individus souhaitant
exercer leurs droits.
Elle inclut aussi la procédure lors d’un signalement de
plainte, l’accès au dossier, les règles pour sécuriser les
données et la conformité technologique (sécurité des
données), la protection du matériel informatique et
le processus de sauvegarde.
Elle encadre la gestion des mots de passe et des droits
d’accès, ainsi que les procédures en cas de vol, perte, bris,
atteinte à l’information confidentielle ou faille de
sécurité.
Elle prévoit aussi le traitement des problèmes de données
non disponibles, la protection des échanges
d’information, la gestion du matériel informatique et des
accès, la gestion des tiers pour le soutien informatique,
les incidents de confidentialité, le plan de réponse aux
incidents et la gestion du vol d’identité.
Le responsable de l’application de cette politique est M.
Serge Lafrenière. Il est joignable à
: s.lafreniere@performanceih.ca ou au 450-895-3574 p101.
En cas d’incident de confidentialité, un processus de
gestion est automatiquement enclenché.
Nous avons un système de traitement des plaintes lié à la
confidentialité de vos renseignements personnels, géré par la
même personne responsable.
Notre organisation s’engage, via cette politique, à protéger
adéquatement vos renseignements personnels.
Pour toute question, vous pouvez contacter le responsable
aux coordonnées ci-dessus.