Politique sur la protection des renseignements personnels

Préambule

Cette politique vise à régir la conformité du cabinet Consortium Hypothécaire. Elle doit être appliquée rigoureusement et utilisée comme un outil au service de l'exercice des courtiers hypothécaires autonomes ou des cabinets pour répondre aux exigences de l'Autorité des marchés financiers (ci-après nommée « l'AMF »).

L'objet des politiques

  1. Établir les principes généraux relatifs à la collecte, l'utilisation et la communication de renseignements personnels;
  2. Conserver adéquatement les données;
  3. Détruire adéquatement les renseignements personnels;
  4. Anonymiser les renseignements personnels, le cas échéant;
  5. Recevoir et traiter adéquatement les plaintes et demandes d'individus souhaitant exercer leurs droits;
  6. Sécuriser adéquatement les données;
  7. Gérer les incidents de confidentialité et plan de réponse aux incidents.

Les objectifs

  1. S'assurer que la confidentialité des renseignements personnels de nos clients est et demeure en tout temps une priorité;
  2. S'assurer que les mesures nécessaires sont prises pour protéger les renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.

1. Rôles et responsabilités

La personne responsable de l'application de la présente politique est la personne responsable de la protection des renseignements personnels, M. Jean-François Choquette. Le titre et les coordonnées de la personne responsable de la protection des renseignements personnels sont publiés sur le site Internet de Consortium Hypothécaire.

Les membres du personnel de Consortium Hypothécaire doivent se conformer à la présente politique et mettre en place les mesures de sécurité, le tout avec le soutien et l'accompagnement de la personne responsable de la protection des renseignements personnels.

2. Définition de renseignement personnel

La définition d'un renseignement personnel est la suivante : « Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l'identifier. »

Une donnée est réputée être un renseignement personnel dès sa collecte si en lui adjoignant d'autres informations elle peut être utilisée pour identifier une personne.

À titre indicatif, mais non limitatif, voici des exemples de renseignements personnels : nom, religion, état matrimonial, niveau d'instruction, âge, taille, poids, dossier médical, groupe sanguin, ADN, signature vocale, empreintes digitales, revenus, achats, habitudes de consommation, renseignements bancaires, numéro d'assurance sociale, adresse civique, déclaration de revenus, rapport de solvabilité, donnée de géolocalisation, identifiant en ligne, adresse IP, date de naissance, pièces d'identité, etc.

Les renseignements personnels concernant l'exercice d'une fonction au sein d'une entreprise, tels que son nom, son titre, sa fonction, l'adresse de l'entreprise, l'adresse de courrier électronique et le numéro de téléphone de son milieu de travail ne sont pas considérés comme des renseignements personnels au regard de la Loi sur la protection des renseignements personnels dans le secteur privé.

Les obligations de protection des renseignements personnels s'appliquent aux renseignements quelle que soit la nature de leur support et quelle que soit la forme sous laquelle ils sont accessibles : écrite, graphique, sonore, visuelle, informatisée ou autre.

3. Définition de renseignement personnel sensible

Un renseignement personnel est considéré sensible lorsque, de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d'attente raisonnable en matière de vie privée.

4. Embauche

Tout employé doit signer une entente de confidentialité.

Un exemple d'entente de confidentialité à être signée par les employés apparait à l'annexe A.

5. Entente de services

La personne qui conclut une entente de services avec un fournisseur dont les activités pourraient permettre un accès aux renseignements personnels doit s'assurer que l'offre de service inclut un engagement à cet effet. Sinon, un engagement de confidentialité doit être signé.

Un exemple d'engagement de confidentialité à être signé par le fournisseur apparait à l'annexe B.

6. Consentement

En tout temps, le courtier hypothécaire doit obtenir une autorisation écrite dûment signée par son client, qui l'autorise à recueillir, utiliser, communiquer et conserver les renseignements personnels le concernant ou concernant son entreprise ou les employés de son entreprise, le cas échéant.

Un exemple de consentement apparait à l'annexe C.

7. Établir les principes généraux relatifs à la collecte, l'utilisation et la communication de renseignement personnel dans un contexte autre qu'une analyse des besoins

Vous référer à la politique de conformité pour tout ce qui touche la prise de renseignements dans un contexte d'analyse des besoins.

7.1 Collection des renseignements personnels

Pour recueillir des renseignements personnels sur autrui, il faut un intérêt sérieux et légitime. Il est impossible de déroger à ce principe, et ce, même avec le consentement de la personne concernée. Les renseignements doivent être recueillis par des moyens licites uniquement.

La personne qui recueille des renseignements personnels sur autrui informe la personne concernée au moment de la collecte ou préalablement à celle-ci, des fins auxquelles ces renseignements sont recueillis, des moyens par lesquels les renseignements sont recueillis, des droits d'accès et de rectification prévus par la loi et de son droit de retirer son consentement à la communication ou l'utilisation des renseignements recueillis.

Renseignements recueillis auprès d'un tiers

Dans l'éventualité où des renseignements personnels sont recueillis auprès d'un tiers, le consentement de la personne concernée doit être obtenu préalablement. Toutefois, il est possible de recueillir des renseignements personnels auprès d'un tiers sans le consentement de la personne concernée lorsque la loi l'autorise.

Lorsque des renseignements personnels sont recueillis auprès d'une autre personne qui exploite une entreprise, la personne qui recueille les renseignements informe, à la demande de la personne concernée, la source de ces renseignements.

De plus, sur demande, la personne concernée pourra être informée en termes clairs et simples des renseignements personnels recueillis auprès d'elle, des catégories de personnes ayant accès à ces renseignements au sein de CONSORTIUM Hypothecaire, de la durée de conservation des renseignements et des coordonnées du responsable de la protection des renseignements personnels.

Renseignements concernant un mineur de moins de 14 ans

Les renseignements personnels concernant un mineur de moins de 14 ans ne peuvent être recueillis auprès de celui-ci sans avoir obtenu préalablement le consentement du titulaire, de l'autorité parentale ou du tuteur, sauf lorsque cette collecte est manifestement au bénéfice du mineur.

7.2 L'utilisation des renseignements personnels

Les renseignements personnels sont seulement utilisés aux fins pour lesquelles ils ont été recueillis, à moins du consentement de la personne concernée.

Utilisation à une fin autre

Un renseignement personnel peut être utilisé à d'autres fins sans le consentement de la personne concernée dans les situations prévues par la loi, lesquelles comprennent notamment les cas suivants :

  • Lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il a été recueilli;
  • Lorsque son utilisation est manifestement au bénéfice de la personne concernée;
  • Lorsque son utilisation est nécessaire à des fins de prévention et de détection de la fraude ou d'évaluation et d'amélioration des mesures de protection et de sécurité;
  • Lorsque son utilisation est nécessaire à des fins d'études, de recherche ou de production de statistiques et qu'il est dépersonnalisé.

Accès limité

L'accès aux renseignements personnels dans un dossier doit être limité aux employés qui doivent connaitre les informations pour exercer leurs fonctions. Au surplus, les renseignements concernés doivent être nécessaires à l'exercice des fonctions de l'employé ou à l'exécution de son mandat.

7.3 Communication des renseignements personnels

Il est interdit de communiquer des renseignements personnels sur le client à des tiers, sans avoir obtenu l'autorisation du client au préalable, à l'exception des cas permis par la loi. Le consentement doit être manifesté de façon expresse dès qu'il s'agit d'un renseignement personnel sensible.

L'employé à qui on demande un renseignement personnel doit refuser de le divulguer si sa divulgation révélait un renseignement personnel sur un tiers ou l'existence d'un tel renseignement et que cette divulgation est susceptible de nuire à ce tiers.

Sauf s'il s'agit d'une situation qui peut mettre en danger la vie, la santé ou la sécurité du tiers concerné ou qu'il y consent.

8. Conserver adéquatement les données

8.1 Conserver les renseignements personnels

Afin de s'assurer de bien conserver les renseignements personnels contenus dans les dossiers actifs, les employés prennent les mesures suivantes :

  • Consigner au dossier les communications écrites avec le client (notes évolutives, courriels, formulaires, etc.);
  • Tourner face contre table les documents et/ou fermer les dossiers contenant des renseignements personnels lorsque l'employé s'absente de son bureau;
  • Limiter l'accès aux locaux aux personnes autorisées;
  • Accompagner en tout temps les visiteurs sur les lieux;
  • Ne pas discuter dans les aires publiques du bureau à propos des clients;
  • À la fin de la journée, la dernière personne à quitter les locaux/bureaux veille à ce que les portes soient verrouillées;
  • À la fin de la journée, les dossiers des clients sont rangés et conservés dans les classeurs;
  • Verrouiller les classeurs tous les soirs;
  • Chaque employé est responsable des documents transmis pour impression et doit récupérer ceux-ci dès leur impression.

8.2 Conserver les dossiers inactifs

Lorsqu'un dossier n'est plus actif, il doit être classé dans un endroit et/ou un répertoire séparé.

Il y a fermeture du dossier dans l'une ou l'autre des situations suivantes :

  • La personne a reçu tous les services dont elle avait besoin;
  • La personne nous informe qu'elle désire interrompre sa démarche ou procéder à la fermeture de son dossier;
  • Consortium Hypothécaire est sans nouvelle du client depuis plus de six (6) mois.

Une note au dossier apparait mentionnant la date ainsi que la raison pour laquelle le dossier peut être considéré comme inactif.

Les dossiers inactifs sont conservés pour une période d'au moins sept (7) ans à partir du moment où ils ont été déclarés inactifs.

L'entreposage est prévu pour une période d'au moins sept (7) ans à partir de la date où ils ont été déclarés inactifs et respecte la confidentialité des renseignements personnels détenus. Après ce délai, les dossiers peuvent être détruits.

Un exemple de registre de conservation des renseignements personnels se retrouve en annexe D de la présente politique. Cette procédure facilite la gestion des dossiers fermés et leur destruction. Elle permet également de confirmer l'existence d'un dossier au nom du client et, conformément à la politique, que le dossier est détruit, le cas échéant.

9. Accès au dossier

Le client doit pouvoir en tout temps, avoir accès à son dossier. Il doit pouvoir le consulter ou en demander une copie.

Également, le client doit pouvoir demander à ce que toute information fausse ou erronée soit corrigée dans les meilleurs délais.

10. Fermeture de dossiers

Après un délai de sept (7) ans, les dossiers peuvent être détruits. Les méthodes de destruction doivent répondre aux mêmes critères de confidentialité que les méthodes d'entreposage.

11. Détruire adéquatement les renseignements personnels et les anonymiser, le cas échéant

11.1 Détruire les renseignements personnels

Lorsque les fins auxquelles des renseignements personnels ont été recueillis ou utilisés ont été accomplies, ceux-ci sont détruits ou anonymisés sous réserve du délai de conservation prévu par la loi.

Un renseignement personnel peut être anonymisé lorsqu'il est raisonnable de prévoir dans les circonstances qu'il ne permet plus, de façon irréversible, d'identifier directement ou indirectement une personne. La conservation des renseignements anonymisés est conditionnelle à leur utilisation à des fins sérieuses ou légitimes. La destruction des renseignements est utilisée en tout temps. L'anonymisation sera possible exceptionnellement et à des fins précises seulement.

Les employés s'assurent de la protection des renseignements personnels qu'ils détruisent et ne doivent pas jeter les documents papier ou électroniques sans s'être assurés au préalable que leur contenu ne peut être retrouvé ou reconstitué.

La destruction doit se faire par le biais d'outils spécialisés, telle qu'une déchiqueteuse de bureau. Le document déchiqueté doit donner des morceaux tellement petits qu'il est impossible de reconstituer le document.

Brûler des documents à l'extérieur n'est pas considéré comme un moyen sécuritaire de destruction.

La personne responsable de la protection des renseignements personnels s'assure que l'ensemble du personnel comprenne et suive cette règle.

Recours à une entreprise spécialisée

Si le volume des documents à détruire le justifie, Consortium Hypothécaire a recours à une entreprise spécialisée. Dans l'intervalle de leur destruction, les documents sont entreposés dans un endroit fermé à clé. Ladite clé étant sous la responsabilité de la personne responsable de la protection des renseignements personnels, M. Jean-François Choquette. Cette dernière peut déléguer cette responsabilité à un employé qu'elle désigne.

Consortium Hypothécaire peut aussi avoir recours à une entreprise spécialisée pour la destruction des renseignements personnels qui sont contenus dans des programmes informatiques.

Dans les deux (2) cas, un contrat écrit avec l'entreprise spécialisée doit être établi afin de respecter les mesures de sécurité et la protection de renseignements confidentiels.

Dans le contrat, l'entreprise spécialisée doit minimalement s'engager à ce qui suit :

  • Avoir une procédure de destruction des documents qui répond aux exigences de la loi;
  • Reconnaitre la confidentialité des renseignements traités et l'interdiction de conserver ceux-ci à ses propres fins;
  • Ne pas confier la destruction des documents confidentiels à un sous-traitant à moins d'obtenir l'accord de Consortium Hypothécaire;
  • Établir les conséquences de ne pas respecter ses engagements;
  • Restreindre l'accès des lieux et aux renseignements confidentiels;
  • Faire signer un engagement de confidentialité à toute personne qui aura accès ou devra manipuler lesdits documents;
  • Faire régulièrement un compte rendu à Consortium Hypothécaire de l'état d'avancement de la destruction des documents;
  • Aviser Consortium Hypothécaire sans délai en cas de violation ou de tentative de violation des obligations relatives à la sécurité ou confidentialité des renseignements.

Dans l'éventualité que l'entreprise spécialisée ne respecte pas ses engagements, la personne responsable de la protection des renseignements personnels met fin au contrat et demande la restitution des renseignements personnels.

12. Recevoir et traiter adéquatement les plaintes et demandes d'individus souhaitant exercer leurs droits

12.1 Définition de plainte et registre

Aux fins de la présente politique, une plainte constitue l'expression d'au moins un (1) des deux (2) éléments suivants :

  • Un reproche à l'endroit d'un employé ou de Consortium Hypothécaire;
  • L'identification d'un préjudice potentiel ou réel qu'aurait subi ou pourrait subir un client.

Ne constitue pas une plainte, toute démarche informelle visant à faire corriger un problème particulier, dans la mesure où le problème est traité dans le cadre des activités régulières de l'employé et sans que le client n'ait porté plainte.

La personne responsable de la protection des renseignements personnels doit s'assurer qu'un registre des plaintes soit créé et elle est responsable de la gestion de ce registre. Chaque dossier de plainte doit y être inséré. Un exemple de registre des plaintes apparait à l'annexe E.

12.2 Procédure lors de signalement d'une plainte

Ouverture du dossier

Lors d'un signalement d'une plainte, sous quelque forme que ce soit, la personne responsable de la protection des renseignements personnels ouvre un dossier et note la date de la réception de la plainte dans le registre des plaintes. Celui qui reçoit la plainte invite le plaignant à transmettre sa plainte par écrit ou prend tous les détails par écrit relatifs à la plainte selon ce qui s'applique le mieux dans la situation.

Si c'est une personne autre que la personne responsable de la protection des renseignements personnels qui reçoit la plainte, l'employé concerné doit aviser la personne responsable de la protection des renseignements personnels sans délai.

Une copie de la plainte, si elle est écrite, ou la version consignée, si elle est verbale, doit être insérée au dossier.

Réception de la plainte

Tout client qui désire porter plainte doit le faire par écrit à l'adresse suivante :

M. Jean-François Choquette
1060, boul. Michèle-Bohec, 101, Blainville (Québec) J7C 5E2, et
418-204-7738
info@consortiumhypothecaire.com

Accusé de réception

Suite à la réception de la plainte, la personne responsable de la protection des renseignements personnels déclenche le processus de traitement d'une plainte.

Cette dernière fait parvenir un accusé de réception à la personne plaignante, et ce, sans délai ou à défaut dans les cinq (5) jours suivant la réception de la plainte.

L'accusé de réception doit contenir les renseignements suivants :

  • Une description de la plainte reçue, précisant le préjudice subi ou potentiel, le reproche fait et la mesure correctrice demandée;
  • Le nom et les coordonnées de la personne responsable du traitement de la plainte;
  • Dans le cas d'une plainte incomplète, un avis comportant une demande de complément d'information à laquelle le plaignant doit répondre dans un délai fixé, à défaut de quoi la plainte sera réputée abandonnée;
  • La section de la présente politique portant sur le traitement des plaintes. Un exemple de modèle d'accusé de réception apparait à l'annexe F.
Contenu du dossier de plainte

La personne responsable de la protection des renseignements personnels doit constituer un dossier de plainte qui comprend les éléments suivants :

  • La plainte écrite du plaignant, incluant les trois (3) éléments de la plainte (le reproche, le préjudice réel ou potentiel et la mesure correctrice demandée);
  • Le résultat du processus de traitement de la plainte (l'analyse et les documents l'appuyant);
  • La réponse finale au plaignant, écrite et motivée;
  • Les correspondances avec le plaignant et tout document relatif à la plainte.
Enquête

La personne responsable de la protection des renseignements personnels procède à l'enquête du dossier. Cette dernière recueille et analyse les commentaires et la documentation pertinente. Elle s'assure d'obtenir les renseignements supplémentaires qu'elle juge manquants, le cas échéant.

Le cas échéant, la personne responsable de la protection des renseignements personnels ou l'employé visé par la plainte avise, sans délai, son assureur en responsabilité civile professionnelle.

Rapport

Lorsque la personne responsable de la protection des renseignements personnels a terminé le traitement de la plainte, elle rédige un rapport. Elle informe ensuite la partie plaignante du résultat de son enquête par une réponse écrite et motivée. Le rapport et la réponse sont consignés dans le dossier de plainte.

12.3 Accès au dossier

Tant le client qu'un employé, ils peuvent en tout temps, avoir accès à leur dossier, pour le consulter ou en demander une copie.

Le client ou l'employé peut demander à ce que toute information fausse, inexacte, incomplète, équivoque ou erronée, soit rectifiée ou corrigée. Si sa collecte, sa communication ou sa conservation n'est pas autorisée par la loi, il peut exiger sa destruction.

Lorsque la demande n'est pas suffisamment précise ou lorsqu'une personne le requiert, la personne responsable de la protection des renseignements personnels prêtera assistance pour identifier les renseignements recherchés.

La personne concernée par un renseignement personnel peut exiger que Consortium Hypothécaire cesse la diffusion de son renseignement ou que soit désindexé tout hyperlien rattaché à son nom permettant d'accéder à ce renseignement par moyen technologique, lorsque la diffusion de ce renseignement contrevient à la loi.

La personne responsable de la protection des renseignements personnels répond par écrit à la demande d'accès ou de rectification au plus tard dans les trente (30) jours de la date de réception de la demande. À défaut de répondre dans ces délais, la personne responsable de la protection des renseignements personnels est réputée avoir refusé d'y acquiescer. La personne concernée pourra alors s'adresser à la Commission d'accès à l'information afin de faire une demande d'examen de mésentente, et ce, à l'intérieur d'un délai de trente (30) jours suivant l'échéance du délai.

L'accès aux renseignements est gratuit. Il est toutefois possible de demander des frais raisonnables pour la transcription, la reproduction ou la transmission des renseignements. La personne concernée doit être informée des frais raisonnables avant de procéder à la transcription, la reproduction ou la transmission de ces renseignements.

Le refus par la personne responsable de la protection des renseignements personnels d'acquiescer à une demande doit être motivé et indiquer sur quelle disposition de la loi le refus s'appuie, les recours qui s'offrent au requérant en vertu de la loi et le délai dans lesquelles ils peuvent être exercés. Les renseignements faisant l'objet d'un refus doivent être conservés le temps requis pour permettre à la personne concernée d'épuiser les recours prévus par la loi.

Lorsque la personne responsable de la protection des renseignements personnels acquiesce à une demande de rectification, il doit délivrer sans frais à la personne qui a fait la demande une copie de tout renseignement personnel modifié ou ajouté, ou selon la situation, une attestation de la suppression d'un tel renseignement.

Demande d'accès par un tiers concerné

Si une personne concernée ou un courtier hypothécaire demande l'accès à un dossier, il doit justifier son identité et faire sa demande d'accès par écrit. Cette demande doit être présentée à la personne responsable de la protection des renseignements personnels.

13. Gérer les incidents de confidentialité et plan de réponse aux incidents

Dès qu'une personne de Consortium Hypothécaire a des motifs de croire qu'il s'est produit un incident de confidentialité impliquant un renseignement personnel qu'elle détient, elle doit immédiatement prendre les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature se produisent.

Un incident de confidentialité comprend :

  • L'accès, la communication et l'utilisation non autorisée par la loi d'un renseignement personnel;
  • La perte d'un renseignement personnel; ou
  • Toute autre atteinte à la protection d'un tel renseignement.

Une évaluation de l'incident afin de déterminer s'il existe un risque qu'un préjudice sérieux soit causé doit être réalisée de concert avec la personne responsable de la protection des renseignements personnels. Lorsque la situation présente un risque de préjudice sérieux, la personne responsable de la protection des renseignements personnels doit notifier la personne concernée et la Commission d'accès à l'information de cet incident de confidentialité. Un exemple de notification apparaît à l'annexe G.

Consortium Hypothécaire se réserve le droit d'aviser toute personne ou tout organisme susceptible de diminuer le risque de préjudice sérieux, en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. La personne responsable de la protection des renseignements personnels s'assure que la communication est enregistrée si elle est verbale ou qu'elle est sauvegardée si elle est écrite.

Lors de l'évaluation du caractère de l'incident, la sensibilité des renseignements, les conséquences appréhendées de son utilisation et la probabilité que les renseignements soient utilisés à des fins préjudiciables doivent être considérées.

La personne responsable de la protection des renseignements personnels procède à une analyse des causes du problème et identifie les mesures qui doivent être prises pour éviter qu'un incident semblable se reproduise.

Les informations suivantes sont colligées dans un registre des incidents de confidentialité, que celles-ci représentent un risque de préjudice sérieux ou non :

  • Date de l'incident;
  • Description des circonstances de l'incident et des renseignements personnels visés par l'incident;
  • Décrire l'évaluation de la gravité du risque de préjudice et de la conclusion;
  • Les raisons pour lesquelles Consortium Hypothécaire juge que l'incident ne comporte pas de préjudice sérieux pour les individus concernés, le cas échéant;
  • Description des mesures prises en réaction de l'incident;
  • Date et description de la transmission des avis, s'il y a lieu.

Un modèle de registre des incidents de confidentialité se retrouve en annexe H de la présente politique. La personne responsable de la protection des renseignements personnels jugera quelles communications doivent être échangées avec le client concerné, le cas échéant. En tout temps, les décisions de la personne responsable de la protection des renseignements personnels doivent respecter la loi et les règlements en vigueur.

Une révision des mesures de sécurité a lieu suite à l'incident en question pour s'assurer qu'un incident de la même nature ne se reproduise pas à nouveau. La personne responsable de la protection des renseignements personnels s'assure également de communiquer ces nouvelles mesures à l'ensemble du personnel, le cas échéant.

Si les mesures prises modifient la politique actuellement en vigueur, elle s'assure d'y apporter les modifications nécessaires.

14. Vol d'identité

Si un client signale une possibilité de vol d'identité, la personne responsable de la protection des renseignements personnels doit activer un indicateur de vol d'identité dans le système informatique ainsi que dans le dossier physique.

Elle doit également s'assurer que l'assureur impliqué soit informé par écrit, sans délai.

La personne responsable de la protection des renseignements personnels doit également mettre en place des mesures additionnelles pour s'assurer de la vérification de l'identité du client.

Si le vol d'identité est rapporté à un employé, celui-ci doit immédiatement informer la personne responsable de la protection des renseignements personnels.

15. Dispositions générales

La présente politique doit être révisée annuellement par la personne responsable de la protection des renseignements personnels laquelle doit rédiger un document faisant état de son travail de révision.

Le document doit faire état notamment de la pertinence de modifier le contenu de la politique, des modifications proposées, le cas échéant, et leur justification.

S'il y a une vérification externe en cours d'année, les recommandations du rapport doivent être intégrées à la politique, le cas échéant.

La présente politique de conformité est en vigueur depuis le 17 décembre 2020 et mise à jour le 22 avril 2025.

Ce que vous devez savoir sur notre politique de protection des renseignements personnels :

  • Notre politique de protection des renseignements personnels couvre les rôles et responsabilités, les embauches, les consentements, les ententes de services. Elle sert à établir les principes généraux relatifs à la collecte, l'utilisation et la communication de renseignements personnels, la conservation des renseignements personnels et la conservation des dossiers inactifs. Elle établit comment détruire adéquatement les renseignements personnels et les anonymiser, le cas échéant, comment recevoir et traiter adéquatement les plaintes et les demandes d'individus souhaitant exercer leurs droits. Elle comprend la procédure lors de signalement d'une plainte, l'accès au dossier, comment sécuriser adéquatement les données, la conformité technologique (sécurité des données), la protection du matériel informatique et le processus de sauvegarde des données. Elle encadre les mots de passe et droits d'accès. Elle prévoit la procédure à suivre en cas de vol, de perte ou de bris, d'atteinte à l'information confidentielle ou de faille de sécurité. Finalement, elle permet de traiter les problèmes en cas de données non disponibles, la protection de l'échange d'information, la gestion du matériel informatique et des accès, la gestion des tiers agissants dans le soutien informatique, la gestion des incidents de confidentialité ainsi que le plan de réponse aux incidents et le vol d'identité.
  • Le responsable de l'application de cette politique au sein de notre organisation est M. Jean-François Choquette. Cette personne peut être jointe de la façon suivante : info@consortiumhypothecaire.com et/ou 418-204-7738.
  • En cas d'incident concernant la confidentialité des renseignements personnels, un processus de gestion de l'incident est automatiquement mis en place.
  • Nous disposons également d'un système de traitement des plaintes en lien avec la confidentialité de vos renseignements personnels.
  • Le responsable de l'application de notre système de traitement des plaintes est le même que celui qui gère les incidents. Il est joignable aux mêmes coordonnées.
  • Notre organisation, par le biais de la politique de protection des renseignements personnels, s'engage à protéger vos renseignements adéquatement.
  • Pour toute question en lien avec notre politique, vous pouvez communiquer avec le responsable aux coordonnées ci-haut mentionnées.