Cette politique vise à régir la conformité du cabinet CHARLIE. Cabinet en courtage hypothécaire. Elle doit être appliquée rigoureusement et utilisée comme un outil au service de l’exercice des courtiers hypothécaires autonomes ou des cabinets pour répondre aux exigences de l’Autorité des marchés financiers (ci-après nommée « l’AMF »).
L’objet des politiques
A. Établir les principes généraux relatifs à la collecte, l’utilisation et la communication de
renseignements personnels;
B. Conserver adéquatement les données;
C. Détruire adéquatement les renseignements personnels;
D. Anonymiser les renseignements personnels, le cas échéant;
E. Recevoir et traiter adéquatement les plaintes et demandes d’individus souhaitant
exercer leurs droits;
F. Sécuriser adéquatement les données;
G. Gérer les incidents de confidentialité et plan de réponse aux incidents.
Les objectifs
1. S’assurer que la confidentialité des renseignements personnels de nos clients est et
demeure en tout temps une priorité;
2. S’assurer que les mesures nécessaires sont prises pour protéger les renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.
1. Rôles et responsabilités
La personne responsable de l’application de la présente politique est la personne responsable de la protection des renseignements personnels, Mme Charlie Prince. Le titre et les coordonnées de la personne responsable de la protection des renseignements personnels sont publiés sur le site Internet de CHARLIE. Cabinet en courtage hypothécaire
Les membres du personnel de CHARLIE. Cabinet en courtage hypothécaire doivent se conformer à la présente politique et mettre en place les mesures de sécurité, le tout avec le soutien et l’accompagnement de la personne responsable de la protection des renseignements personnels.
2. Définition de renseignement personnel
La définition d’un renseignement personnel est la suivante : « Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier. »
Une donnée est réputée être un renseignement personnel dès sa collecte si en lui
adjoignant d’autres informations elle peut être utilisée pour identifier une personne.
À titre indicatif, mais non limitatif, voici des exemples de renseignements personnels : nom, religion, état matrimonial, niveau d’instruction, âge, taille, poids, dossier médical, groupe sanguin, ADN, signature vocale, empreintes digitales, revenus, achats, habitudes de consommation, renseignements bancaires, numéro d’assurance sociale, adresse civique, déclaration de revenus, rapport de solvabilité, donnée de géolocalisation, identifiant en ligne, adresse IP, date de naissance, pièces d’identité, etc.
Les renseignements personnels concernant l’exercice d’une fonction au sein d’une entreprise, tels que son nom, son titre, sa fonction, l’adresse de l’entreprise, l’adresse de courrier électronique et le numéro de téléphone de son milieu de travail ne sont pas considérés comme des renseignements personnels au regard de la Loi sur la protection des renseignements personnels dans le secteur privé.
Les obligations de protection des renseignements personnels s’appliquent aux renseignements quelle que soit la nature de leur support et quelle que soit la forme sous laquelle ils sont accessibles : écrite, graphique, sonore, visuelle, informatisée ou autre.
3. Définition de renseignement personnel sensible
Un renseignement personnel est considéré sensible lorsque, de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée.
4. Embauche
Tout employé doit signer une entente de confidentialité.
Un exemple d’entente de confidentialité à être signée par les employés apparait à l’annexe A.
5. Entente de services
La personne qui conclut une entente de services avec un fournisseur dont les activités
pourraient permettre un accès aux renseignements personnels doit s’assurer que
l’offre de service inclut un engagement à cet effet. Sinon, un engagement de
confidentialité doit être signé.
Un exemple d’engagement de confidentialité à être signé par le fournisseur apparait à l’annexe B.
6. Consentement
En tout temps, le courtier hypothécaire doit obtenir une autorisation écrite dûment signée par son client, qui l’autorise à recueillir, utiliser, communiquer et conserver les renseignements personnels le concernant ou concernant son entreprise ou les employés de son entreprise, le cas échéant.
Un exemple de consentement apparait à l’annexe C.
7. Établir les principes généraux relatifs à la collecte, l’utilisation et la communication de renseignement personnel dans un contexte autre qu’une analyse des besoins
Vous référer à la politique de conformité pour tout ce qui touche la prise de
renseignements dans un contexte d’analyse des besoins.
7.1. Collection des renseignements personnels
Pour recueillir des renseignements personnels sur autrui, il faut un intérêt sérieux et légitime. Il est impossible de déroger à ce principe, et ce, même avec le consentement de la personne concernée. Les renseignements doivent être recueillis par des moyens licites uniquement.
La personne qui recueille des renseignements personnels sur autrui informe la personne concernée au moment de la collecte ou préalablement à celle-ci, des fins auxquelles ces renseignements sont recueillis, des moyens par lesquels les renseignements sont recueillis, des droits d’accès et de rectification prévus par la loi et de son droit de retirer son consentement à la communication ou l’utilisation des renseignements recueillis.
Renseignements recueillis auprès d’un tiers
Dans l’éventualité où des renseignements personnels sont recueillis auprès d’un tiers, le consentement de la personne concernée doit être obtenu préalablement. Toutefois, il est possible de recueillir des renseignements personnels auprès d’un tiers sans le consentement de la personne concernée lorsque la loi l’autorise.
Lorsque des renseignements personnels sont recueillis auprès d’une autre personne qui exploite une entreprise, la personne qui recueille les renseignements informe, à la demande de la personne concernée, la source de ces renseignements.
De plus, sur demande, la personne concernée pourra être informée en termes clairs et simples des renseignements personnels recueillis auprès d’elle, des catégories de personnes ayant accès à ces renseignements au sein de CHARLIE. Cabinet en courtage hypothécaire de la durée de conservation des renseignements et des coordonnées du responsable de la protection des renseignements personnels.
Renseignements concernant un mineur de moins de 14 ans
Les renseignements personnels concernant un mineur de moins de 14 ans ne peuvent être recueillis auprès de celui-ci sans avoir obtenu préalablement le consentement du titulaire, de l’autorité parentale ou du tuteur, sauf lorsque cette collecte est manifestement au bénéfice du mineur.
7.2. L’utilisation des renseignements personnels
Les renseignements personnels sont seulement utilisés aux fins pour lesquelles ils ont été recueillis, à moins du consentement de la personne concernée.
Utilisation à une fin autre
Un renseignement personnel peut être utilisé à d'autres fins sans le consentement de la personne concernée dans les situations prévues par la loi, lesquelles comprennent notamment les cas suivants :
- Lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il a été recueilli;
- Lorsque son utilisation est manifestement au bénéfice de la personne concernée;
- Lorsque son utilisation est nécessaire à des fins de prévention et de détection de la fraude ou d’évaluation et d’amélioration des mesures de protection et de sécurité;
- Lorsque son utilisation est nécessaire à des fins d’études, de recherche ou de production de statistiques et qu’il est dépersonnalisé.
Accès limité
L’accès aux renseignements personnels dans un dossier doit être limité aux employés qui doivent connaitre les informations pour exercer leurs fonctions. Au surplus, les renseignements concernés doivent être nécessaires à l’exercice des fonctions de l’employé ou à l’exécution de son mandat.
7.3. Communication des renseignements personnels
Il est interdit de communiquer des renseignements personnels sur le client à des tiers, sans avoir obtenu l’autorisation du client au préalable, à l’exception des cas permis par la loi. Le consentement doit être manifesté de façon expresse dès qu’il s’agit d’un renseignement personnel sensible.
L’employé à qui on demande un renseignement personnel doit refuser de le divulguer si sa divulgation révélait un renseignement personnel sur un tiers ou l’existence d’un tel renseignement et que cette divulgation est susceptible de nuire à ce tiers.
Sauf s’il s’agit d’une situation qui peut mettre en danger la vie, la santé ou la sécurité du tiers concerné ou qu’il y consent.
8. Conserver adéquatement les données
8.1. Conserver les renseignements personnels
Afin de s’assurer de bien conserver les renseignements personnels contenus dans
les dossiers actifs, les employés prennent les mesures suivantes :
- Consigner au dossier les communications écrites avec le client (notes évolutives, courriels, formulaires, etc.);
- Tourner face contre table les documents et/ou fermer les dossiers contenant des
renseignements personnels lorsque l’employé s’absente de son bureau;
- Limiter l’accès aux locaux aux personnes autorisées;
- Accompagner en tout temps les visiteurs sur les lieux;
- Ne pas discuter dans les aires publiques du bureau à propos des clients;
- À la fin de la journée, la dernière personne à quitter les locaux/bureaux veille à ce que les portes soient verrouillées;
- À la fin de la journée, les dossiers des clients sont rangés et conservés dans les classeurs;
- Verrouiller les classeurs tous les soirs;
- Chaque employé est responsable des documents transmis pour impression et doit récupérer ceux-ci dès leur impression.
8.2. Conserver les dossiers inactifs
Lorsqu’un dossier n’est plus actif, il doit être classé dans un endroit et/ou un
répertoire séparé.
Il y a fermeture du dossier dans l’une ou l’autre des situations suivantes :
- La personne a reçu tous les services dont elle avait besoin;
- La personne nous informe qu’elle désire interrompre sa démarche ou procéder
à la fermeture de son dossier;
- CHARLIE. Cabinet en courtage hypothécaire est sans nouvelle du client depuis plus de six (6) mois.
Une note au dossier apparait mentionnant la date ainsi que la raison pour laquelle le dossier peut être considéré comme inactif.
Les dossiers inactifs sont conservés pour une période d’au moins sept (7) ans à
partir du moment où ils ont été déclarés inactifs.
L’entreposage est prévu pour une période d’au moins sept (7) ans à partir de la date où ils ont été déclarés inactifs et respecte la confidentialité des renseignements personnels détenus. Après ce délai, les dossiers peuvent être détruits.
Un exemple de registre de conservation des renseignements personnels se retrouve en annexe D de la présente politique. Cette procédure facilite la gestion des dossiers fermés et leur destruction. Elle permet également de confirmer l’existence d’un dossier au nom du client et, conformément à la politique, que le dossier est détruit, le cas échéant.
9. Accès au dossier
Le client doit pouvoir en tout temps, avoir accès à son dossier. Il doit pouvoir le consulter ou en demander une copie.
Également, le client doit pouvoir demander à ce que toute information fausse ou erronée soit corrigée dans les meilleurs délais.
10. Fermeture de dossiers
Après un délai de sept (7) ans, les dossiers peuvent être détruits. Les méthodes de destruction doivent répondre aux mêmes critères de confidentialité que les méthodes d’entreposage.
11. Détruire adéquatement les renseignements personnels et les anonymiser, le cas échéant
11.1. Détruire les renseignements personnels
Lorsque les fins auxquelles des renseignements personnels ont été recueillis ou utilisés ont été accomplies, ceux-ci sont détruits ou anonymisés sous réserve du délai de conservation prévu par la loi.
Un renseignement personnel peut être anonymisé lorsqu’il est raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement une personne. La conservation des renseignements anonymisés est conditionnelle à leur utilisation à des fins sérieuses ou légitimes. La destruction des renseignements est utilisée en tout temps. L’anonymisation sera possible exceptionnellement et à des fins précises seulement.
Les employés s’assurent de la protection des renseignements personnels qu’ils détruisent et ne doivent pas jeter les documents papier ou électroniques sans s’être assurés au préalable que leur contenu ne peut être retrouvé ou reconstitué.
La destruction doit se faire par le biais d’outils spécialisés, telle qu’une déchiqueteuse de bureau. Le document déchiqueté doit donner des morceaux tellement petits qu’il est impossible de reconstituer le document.
Brûler des documents à l’extérieur n’est pas considéré comme un moyen sécuritaire
de destruction.
La personne responsable de la protection des renseignements personnels s’assure que l’ensemble du personnel comprenne et suive cette règle.
Recours à une entreprise spécialisée
Si le volume des documents à détruire le justifie, CHARLIE. Cabinet en courtage hypothécaire a recours à une entreprise spécialisée. Dans l’intervalle de leur destruction, les documents sont entreposés dans un endroit fermé à clé. Ladite clé étant sous la responsabilité de la personne responsable de la protection des renseignements personnels, Mme Charlie Prince. Cette dernière peut déléguer cette responsabilité à un employé qu’elle désigne.
CHARLIE. Cabinet en courtage hypothécaire peut aussi avoir recours à une entreprise spécialisée pour la destruction des renseignements personnels qui sont contenus dans des programmes informatiques.
Dans les deux (2) cas, un contrat écrit avec l’entreprise spécialisée doit être établi afin de respecter les mesures de sécurité et la protection de renseignements confidentiels.
Dans le contrat, l’entreprise spécialisée doit minimalement s’engager à ce qui suit :
- Avoir une procédure de destruction des documents qui répond aux exigences de la loi;
- Reconnaitre la confidentialité des renseignements traités et l’interdiction de
conserver ceux-ci à ses propres fins;
- Ne pas confier la destruction des documents confidentiels à un sous-traitant à
moins d’obtenir l’accord de CHARLIE. Cabinet en courtage hypothécaire.
- Établir les conséquences de ne pas respecter ses engagements;
- Restreindre l’accès des lieux et aux renseignements confidentiels;
- Faire signer un engagement de confidentialité à toute personne qui aura accès ou devra manipuler lesdits documents;
- Faire régulièrement un compte rendu à CHARLIE. Cabinet en courtage hypothécaire de l’état d’avancement de la destruction des documents;
- Aviser CHARLIE. Cabinet en courtage hypothécaire sans délai en cas de violation ou de tentative de violation des obligations relatives à la sécurité ou confidentialité des renseignements.
Dans l’éventualité que l’entreprise spécialisée ne respecte pas ses engagements, la personne responsable de la protection des renseignements personnels met fin au contrat et demande la restitution des renseignements personnels.
12. Recevoir et traiter adéquatement les plaintes et demandes d’individus
souhaitant exercer leurs droits
12.1. Définition de plainte et registre
Aux fins de la présente politique, une plainte constitue l’expression d’au moins un
(1) des deux (2) éléments suivants :
- Un reproche à l’endroit d’un employé ou de CHARLIE. Cabinet en courtage hypothécaire :
- L’identification d’un préjudice potentiel ou réel qu’aurait subi ou pourrait subir un
client.
Ne constitue pas une plainte, toute démarche informelle visant à faire corriger un problème particulier, dans la mesure où le problème est traité dans le cadre des activités régulières de l’employé et sans que le client n’ait porté plainte.
La personne responsable de la protection des renseignements personnels doit s’assurer qu’un registre des plaintes soit créé et elle est responsable de la gestion de ce registre. Chaque dossier de plainte doit y être inséré. Un exemple de registre des plaintes apparait à l’annexe E.
12.2. Procédure lors de signalement d’une plainte
Ouverture du dossier
Lors d’un signalement d’une plainte, sous quelque forme que ce soit, la personne responsable de la protection des renseignements personnels ouvre un dossier et note la date de la réception de la plainte dans le registre des plaintes. Celui qui reçoit la plainte invite le plaignant à transmettre sa plainte par écrit ou prend tous les détails par écrit relatifs à la plainte selon ce qui s’applique le mieux dans la situation.
Si c’est une personne autre que la personne responsable de la protection des renseignements personnels qui reçoit la plainte, l’employé concerné doit aviser la personne responsable de la protection des renseignements personnels sans délai.
Une copie de la plainte, si elle est écrite, ou la version consignée, si elle est verbale, doit être insérée au dossier.
Réception de la plainte
Tout client qui désire porter plainte doit le faire par écrit à l’adresse suivante :
Suite à la réception de la plainte, la personne responsable de la protection des
renseignements personnels déclenche le processus de traitement d’une plainte.
Cette dernière fait parvenir un accusé de réception à la personne plaignante, et ce, sans délai ou à défaut dans les cinq (5) jours suivant la réception de la plainte.
L’accusé de réception doit contenir les renseignements suivants :
- Une description de la plainte reçue, précisant le préjudice subi ou potentiel, le reproche fait et la mesure correctrice demandée;
- Le nom et les coordonnées de la personne responsable du traitement de la plainte;
- Dans le cas d’une plainte incomplète, un avis comportant une demande de complément d’information à laquelle le plaignant doit répondre dans un délai fixé, à défaut de quoi la plainte sera réputée abandonnée;
- La section de la présente politique portant sur le traitement des plaintes. Un exemple de modèle d’accusé de réception apparait à l’annexe F. Contenu du dossier de plainte
La personne responsable de la protection des renseignements personnels doit
constituer un dossier de plainte qui comprend les éléments suivants :
- La plainte écrite du plaignant, incluant les trois (3) éléments de la plainte (le reproche, le préjudice réel ou potentiel et la mesure correctrice demandée);
- Le résultat du processus de traitement de la plainte (l’analyse et les documents l’appuyant);
- La réponse finale au plaignant, écrite et motivée;
- Les correspondances avec le plaignant et tout document relatif à la plainte.
Enquête
La personne responsable de la protection des renseignements personnels procède à l’enquête du dossier. Cette dernière recueille et analyse les commentaires et la documentation pertinente. Elle s’assure d’obtenir les renseignements supplémentaires qu’elle juge manquants, le cas échéant.
Le cas échéant, la personne responsable de la protection des renseignements personnels ou l’employé visé par la plainte avise, sans délai, son assureur en responsabilité civile professionnelle.
Rapport
Lorsque la personne responsable de la protection des renseignements personnels a terminé le traitement de la plainte, elle rédige un rapport. Elle informe ensuite la partie plaignante du résultat de son enquête par une réponse écrite et motivée. Le rapport et la réponse sont consignés dans le dossier de plainte.
12.3. Accès au dossier
Tant le client qu’un employé, ils peuvent en tout temps, avoir accès à leur dossier,
pour le consulter ou en demander une copie.
Le client ou l’employé peut demander à ce que toute information fausse, inexacte, incomplète, équivoque ou erronée, soit rectifiée ou corrigée. Si sa collecte, sa communication ou sa conservation n’est pas autorisée par la loi, il peut exiger sa destruction.
Lorsque la demande n’est pas suffisamment précise ou lorsqu’une personne le requiert, la personne responsable de la protection des renseignements personnels prêtera assistance pour identifier les renseignements recherchés.
La personne concernée par un renseignement personnel peut exiger que CHARLIE. Cabinet en courtage hypothécaire cesse la diffusion de son renseignement ou que soit désindexé tout hyperlien rattaché à son nom permettant d’accéder à ce renseignement par moyen technologique, lorsque la diffusion de ce renseignement contrevient à la loi.
La personne responsable de la protection des renseignements personnels répond par écrit à la demande d’accès ou de rectification au plus tard dans les trente (30) jours de la date de réception de la demande. À défaut de répondre dans ces délais, la personne responsable de la protection des renseignements personnels est réputée avoir refusé d’y acquiescer. La personne concernée pourra alors s’adresser à la Commission d’accès à l’information afin de faire une demande d’examen de mésentente, et ce, à l’intérieur d’un délai de trente (30) jours suivant l’échéance du délai.
L’accès aux renseignements est gratuit. Il est toutefois possible de demander des frais raisonnables pour la transcription, la reproduction ou la transmission des renseignements. La personne concernée doit être informée des frais raisonnables avant de procéder à la transcription, la reproduction ou la transmission de ces renseignements.
Le refus par la personne responsable de la protection des renseignements personnels d’acquiescer à une demande doit être motivé et indiquer sur quelle disposition de la loi le refus s’appuie, les recours qui s’offrent au requérant en vertu de la loi et le délai dans lesquels ils peuvent être exercés. Les renseignements faisant l’objet d’un refus doivent être conservés le temps requis pour permettre à la personne concernée d’épuiser les recours prévus par la loi.
Lorsque la personne responsable de la protection des renseignements personnels acquiesce à une demande de rectification, il doit délivrer sans frais à la personne qui a fait la demande une copie de tout renseignement personnel modifié ou ajouté, ou selon la situation, une attestation de la suppression d’un tel renseignement.
Demande d’accès par un tiers concerné
Si une personne concernée ou un courtier hypothécaire demande l’accès à un dossier, il doit justifier son identité et faire sa demande d’accès par écrit. Cette demande doit être présentée à la personne responsable de la protection des renseignements personnels.
13. Gérer les incidents de confidentialité et plan de réponse aux incidents
Dès qu’une personne de CHARLIE. Cabinet en courtage hypothécaire a des motifs de croire qu’il s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient, elle doit immédiatement prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature se produisent.
Un incident de confidentialité comprend :
- L’accès, la communication et l’utilisation non autorisée par la loi d’un
renseignement personnel;
- La perte d’un renseignement personnel; ou
- Toute autre atteinte à la protection d’un tel renseignement.
Une évaluation de l’incident afin de déterminer s’il existe un risque qu’un préjudice sérieux soit causé doit être réalisée de concert avec la personne responsable de la protection des renseignements personnels. Lorsque la situation présente un risque de préjudice sérieux, la personne responsable de la protection des renseignements personnels doit notifier la personne concernée et la Commission d’accès à l’information de cet incident de confidentialité. Un exemple de notification apparait à l’annexe G.
CHARLIE. Cabinet en courtage hypothécaire se réserve le droit d’aviser toute personne ou tout organisme susceptible de diminuer le risque de préjudice sérieux, en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. La personne responsable de la protection des renseignements personnels s’assure que la communication est enregistrée si elle est verbale ou qu’elle est sauvegardée si elle est écrite.
Lors de l’évaluation du caractère de l’incident, la sensibilité des renseignements, les conséquences appréhendées de son utilisation et la probabilité que les renseignements soient utilisés à des fins préjudiciables doivent être considérées.
La personne responsable de la protection des renseignements personnels procède à une analyse des causes du problème et identifie les mesures qui doivent être prises pour éviter qu’un incident semblable se reproduise.
Les informations suivantes sont colligées dans un registre des incidents de confidentialité, que celles-ci représentent un risque de préjudice sérieux ou non :
- Date de l’incident;
- Description des circonstances de l’incident et des renseignements personnels visés par l’incident;
- Décrire l’évaluation de la gravité du risque de préjudice et de la conclusion;
- Les raisons pour lesquelles CHARLIE. Cabinet en courtage hypothécaire juge que l’incident ne
comporte pas de préjudice sérieux pour les individus concernés, le cas échéant;
- Description des mesures prises en réaction de l’incident;
- Date et description de la transmission des avis, s’il y a lieu.
Un modèle de registre des incidents de confidentialité se retrouve en annexe H de la présente politique. La personne responsable de la protection des renseignements personnels jugera quelles communications doivent être échangées avec le client concerné, le cas échéant. En tout temps, les décisions de la personne responsable de la protection des renseignements personnels doivent respecter la loi et les règlements en vigueur.
Une révision des mesures de sécurité a lieu suite à l’incident en question pour s’assurer qu’un incident de la même nature ne se reproduise pas à nouveau. La personne responsable de la protection des renseignements personnels s’assure également de communiquer ces nouvelles mesures à l’ensemble du personnel, le cas échéant.
Si les mesures prises modifient la politique actuellement en vigueur, elle s’assure d’y
apporter les modifications nécessaires.
14. Vol d’identité
Si un client signale une possibilité de vol d’identité, la personne responsable de la protection des renseignements personnels doit activer un indicateur de vol d’identité dans le système informatique ainsi que dans le dossier physique.
Elle doit également s’assurer que l’assureur impliqué soit informé par écrit, sans délai.
La personne responsable de la protection des renseignements personnels doit
également mettre en place des mesures additionnelles pour s’assurer de la vérification de l’identité du client.
Si le vol d’identité est rapporté à un employé, celui-ci doit immédiatement informer la personne responsable de la protection des renseignements personnels.
15. Dispositions générales
La présente politique doit être révisée annuellement par la personne responsable de de la protection des renseignements personnels laquelle doit rédiger un document faisant état de son travail de révision.
Le document doit faire état notamment de la pertinence de modifier le contenu de la politique, des modifications proposées, le cas échéant, et leur justification.
S’il y a une vérification externe en cours d’année, les recommandations du rapport
doivent être intégrées à la politique, le cas échéant.
La présente politique de conformité est en vigueur depuis le 17 décembre 2020 et mise à jour le 22 avril 2025.
ANNEXE A – Engagement de confidentialité / employé
Entente de confidentialité - employé de CHARLIE. Cabinet en courtage hypothécaire
Je soussigné(e),
Charlie Prince employé (e) de CHARLIE. Cabinet en courtage hypothécaire m’engage à garder strictement confidentiel et à ne pas divulguer les renseignements personnels confiés par tout client ou par les autres employés ou encore mon employeur, incluant, mais sans limiter la généralité de ce qui précède, les informations personnelles, renseignements financiers, coordonnées ou toute information contenue dans tout document ou autre support et à ne pas les communiquer à des tiers non autorisés, par quelque moyen que ce soit, sans le consentement écrit et exprès de mon employeur ou du client, le cas échéant.
Je m’engage à prendre toutes les mesures nécessaires afin de préserver la confidentialité des renseignements personnels de tout client et de mon employeur, à ne pas faire usage desdits renseignements personnels autrement que pour les fins auxquelles ils ont été recueillis et à prendre des mesures raisonnables afin que soit maintenue la confidentialité de tout renseignement divulgué ou communiqué à une personne autorisée dans les limites permises par la loi, le cas échéant.
Signé à Québec , ce 19 juin 2025
ANNEXE B – Engagement de confidentialité / fournisseur
Engagement de confidentialité — Fournisseur
Je soussigné(e),
, fournisseur de l’entreprise m’engage en toute circonstance à garder strictement confidentiel et à ne pas divulguer les renseignements personnels auxquels je peux avoir accès, incluant, mais sans limiter la généralité de ce qui précède, les informations personnelles, renseignements financiers, coordonnées ou toute information contenue dans tout document ou autre support et à ne pas les communiquer à des tiers non autorisés, par quelque moyen que ce soit.
Je m’engage à prendre les mesures nécessaires afin de préserver la confidentialité des renseignements personnels de tout client ou contractant, à ne pas faire usage desdits renseignements personnels autrement que pour les fins auxquelles ils ont été mis en ma possession et à prendre des mesures nécessaires afin que soit maintenue la confidentialité de tout renseignement personnel détenu ou auquel j’ai accès le cas échéant.
Signé à , ce
ANNEXE C – Autorisation visant la constitution d’un dossier client et de la
communication par courriel
J’autorise CHARLIE. Cabinet en courtage hypothécaire à constituer un dossier client à mon égard et à le tenir à jour.
J’autorise également les courtiers hypothécaires et employés de CHARLIE. Cabinet en courtage hypothécaire à recueillir des renseignements personnels à mon égard aux fins de
.
J’autorise l’utilisation du courriel comme mode de transmission des renseignements et de communications pour les fins de constitution et gestion d’un dossier client.
Les renseignements personnels contenus à mon dossier pourront être communiqués aux employés, aux personnes autorisées par la loi ainsi qu’aux personnes à qui j’ai accordé un tel accès.
Je peux à tout moment demander au responsable de la protection des renseignements personnels de Consortium Hypothécaire d’avoir accès aux informations que mon dossier contient à mon égard.
Cette autorisation est valide jusqu’à sa révocation. Je peux à tout moment révoquer cette
autorisation par avis écrit au responsable de la protection des renseignements personnels.
Signé le
ANNEXE D – Registre de conservation des dossiers
| No. de dossier | Nom du client | Nom de l’employé | Date d’ouverture | Date de fermeture | Date prévue de destruction | Initiales du responsable | Date de destruction effective | Par | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | |
ANNEXE E – Registre des plaintes
| Nom du plaignant | | Adresse | | | | Numéro de téléphone | | Source de la plainte | Courriel Lettre Appel téléphonique En personne | Nature de la plainte | | | | | | Date de réception | | Date de l’envoi de l’accusé de réception | | Date du début de l’enquête | | Résultat de l’enquête | | | | | | | Date à laquelle le résultat de l’enquête est communiqué au client |
ANNEXE F – Modèle d’accusé de réception des plaintes en lien avec la protection
des renseignements personnels
Blainville, le
Nom du client Adresse
Ville (Province) Code postal
| | | OBJET : Plainte au sujet de la protection des renseignements personnels
Madame, Monsieur,
Nous accusons réception de votre (lettre, courriel ou appel téléphonique) en date du , reçu par . Votre plainte a été acheminée à la personne responsable de la protection des renseignements personnels au sein de notre organisation.
La nature de votre plainte, telle que vous nous l’avez décrite, est la suivante :
(Description de la plainte)
| | |
Nous nous engageons à traiter votre plainte dans les meilleurs délais. Nous vous communiquerons le résultat de notre enquête, par écrit, dès que celle-ci sera terminée. Si nous ne pouvons conclure notre enquête dans les soixante (60) jours de la date de la présente, nous vous informerons de l’avancement de l’enquête.
Vous trouverez également ci-joint la version complète de notre politique de protection des renseignements personnels.
Si vous avez des questions, vous pouvez communiquer avec le / la soussigné(e).
ANNEXE H – Modèle registre des incidents de confidentialité
| Date de l’incident | | Nom des personnes visées par l’incident | | Renseignements visés par l’incident | | Niveau de sensibilité des renseignements visés | Faible | Moyen | Élevé | ☐ | ☐ | ☐ | Circonstances de l’incident | | Conséquence appréhendée de l’utilisation potentielle des renseignements | Aucune | Mitigée | Grave | ☐ | ☐ | ☐ | Date ou période de l’incident | | Date ou période de la prise de connaissance de l’incident | | Risque qu’un préjudice sérieux soit causé Décrire les éléments qui amènent l’organisme à conclure qu’il existe ou non un risque qu’un préjudice sérieux soit causé aux personnes concernées. | ☐ Oui ☐ Non | Transmission des avis à la Commission d’accès à l’information et aux personnes concernées | Date de l’avis à la Commission d’accès à l’information : Date(s) de l’avis aux personnes concernées : Avis public : ☐ Oui ☐ Non Raison : | Description des mesures prises par l’organisation |
