Politique sur la protection des renseignements personnels

COURTIER HYPOTHÉCAIRE-REPRÉSENTANT

AUTONOME

Préambule ......................................................................................................................................... 4

L’objet des politiques ............................................................................................................... 4

Les objectifs ....................................................................................................................................... 4

1. Rôles et responsabilités ............................................................................................................ 4

2. Définition de renseignement personnel ..................................................................................... 5

3. Définition de renseignement personnel sensible ....................................................................... 5

4. Embauche ................................................................................................................................. 5

5. Entente de services ................................................................................................................... 5

6. Consentement ........................................................................................................................... 6

7. Établir les principes généraux relatifs à la collecte, l’utilisation et la communication de

renseignement personnel dans un contexte autre qu’une analyse des besoins ............................. 6

7.1. Collection des renseignements personnels .......................................................................... 6

Renseignements recueillis auprès d’un tiers .............................................................................. 6

Renseignements concernant un mineur de moins de 14 ans ............................................................ 7

7.2. L’utilisation des renseignements personnels .................................................................. 7

Utilisation à une fin autre ................................................................................................................... 7

Accès limité ........................................................................................................................................ 7

7.3. 8. 8.1. 8.2. Communication des renseignements personnels ................................................................. 8

Conserver adéquatement les données ..................................................................................... 8

Conserver les renseignements personnels ........................................................................... 8

Conserver les dossiers inactifs ............................................................................................. 9

9. 10. 11. Accès au dossier ....................................................................................................................... 9

Fermeture de dossiers .......................................................................................................... 9

Détruire adéquatement les renseignements personnels et les anonymiser, le cas échéant

10

11.1. Détruire les renseignements personnels ............................................................................ 10

Recours à une entreprise spécialisée .............................................................................................. 10

12. Recevoir et traiter adéquatement les plaintes et demandes d’individus souhaitant exercer

leurs droits ....................................................................................................................................... 11

12.1. Définition de plainte et registre ........................................................................................... 11

12.2. Procédure lors de signalement d’une plainte ................................................................ 12

Ouverture du dossier ....................................................................................................................... 12

Réception de la plainte .................................................................................................................... 12Accusé de réception ........................................................................................................................ 12

Contenu du dossier de plainte ......................................................................................................... 13

Enquête ........................................................................................................................................... 13

Rapport ............................................................................................................................................ 13

12.3. Accès au dossier ................................................................................................................ 14

Demande d’accès par un tiers concerné .................................................................................. 15

13. Gérer les incidents de confidentialité et plan de réponse aux incidents .............................. 15

14. Vol d’identité ............................................................................................................. 16

15. Dispositions générales ........................................................................................................ 17

ANNEXE A – Engagement de confidentialité / employé .................................................................. 18

ANNEXE B – Engagement de confidentialité / fournisseur .............................................................. 19

ANNEXE C – Autorisation visant la constitution d’un dossier client et de la communication par

courriel ............................................................................................................................................. 20

ANNEXE D – Registre de conservation des dossiers ...................................................................... 21

ANNEXE E – Registre des plaintes .................................................................................................. 22

ANNEXE F – Modèle d’accusé de réception des plaintes en lien avec la protection des

renseignements personnels ............................................................................................................. 23

ANNEXE G – Modèle de notification d’un incident de confidentialité ........................................... 24

ANNEXE H – Modèle registre des incidents de confidentialité ........................................................ 25
Préambule

C. D. Cette politique vise à régir la conformité du représentant autonome Consortium

Hypothécaire. Elle doit être appliquée rigoureusement et utilisée comme un outil au service

de l’exercice des courtiers hypothécaires autonomes ou des cabinets pour répondre aux

exigences de l’Autorité des marchés financiers (ci-après nommée « l’AMF »).

A. Établir les principes généraux relatifs à la collecte, l’utilisation et la communication de

renseignements personnels;

B. Conserver adéquatement les données;

Détruire adéquatement les renseignements personnels;

Anonymiser les renseignements personnels, le cas échéant;

E. Recevoir et traiter adéquatement les plaintes et demandes d’individus souhaitant

exercer leurs droits;

F. Sécuriser adéquatement les données;

G. Gérer les incidents de confidentialité et plan de réponse aux incidents.

1. S’assurer que la confidentialité des renseignements personnels de nos clients est et

demeure en tout temps une priorité;

S’assurer que les mesures nécessaires sont prises pour protéger les renseignements

personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont

raisonnables compte tenu de leur sensibilité, de la finalité de leur utilisation, de leur

quantité, de leur répartition et de leur support.

La personne responsable de l’application de la présente politique est la personne

responsable de la protection des renseignements personnels, M. Jean-François

Choquette. Le titre et les coordonnées de la personne responsable de la protection

2. des renseignements personnels sont publiés sur le site Internet de Consortium

Hypothécaire.

Les membres du personnel de Consortium Hypothécaire doivent se conformer à la

présente politique et mettre en place les mesures de sécurité, le tout avec le soutien

et l’accompagnement de la personne responsable de la protection des renseignements

personnels.

Politique sur la protection des renseignements personnels

Page 4 de 252. Définition de renseignement personnel

La définition d’un renseignement personnel est la suivante : « Est un renseignement

personnel, tout renseignement qui concerne une personne physique et permet,

directement ou indirectement, de l’identifier. »

Une donnée est réputée être un renseignement personnel dès sa collecte si en lui

adjoignant d’autres informations elle peut être utilisée pour identifier une personne.

À titre indicatif, mais non limitatif, voici des exemples de renseignements personnels :

nom, religion, état matrimonial, niveau d’instruction, âge, taille, poids, dossier médical,

groupe sanguin, ADN, signature vocale, empreintes digitales, revenus, achats,

habitudes de consommation, renseignements bancaires, numéro d’assurance sociale,

adresse civique, déclaration de revenus, rapport de solvabilité, donnée de

géolocalisation, identifiant en ligne, adresse IP, date de naissance, pièces d’identité,

etc.

Les renseignements personnels concernant l’exercice d’une fonction au sein d’une

entreprise, tels que son nom, son titre, sa fonction, l’adresse de l’entreprise, l’adresse

de courrier électronique et le numéro de téléphone de son milieu de travail ne sont pas

considérés comme des renseignements personnels au regard de la Loi sur la

protection des renseignements personnels dans le secteur privé.

Les obligations de protection des renseignements personnels s’appliquent aux

renseignements quelle que soit la nature de leur support et quelle que soit la forme

sous laquelle ils sont accessibles : écrite, graphique, sonore, visuelle, informatisée ou

autre.

Un renseignement personnel est considéré sensible lorsque, de par sa nature

notamment médicale, biométrique ou autrement intime, ou en raison du contexte de

son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable

en matière de vie privée.

Tout employé doit signer une entente de confidentialité.

Un exemple d’entente de confidentialité à être signée par les employés apparait à

l’annexe A.

La personne qui conclut une entente de services avec un fournisseur dont les activités

pourraient permettre un accès aux renseignements personnels doit s’assurer que

Politique sur la protection des renseignements personnels

Page 5 de 25l’offre de service inclut un engagement à cet effet. Sinon, un engagement de

confidentialité doit être signé.

Un exemple d’engagement de confidentialité à être signé par le fournisseur apparait à

l’annexe B.

7. En tout temps, le courtier hypothécaire doit obtenir une autorisation écrite dûment

signée par son client, qui l’autorise à recueillir, utiliser, communiquer et conserver les

renseignements personnels le concernant ou concernant son entreprise ou les

employés de son entreprise, le cas échéant.

Un exemple de consentement apparait à l’annexe C.

Vous référer à la politique de conformité pour tout ce qui touche la prise de

renseignements dans un contexte d’analyse des besoins.

Pour recueillir des renseignements personnels sur autrui, il faut un intérêt sérieux

et légitime. Il est impossible de déroger à ce principe, et ce, même avec le

consentement de la personne concernée. Les renseignements doivent être

recueillis par des moyens licites uniquement.

La personne qui recueille des renseignements personnels sur autrui informe la

personne concernée au moment de la collecte ou préalablement à celle-ci, des fins

auxquelles ces renseignements sont recueillis, des moyens par lesquels les

renseignements sont recueillis, des droits d’accès et de rectification prévus par la

loi et de son droit de retirer son consentement à la communication ou l’utilisation

des renseignements recueillis.

Dans l’éventualité où des renseignements personnels sont recueillis auprès d’un

tiers, le consentement de la personne concernée doit être obtenu préalablement.

Toutefois, il est possible de recueillir des renseignements personnels auprès d’un

tiers sans le consentement de la personne concernée lorsque la loi l’autorise.

Lorsque des renseignements personnels sont recueillis auprès d’une autre

personne qui exploite une entreprise, la personne qui recueille les renseignements

informe, à la demande de la personne concernée, la source de ces renseignements.

Politique sur la protection des renseignements personnels

Page 6 de 25De plus, sur demande, la personne concernée pourra être informée en termes clairs

et simples des renseignements personnels recueillis auprès d’elle, de la durée de

conservation des renseignements et des coordonnées du responsable de la

protection des renseignements personnels.

Les renseignements personnels concernant un mineur de moins de 14 ans ne

peuvent être recueillis auprès de celui-ci sans avoir obtenu préalablement le

consentement du titulaire, de l’autorité parentale ou du tuteur, sauf lorsque cette

collecte est manifestement au bénéfice du mineur.

Les renseignements personnels sont seulement utilisés aux fins pour lesquelles ils

ont été recueillis, à moins du consentement de la personne concernée.

Un renseignement personnel peut être utilisé à d'autres fins sans le consentement

de la personne concernée dans les situations prévues par la loi, lesquelles

comprennent notamment les cas suivants :

- Lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il

a été recueilli;

- Lorsque son utilisation est manifestement au bénéfice de la personne

concernée;

- Lorsque son utilisation est nécessaire à des fins de prévention et de détection

de la fraude ou d’évaluation et d’amélioration des mesures de protection et de

sécurité;

- Lorsque son utilisation est nécessaire à des fins d’études, de recherche ou de

production de statistiques et qu’il est dépersonnalisé.

L’accès aux renseignements personnels dans un dossier doit être limité aux

employés qui doivent connaitre les informations pour exercer leurs fonctions. Au

surplus, les renseignements concernés doivent être nécessaires à l’exercice des

fonctions de l’employé ou à l’exécution de son mandat.

Politique sur la protection des renseignements personnels

Page 7 de 257.3. Communication des renseignements personnels

Il est interdit de communiquer des renseignements personnels sur le client à des

tiers, sans avoir obtenu l’autorisation du client au préalable, à l’exception des cas

permis par la loi. Le consentement doit être manifesté de façon expresse dès qu’il

s’agit d’un renseignement personnel sensible.

L’employé à qui on demande un renseignement personnel doit refuser de le

divulguer si sa divulgation révélait un renseignement personnel sur un tiers ou

l’existence d’un tel renseignement et que cette divulgation est susceptible de nuire

à ce tiers.

Sauf s’il s’agit d’une situation qui peut mettre en danger la vie, la santé ou la sécurité

du tiers concerné ou qu’il y consent.

Afin de s’assurer de bien conserver les renseignements personnels contenus dans

les dossiers actifs, les employés prennent les mesures suivantes :

- Consigner au dossier les communications écrites avec le client (notes évolutives,

courriels, formulaires, etc.);

- Tourner face contre table les documents et/ou fermer les dossiers contenant des

renseignements personnels lorsque l’employé s’absente de son bureau;

- Limiter l’accès aux locaux aux personnes autorisées;

- Accompagner en tout temps les visiteurs sur les lieux;

- Ne pas discuter dans les aires publiques du bureau à propos des clients;

- À la fin de la journée, la dernière personne à quitter les locaux/bureaux veille à

ce que les portes soient verrouillées;

- À la fin de la journée, les dossiers des clients sont rangés et conservés dans les

classeurs;

- Verrouiller les classeurs tous les soirs;

- Chaque employé est responsable des documents transmis pour impression et

doit récupérer ceux-ci dès leur impression.

Politique sur la protection des renseignements personnels

Page 8 de 258.2. Conserver les dossiers inactifs

Lorsqu’un dossier n’est plus actif, il doit être classé dans un endroit et/ou un

répertoire séparé.

Il y a fermeture du dossier dans l’une ou l’autre des situations suivantes :

- La personne a reçu tous les services dont elle avait besoin;

- La personne nous informe qu’elle désire interrompre sa démarche ou procéder

à la fermeture de son dossier;

- Le représentant autonome est sans nouvelle du client depuis plus de six (6) mois.

Une note au dossier apparait mentionnant la date ainsi que la raison pour laquelle

le dossier peut être considéré comme inactif.

Les dossiers inactifs sont conservés pour une période d’au moins sept (7) ans à

partir du moment où ils ont été déclarés inactifs.

L’entreposage est prévu pour une période d’au moins sept (7) ans à partir de la date

où ils ont été déclarés inactifs et respecte la confidentialité des renseignements

personnels détenus. Après ce délai, les dossiers peuvent être détruits.

Un exemple de registre de conservation des renseignements personnels se

retrouve en annexe D de la présente politique. Cette procédure facilite la gestion

des dossiers fermés et leur destruction. Elle permet également de confirmer

l’existence d’un dossier au nom du client et, conformément à la politique, que le

dossier est détruit, le cas échéant.

Le client doit pouvoir en tout temps, avoir accès à son dossier. Il doit pouvoir le

consulter ou en demander une copie.

Également, le client doit pouvoir demander à ce que toute information fausse ou

erronée soit corrigée dans les meilleurs délais.

Après un délai de sept (7) ans, les dossiers peuvent être détruits. Les méthodes de

destruction doivent répondre aux mêmes critères de confidentialité que les méthodes

d’entreposage.

Politique sur la protection des renseignements personnels

Page 9 de 2511. Détruire adéquatement les renseignements personnels et les anonymiser, le cas

Lorsque les fins auxquelles des renseignements personnels ont été recueillis ou

utilisés ont été accomplies, ceux-ci sont détruits ou anonymisés sous réserve du

délai de conservation prévu par la loi.

Un renseignement personnel peut être anonymisé lorsqu’il est raisonnable de

prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier

directement ou indirectement une personne. La conservation des renseignements

anonymisés est conditionnelle à leur utilisation à des fins sérieuses ou légitimes. La

destruction des renseignements est utilisée en tout temps. L’anonymisation sera

possible exceptionnellement et à des fins précises seulement.

Les employés s’assurent de la protection des renseignements personnels qu’ils

détruisent et ne doivent pas jeter les documents papier ou électroniques sans s’être

assurés au préalable que leur contenu ne peut être retrouvé ou reconstitué.

La destruction doit se faire par le biais d’outils spécialisés, telle qu’une

déchiqueteuse de bureau. Le document déchiqueté doit donner des morceaux

tellement petits qu’il est impossible de reconstituer le document.

Brûler des documents à l’extérieur n’est pas considéré comme un moyen sécuritaire

de destruction.

La personne responsable de la protection des renseignements personnels s’assure

que l’ensemble du personnel comprenne et suive cette règle.

Si le volume des documents à détruire le justifie, le représentant autonome a

recours à une entreprise spécialisée. Dans l’intervalle de leur destruction, les

documents sont entreposés dans un endroit fermé à clé. Ladite clé étant sous la

responsabilité de la personne responsable de la protection des renseignements

personnels, M. Jean-François Choquette. Cette dernière peut déléguer cette

responsabilité à un employé qu’elle désigne.

Le représentant autonome peut aussi avoir recours à une entreprise spécialisée pour

la destruction des renseignements personnels qui sont contenus dans des

programmes informatiques.

Dans les deux (2) cas, un contrat écrit avec l’entreprise spécialisée doit être établi

afin de respecter les mesures de sécurité et la protection de renseignements

confidentiels.

Politique sur la protection des renseignements personnels

Page 10 de 25Dans le contrat, l’entreprise spécialisée doit minimalement s’engager à ce qui suit :

- Avoir une procédure de destruction des documents qui répond aux exigences de

la loi;

- Reconnaitre la confidentialité des renseignements traités et l’interdiction de

conserver ceux-ci à ses propres fins;

- Ne pas confier la destruction des documents confidentiels à un sous-traitant à

moins d’obtenir l’accord de Consortium Hypothécaire;

- Établir les conséquences de ne pas respecter ses engagements;

- Restreindre l’accès des lieux et aux renseignements confidentiels;

- Faire signer un engagement de confidentialité à toute personne qui aura accès

ou devra manipuler lesdits documents;

- Faire régulièrement un compte rendu à Consortium Hypothécaire de l’état

d’avancement de la destruction des documents;

- Aviser Consortium Hypothécaire sans délai en cas de violation ou de tentative

de violation des obligations relatives à la sécurité ou confidentialité des

renseignements.

Dans l’éventualité que l’entreprise spécialisée ne respecte pas ses engagements,

la personne responsable de la protection des renseignements personnels met fin

au contrat et demande la restitution des renseignements personnels.

Aux fins de la présente politique, une plainte constitue l’expression d’au moins un

(1) des deux (2) éléments suivants :

- Un reproche à l’endroit d’un employé ou de Consortium Hypothécaire;

- L’identification d’un préjudice potentiel ou réel qu’aurait subi ou pourrait subir un

client.

Ne constitue pas une plainte, toute démarche informelle visant à faire corriger un

problème particulier, dans la mesure où le problème est traité dans le cadre des

activités régulières de l’employé et sans que le client n’ait porté plainte.

Politique sur la protection des renseignements personnels

Page 11 de 25La personne responsable de la protection des renseignements personnels doit

s’assurer qu’un registre des plaintes soit créé et elle est responsable de la gestion

de ce registre. Chaque dossier de plainte doit y être inséré. Un exemple de registre

des plaintes apparait à l’annexe E.

Lors d’un signalement d’une plainte, sous quelque forme que ce soit, la personne

responsable de la protection des renseignements personnels ouvre un dossier et

note la date de la réception de la plainte dans le registre des plaintes. Celui qui

reçoit la plainte invite le plaignant à transmettre sa plainte par écrit ou prend tous

les détails par écrit relatifs à la plainte selon ce qui s’applique le mieux dans la

situation.

Si c’est une personne autre que la personne responsable de la protection des

renseignements personnels qui reçoit la plainte, l’employé concerné doit aviser la

personne responsable de la protection des renseignements personnels sans délai.

Une copie de la plainte, si elle est écrite, ou la version consignée, si elle est verbale,

doit être insérée au dossier.

Tout client qui désire porter plainte doit le faire par écrit à l’adresse suivante :

M. Jean-François Choquette

1060, boul. Michèle-Bohec, 101, Blainville (Québec) J7C 5E2

418-204-7738

info@consortiumhypothecaire.com

Suite à la réception de la plainte, la personne responsable de la protection des

renseignements personnels déclenche le processus de traitement d’une plainte.

Cette dernière fait parvenir un accusé de réception à la personne plaignante, et ce,

sans délai ou à défaut dans les cinq (5) jours suivant la réception de la plainte.

L’accusé de réception doit contenir les renseignements suivants :

- Une description de la plainte reçue, précisant le préjudice subi ou potentiel, le

reproche fait et la mesure correctrice demandée;

Politique sur la protection des renseignements personnels

Page 12 de 25- Le nom et les coordonnées de la personne responsable du traitement de la

plainte;

- Dans le cas d’une plainte incomplète, un avis comportant une demande de

complément d’information à laquelle le plaignant doit répondre dans un délai fixé,

à défaut de quoi la plainte sera réputée abandonnée;

- La section de la présente politique portant sur le traitement des plaintes.

Un exemple de modèle d’accusé de réception apparait à l’annexe F.

La personne responsable de la protection des renseignements personnels doit

constituer un dossier de plainte qui comprend les éléments suivants :

- La plainte écrite du plaignant, incluant les trois (3) éléments de la plainte (le

reproche, le préjudice réel ou potentiel et la mesure correctrice demandée);

- Le résultat du processus de traitement de la plainte (l’analyse et les documents

l’appuyant);

- La réponse finale au plaignant, écrite et motivée;

- Les correspondances avec le plaignant et tout document relatif à la plainte.

La personne responsable de la protection des renseignements personnels procède

à l’enquête du dossier. Cette dernière recueille et analyse les commentaires et la

documentation pertinente. Elle s’assure d’obtenir les renseignements

supplémentaires qu’elle juge manquants, le cas échéant.

Le cas échéant, la personne responsable de la protection des renseignements

personnels ou l’employé visé par la plainte avise, sans délai, son assureur en

responsabilité civile professionnelle.

Lorsque la personne responsable de la protection des renseignements personnels

a terminé le traitement de la plainte, elle rédige un rapport. Elle informe ensuite la

partie plaignante du résultat de son enquête par une réponse écrite et motivée. Le

rapport et la réponse sont consignés dans le dossier de plainte.

Politique sur la protection des renseignements personnels

Page 13 de 2512.3. Accès au dossier

Tant le client qu’un employé, ils peuvent en tout temps, avoir accès à leur dossier,

pour le consulter ou en demander une copie.

Le client ou l’employé peut demander à ce que toute information fausse, inexacte,

incomplète, équivoque ou erronée, soit rectifiée ou corrigée. Si sa collecte, sa

communication ou sa conservation n’est pas autorisée par la loi, il peut exiger sa

destruction.

Lorsque la demande n’est pas suffisamment précise ou lorsqu’une personne le

requiert, la personne responsable de la protection des renseignements personnels

prêtera assistance pour identifier les renseignements recherchés.

La personne concernée par un renseignement personnel peut exiger que

Consortium Hypothécaire cesse la diffusion de son renseignement ou que soit

désindexé tout hyperlien rattaché à son nom permettant d’accéder à ce

renseignement par moyen technologique, lorsque la diffusion de ce renseignement

contrevient à la loi.

La personne responsable de la protection des renseignements personnels répond

par écrit à la demande d’accès ou de rectification au plus tard dans les trente (30)

jours de la date de réception de la demande. À défaut de répondre dans ces délais,

la personne responsable de la protection des renseignements personnels est

réputée avoir refusé d’y acquiescer. La personne concernée pourra alors s’adresser

à la Commission d’accès à l’information afin de faire une demande d’examen de

mésentente, et ce, à l’intérieur d’un délai de trente (30) jours suivant l’échéance du

délai.

L’accès aux renseignements est gratuit. Il est toutefois possible de demander des

frais raisonnables pour la transcription, la reproduction ou la transmission des

renseignements. La personne concernée doit être informée des frais raisonnables

avant de procéder à la transcription, la reproduction ou la transmission de ces

renseignements.

Le refus par la personne responsable de la protection des renseignements

personnels d’acquiescer à une demande doit être motivé et indiquer sur quelle

disposition de la loi le refus s’appuie, les recours qui s’offrent au requérant en vertu

de la loi et le délai dans lesquels ils peuvent être exercés. Les renseignements

faisant l’objet d’un refus doivent être conservés le temps requis pour permettre à la

personne concernée d’épuiser les recours prévus par la loi.

Lorsque la personne responsable de la protection des renseignements personnels

acquiesce à une demande de rectification, il doit délivrer sans frais à la personne

qui a fait la demande une copie de tout renseignement personnel modifié ou ajouté,

ou selon la situation, une attestation de la suppression d’un tel renseignement.

Politique sur la protection des renseignements personnels

Page 14 de 2513. Demande d’accès par un tiers concerné

Si une personne concernée ou un courtier hypothécaire demande l’accès à un

dossier, il doit justifier son identité et faire sa demande d’accès par écrit. Cette

demande doit être présentée à la personne responsable de la protection des

renseignements personnels.

Dès que Consortium Hypothécaire a des motifs de croire qu’il s’est produit un incident

de confidentialité impliquant un renseignement personnel qu’elle détient, elle doit

immédiatement prendre les mesures raisonnables pour diminuer les risques qu’un

préjudice soit causé et éviter que de nouveaux incidents de même nature se produisent.

Un incident de confidentialité comprend :

- L’accès, la communication et l’utilisation non autorisée par la loi d’un

renseignement personnel;

- La perte d’un renseignement personnel; ou

- Toute autre atteinte à la protection d’un tel renseignement.

Une évaluation de l’incident afin de déterminer s’il existe un risque qu’un préjudice

sérieux soit causé doit être réalisée de concert avec la personne responsable de la

protection des renseignements personnels. Lorsque la situation présente un risque de

préjudice sérieux, la personne responsable de la protection des renseignements

personnels doit notifier la personne concernée et la Commission d’accès à

l’information de cet incident de confidentialité. Un exemple de notification apparait à

l’annexe G.

Consortium Hypothécaire se réserve le droit d’aviser toute personne ou tout organisme

susceptible de diminuer le risque de préjudice sérieux, en ne lui communiquant que

les renseignements personnels nécessaires à cette fin sans le consentement de la

personne concernée. La personne responsable de la protection des renseignements

personnels s’assure que la communication est enregistrée si elle est verbale ou qu’elle

est sauvegardée si elle est écrite.

Lors de l’évaluation du caractère de l’incident, la sensibilité des renseignements, les

conséquences appréhendées de son utilisation et la probabilité que les

renseignements soient utilisés à des fins préjudiciables doivent être considérées.

Politique sur la protection des renseignements personnels

Page 15 de 25La personne responsable de la protection des renseignements personnels procède à

une analyse des causes du problème et identifie les mesures qui doivent être prises

pour éviter qu’un incident semblable se reproduise.

Les informations suivantes sont colligées dans un registre des incidents de

confidentialité, que celles-ci représentent un risque de préjudice sérieux ou non :

- Date de l’incident;

- Description des circonstances de l’incident et des renseignements personnels visés

par l’incident;

- Décrire l’évaluation de la gravité du risque de préjudice et de la conclusion;

- Les raisons pour lesquelles Consortium Hypothécaire juge que l’incident ne

comporte pas de préjudice sérieux pour les individus concernés, le cas échéant;

- Description des mesures prises en réaction de l’incident;

- Date et description de la transmission des avis, s’il y a lieu.

Un modèle de registre des incidents de confidentialité se retrouve en annexe H de la

présente politique. La personne responsable de la protection des renseignements

personnels jugera quelles communications doivent être échangées avec le client

concerné, le cas échéant. En tout temps, les décisions de la personne responsable de

la protection des renseignements personnels doivent respecter la loi et les règlements

en vigueur.

Une révision des mesures de sécurité a lieu suite à l’incident en question pour

s’assurer qu’un incident de la même nature ne se reproduise pas à nouveau. La

personne responsable de la protection des renseignements personnels s’assure

également de communiquer ces nouvelles mesures à l’ensemble du personnel, le cas

échéant.

Si les mesures prises modifient la politique actuellement en vigueur, elle s’assure d’y

apporter les modifications nécessaires.

Si un client signale une possibilité de vol d’identité, la personne responsable de la

protection des renseignements personnels doit activer un indicateur de vol d’identité

dans le système informatique ainsi que dans le dossier physique.

Elle doit également s’assurer que l’assureur impliqué soit informé par écrit, sans délai.

La personne responsable de la protection des renseignements personnels doit

Politique sur la protection des renseignements personnels

Page 16 de 25également mettre en place des mesures additionnelles pour s’assurer de la vérification

de l’identité du client.

Si le vol d’identité est rapporté à un employé, celui-ci doit immédiatement informer la

personne responsable de la protection des renseignements personnels.

La présente politique doit être révisée annuellement par la personne responsable de

de la protection des renseignements personnels laquelle doit rédiger un document

faisant état de son travail de révision.

Le document doit faire état notamment de la pertinence de modifier le contenu de la

politique, des modifications proposées, le cas échéant, et leur justification.

S’il y a une vérification externe en cours d’année, les recommandations du rapport

doivent être intégrées à la politique, le cas échéant.

La présente politique de conformité est en vigueur depuis le 17 décembre 2020 et mise

à jour le 22 avril 2025.

Politique sur la protection des renseignements personnels

Page 17 de 25ANNEXE A – Engagement de confidentialité / employé

Entente de confidentialité - employé de Consortium Hypothécaire

Je soussigné(e),

employé (e) de

Consortium Hypothécaire, m’engage à garder strictement confidentiel et à ne pas divulguer

les renseignements personnels confiés par tout client ou par les autres employés ou encore

mon employeur, incluant, mais sans limiter la généralité de ce qui précède, les informations

personnelles, renseignements financiers, coordonnées ou toute information contenue dans

tout document ou autre support et à ne pas les communiquer à des tiers non autorisés, par

quelque moyen que ce soit, sans le consentement écrit et exprès de mon employeur ou du

client, le cas échéant.

Je m’engage à prendre toutes les mesures nécessaires afin de préserver la confidentialité

des renseignements personnels de tout client et de mon employeur, à ne pas faire usage

desdits renseignements personnels autrement que pour les fins auxquelles ils ont été

recueillis et à prendre des mesures raisonnables afin que soit maintenue la confidentialité de

tout renseignement divulgué ou communiqué à une personne autorisée dans les limites

permises par la loi, le cas échéant.

Signé à , ceANNEXE B – Engagement de confidentialité / fournisseur

Engagement de confidentialité — Fournisseur

Je soussigné(e),

, fournisseur de

l’entreprise m’engage en toute circonstance à garder

strictement confidentiel et à ne pas divulguer les renseignements personnels auxquels je

peux avoir accès, incluant, mais sans limiter la généralité de ce qui précède, les informations

personnelles, renseignements financiers, coordonnées ou toute information contenue dans

tout document ou autre support et à ne pas les communiquer à des tiers non autorisés, par

quelque moyen que ce soit.

Je m’engage à prendre les mesures nécessaires afin de préserver la confidentialité des

renseignements personnels de tout client ou contractant, à ne pas faire usage desdits

renseignements personnels autrement que pour les fins auxquelles ils ont été mis en ma

possession et à prendre des mesures nécessaires afin que soit maintenue la confidentialité

de tout renseignement personnel détenu ou auquel j’ai accès le cas échéant.

Signé à , ce

Consortium HypothécaireANNEXE C – Autorisation visant la constitution d’un dossier client et de la

J’autorise Consortium Hypothécaire à constituer un dossier client à mon égard et à le tenir à

jour.

J’autorise également Consortium Hypothécaire à recueillir des renseignements

personnels à mon égard aux fins de

.

J’autorise l’utilisation du courriel comme mode de transmission des renseignements et de

communications pour les fins de constitution et gestion d’un dossier client.

Les renseignements personnels contenus à mon dossier pourront être communiqués aux

employés, aux personnes autorisées par la loi ainsi qu’aux personnes à qui j’ai accordé un

tel accès.

Je peux à tout moment demander au responsable de la protection des renseignements

personnels de Consortium Hypothécaire d’avoir accès aux informations que mon dossier

contient à mon égard.

Cette autorisation est valide jusqu’à sa révocation. Je peux à tout moment révoquer cette

autorisation par avis écrit au responsable de la protection des renseignements personnels.

Signé le ˜

˜

Consortium HypothécaireANNEXE D – Registre de conservation des dossiers

No. de

dossier

Nom du

client

Nom de

l’employé

Date

d’ouverture

Date de

fermeture

Date

prévue de

destruction

Initiales du

responsable

Date de

destruction

effective

Par

Consortium HypothécaireANNEXE E – Registre des plaintes

Nom du plaignant

Adresse

Numéro de téléphone

Source de la plainte Courriel

Lettre

Appel téléphonique

En personne

Nature de la plainte

Date de réception

Date de l’envoi de l’accusé de réception

Date du début de l’enquête

Résultat de l’enquête

Date à laquelle le résultat de l’enquête est

communiqué au client

Consortium HypothécaireANNEXE F – Modèle d’accusé de réception des plaintes en lien avec la protection

Blainville, le ˜

Nom du client

Adresse

Ville (Province) Code postal

OBJET : Plainte au sujet de la protection des renseignements personnels

Madame, Monsieur,

Nous accusons réception de votre (lettre, courriel ou appel téléphonique) en date du ˜, reçu

par ˜. Votre plainte a été acheminée à la personne responsable de la protection des

renseignements personnels au sein de notre organisation.

La nature de votre plainte, telle que vous nous l’avez décrite, est la suivante :

Nous nous engageons à traiter votre plainte dans les meilleurs délais. Nous vous

communiquerons le résultat de notre enquête, par écrit, dès que celle-ci sera terminée. Si

nous ne pouvons conclure notre enquête dans les soixante (60) jours de la date de la

présente, nous vous informerons de l’avancement de l’enquête.

Vous trouverez également ci-joint la version complète de notre politique de protection des

renseignements personnels.

Si vous avez des questions, vous pouvez communiquer avec le / la soussigné(e).

M. Jean-François Choquette

1060, boul. Michèle-Bohec, 101, Blainville (Québec) J7C 5E2

418-204-7738

Consortium HypothécaireANNEXE G – Modèle de notification d’un incident de confidentialité

Blainville, le ˜

Nom du client

Adresse

Ville (Province) Code postal

OBJET : Notification d’un incident de confidentialité

Vous serez avisé sans délai si vos données personnelles étaient identifiées comme étant à

Madame, Monsieur,

Je, soussigné(e), M. Jean-François Choquette, personne responsable de la protection des

renseignements personnels, notifie par les présentes l’incident suivant :

- Date de l’incident;

- Nature de l’incident;

- Description des circonstances de l’incident.

Les mesures en vigueur, lorsqu’un incident de confidentialité se produit, sont d’ores et déjà,

mises en place par Consortium Hypothécaire.

risque.

Le / la soussigné(e) demeure disponible pour répondre à vos questions.

M. Jean-François Choquette

1060, boul. Michèle-Bohec, 101, Blainville (Québec) J7C 5E2

418-204-7738

Consortium HypothécaireANNEXE H – Modèle registre des incidents de confidentialité

Date de l’incident

Nom des personnes visées par

l’incident

Renseignements visés par l’incident

Niveau de sensibilité des

renseignements visés

Faible Moyen Élevé

☐ ☐ ☐

Circonstances de l’incident

Conséquence appréhendée de

l’utilisation potentielle des

renseignements

Aucune Mitigée Grave

☐ ☐ ☐

Date ou période de l’incident

Date ou période de la prise de

connaissance de l’incident

Risque qu’un préjudice sérieux soit

causé

☐ Oui

☐ Non

Décrire les éléments qui amènent

l’organisme à conclure qu’il existe ou

non un risque qu’un préjudice sérieux

soit causé aux personnes concernées.

Transmission des avis à la Commission

d’accès à l’information et aux

personnes concernées

Date de l’avis à la Commission d’accès à l’information :

Date(s) de l’avis aux personnes concernées :

Avis public : ☐ Oui Raison :

☐ Non

Description des mesures prises par

l’organisation

Consortium Hypothécaire