Politique de sécurité informatique et sur la protection des renseignements personnels de services financiers charette-chouinard et associés

Mise en garde

CE DOCUMENT AINSI QUE SES ANNEXES ET SES VERSIONS ULTÉRIEURES SONT LA PROPRIÉTÉ EXCLUSIVE DE BERNIER BEAUDRY
INC. ET SONT PROTÉGÉS PAR TOUTES LES LOIS PERTINENTES CONCERNANT LA PROTECTION DES DROITS D’AUTEUR.
CE DOCUMENT A ÉTÉ RÉDIGÉ ET EST DISTRIBUÉ EXCLUSIVEMENT À L’ATTENTION DES
EMPLOYÉS DE SERVICES FINANCIERS CHARETTE-CHOUINARD ET ASSOCIÉS.
TOUTE REPRODUCTION, QUEL QUE SOIT LE SUPPORT, TRANSMISSION À DES TIERS OU DIFFUSION SANS L’AUTORISATION ÉCRITE
DE L’AUTEUR EST STRICTEMENT INTERDITE ET PASSIBLE DE SANCTION.
LE LECTEUR DÉCLARE ÊTRE UNE PERSONNE AUTORISÉE À PRENDRE CONNAISSANCE DE SON CONTENU
ET ACCEPTE D’Y ADHÉRER.
LE MASCULIN EST UTILISÉ AFIN D’ALLÉGER LE CONTENU.

Table des matières

Préambule

Cette politique vise à régir la conformité en assurance de personnes ou collective du
cabinet Services Financiers Charette-Chouinard et associés. Elle doit être appliquée
rigoureusement et utilisée comme un outil au service de l’exercice des représentants
autonomes ou des cabinets pour répondre aux exigences de l’Autorité des marchés
financiers (ci-après nommée « l’AMF »).

Les objectifs

  1. S’assurer que la confidentialité des renseignements personnels de nos clients est et
    demeure en tout temps une priorité;
  2. S’assurer que les mesures nécessaires sont prises pour protéger les renseignements
    personnels que nous possédons sur nos clients.

1. Rôles et responsabilités

La personne responsable de l’application de la présente politique est la personne
responsable de la conformité, M. Patrick Charette. Cette personne est aussi
responsable de la sécurité informatique.

2. Embauche

Tout employé doit signer une entente de confidentialité.
Un exemple d’entente de confidentialité à être signée par les employés apparaît à
l’annexe A.

3. Entente de services

La personne qui conclut une entente de services avec un tiers dont les activités
pourraient permettre un accès aux renseignements personnels doit s’assurer que
l’offre de service inclut un engagement à cet effet. Sinon, un engagement de
confidentialité doit être signé.
Un exemple d’engagement de confidentialité à être signé par le tiers apparaît à
l’annexe B.

4. Consentement

En tout temps, le représentant doit obtenir une autorisation écrite dûment signée par
son client, qui l’autorise à recueillir, utiliser, communiquer et conserver les
renseignements personnels le concernant ou concernant son entreprise ou les
employés de son entreprise, le cas échéant.
Un exemple de consentement apparaît à l’annexe C.

5. Accès au dossier

Le client doit pouvoir en tout temps, avoir accès à son dossier. Il doit pouvoir le
consulter ou en demander une copie.
Également, le client doit pouvoir demander à ce que toute information fausse ou
erronée soit corrigée dans les meilleurs délais.

6. Conformité technologique

À la fin de la journée de travail, les ordinateurs portables doivent être fermés.
Les ordinateurs portables doivent être rangés sous clé dans un classeur ou dans un
tiroir. La clé doit être conservée dans un lieu sûr.
Un processus de sauvegarde des données doit être prévu. Les données sont
sauvegardées de la façon suivante : backup Kronos et conserve une copie des
dossiers sur OneDrive.
Des normes de protection des renseignements personnels doivent être respectées par
les représentants relativement à la protection par mot de passe.
Les mots de passe doivent être changés aux trois (3) mois et doivent contenir plusieurs
lettres minuscules et majuscules, chiffres et symboles compris entre huit (8) et douze
(12) caractères.
Sur les ordinateurs de bureau et les ordinateurs portables, un écran de veille verrouillé
par mot de passe doit apparaitre après cinq (5) minutes d’inactivité.

7. Définition d’un renseignement personnel

Sont personnels tous les renseignements permettant d’identifier quelqu’un.

8. Recueillir les renseignements personnels

Les représentants du cabinet doivent recueillir personnellement les renseignements
personnels du client.
Ils doivent prendre toutes les mesures nécessaires pour en conserver la confidentialité
conformément à la présente politique.
À cet effet, le représentant doit expliquer et remettre à chaque client rencontré un
document intitulé Engagement de confidentialité et de non-divulgation.
Un exemple d’avis apparaît à l’annexe D.

9. Traiter les renseignements personnels

L’accès aux renseignements contenus au dossier doit être limité aux personnes à qui
cet accès a été consenti par le client ou autrement permis par la loi.
Les dossiers des clients ne doivent contenir que les renseignements personnels
nécessaires aux fins déterminées.
Les données sur le client doivent être recueillies auprès du client lui-même, à moins
d’un consentement écrit de ce dernier.
Il est interdit de communiquer des renseignements sur le client à des tiers, sans avoir
obtenu l’autorisation du client au préalable, sauf dans les cas permis par la loi.

10. Conserver les renseignements personnels

Afin de s’assurer de bien conserver les renseignements personnels contenus dans les
dossiers actifs, le représentant doit prendre les mesures suivantes :
Les documents contenant des renseignements personnels doivent être fermés ou
tournés face contre table lorsque le représentant s’absente de son bureau.
L’accès aux locaux doit être limité aux personnes autorisées.
Les visiteurs doivent être accompagnés en tout temps sur les lieux.
Il ne doit pas avoir de discussion concernant les clients dans les aires publiques du
bureau.
Les classeurs doivent être verrouillés tous les soirs.

11. Conserver les dossiers inactifs et fermeture de dossiers

Lorsqu’un dossier n’est plus actif, il doit être classé dans un endroit et/ou un répertoire
séparé.
Une note au dossier doit apparaître mentionnant la date ainsi que la raison pour
laquelle le dossier peut être considéré comme inactif.
Les dossiers inactifs doivent être conservés pour une période d’au moins cinq (5) ans
à partir du moment où ils ont été déclarés inactifs.
L’entreposage doit être prévu pour une période d’au moins cinq (5) ans à partir de la
date où ils ont été déclarés inactifs et doit respecter la confidentialité des
renseignements personnels détenus.
Après ce délai, les dossiers peuvent être détruits. Les méthodes de destruction doivent
répondre aux mêmes critères de confidentialité que les méthodes d’entreposage.

12. Détruire les renseignements personnels

La personne responsable de la conformité doit s’assurer de la protection des
renseignements personnels qu’elle traite et ne doit pas jeter les documents papier ou
électroniques sans s’être assurée au préalable que leur contenu ne peut être retrouvé
ou reconstitué.
Le cabinet Services Financiers Charette-Chouinard et associés s’occupe de
détruire les documents contenant des renseignements personnels.
La personne responsable de la conformité doit également s’assurer que l’ensemble du
personnel comprenne et suive cette règle.

13. Traiter les problèmes en lien avec la confidentialité

Dès que la personne responsable de la conformité est informée d’un problème ou un
risque relatif aux renseignements personnels, ou lorsqu’un employé est informé d’un
problème relatif aux renseignements personnels (auquel cas, il doit immédiatement le
communiquer à la personne responsable de la conformité) les renseignements
suivants doivent être immédiatement colligés dans un dossier créé à cette fin :

  • Date du problème;
  • Description du problème;
  • Nom du client affecté par le problème;
  • Nom de la personne ayant rapporté le problème;
  • Tout autre détail pertinent au sujet du problème.
 

C’est à la personne responsable de la conformité de juger des communications qui
doivent être échangées avec le client concerné. En tout temps, les décisions de la
personne responsable de la conformité doivent respecter la loi et les règlements en
vigueur.
Si c’est une tierce personne qui a informé le cabinet du problème, la personne
responsable de la conformité doit communiquer avec elle pour l’informer que le
problème a été traité.
La personne responsable de la conformité juge également de la pertinence et de la
nature des communications qui doivent être faites au client concerné, dans le cas où
ce n’est pas lui qui a déclaré le problème.
La personne responsable de la conformité doit procéder à une analyse des causes du
problème et identifier les mesures qui doivent être prises pour éviter qu’un incident
semblable se reproduise.

La personne responsable de la conformité s’assure également de communiquer ces
nouvelles mesures à l’ensemble du personnel, le cas échéant.
Si les mesures prises modifient la politique actuellement en vigueur, elle s’assure d’y
apporter les modifications nécessaires.
Le cas échéant, la personne responsable de la conformité doit consulter l’aide mémoire
à l’intention des organismes et des entreprises – Que faire en cas de perte ou de vol
de renseignements personnels?
L’aide-mémoire se retrouve à l’annexe E de la présente politique.

14. Vol d’identité

Si un client signale une possibilité de vol d’identité, la personne responsable de la
conformité doit activer un indicateur de vol d’identité dans le système informatique ainsi
que dans le dossier physique.
Elle doit également s’assurer que l’assureur impliqué soit informé par écrit, sans délai.
La personne responsable de la conformité doit également mettre en place des mesures
additionnelles pour s’assurer de la vérification de l’identité du client.
Si le vol d’identité est rapporté à un employé, celui-ci doit immédiatement informer la
personne responsable de la conformité.

15. Sécurité informatique

15.1. Vol, perte ou bris

En cas de vol, perte ou bris d’un matériel informatique ou altération de toute donnée
numérique, la personne responsable de la conformité doit débuter le processus prévu
aux sections : 13 Traiter les problèmes en lien avec la confidentialité et 14 Vol
d’identité.

15.2. Atteinte à l’information confidentielle ou faille de sécurité

La personne responsable de la conformité doit identifier la source de l’atteinte ou de la
faille, prendre les mesures nécessaires au rétablissement de la sécurité informatique
et colliger le tout par écrit.
Au besoin, elle doit valider les informations suivantes visant la restauration des
systèmes et des procédures en cas de sinistre informatique :

  • Récupérer les applications bureautiques;
  • Récupérer les fichiers partagés du réseau local, le cas échéant;
  • Vérifier si tous les dossiers ont été récupérés;
  • Évaluer le travail à faire pour récupérer les données manquantes, le cas
    échéant.

Afin de détecter et prévenir la perte d’information et de limiter la vulnérabilité aux
risques informatiques, la personne responsable de la conformité peut mettre en place
de manière non cumulative et non exhaustive les mesures suivantes :

  • Surveillance des logiciels non autorisés ou non enregistrés;
  • Mise à jour des logiciels;
  • Mise à jour de l’antivirus;
  • Mise à jour des pare-feu;
  • Politique de gestion des mots de passe;
  • Verrouillage automatique des appareils;
  • Cryptage;
  • Autre(s) : ________________________________________________

15.3. Traiter les problèmes en cas de données non disponibles

La personne responsable de la conformité doit s’assurer de prendre les mesures
nécessaires afin de rétablir le service de connexion informatique sécurisé.

15.4. Protection de l’échange d’information

Lorsque des informations considérées comme confidentielles sont échangées, des
mesures de protection de l’échange d’information doivent être mises en place par
exemple des courriels sécurisés, documents protégés par mot de passe ou autre
mesure assurant la protection des données.

15.5. Ressources disponibles

Afin de pouvoir appliquer la présente section, la personne responsable de la conformité
pourra avoir recours aux personnes, employés et entreprises qui suivent :

• Techno-Agences, 1 888-647-5455

15.6. Matériels disponibles, gestion des accès et mises à jour

Le cabinet dispose du matériel informatique listé à l’Annexe F auxquels les individus
répertoriés ont accès avec les mesures de protection applicables.
La personne responsable de la conformité doit s’assurer de la mise à jour de ces
informations relatives au matériel et aux accès, notamment en cas de changement de
fonction, départ ou à tout autre moment considéré comme opportun.
La personne responsable de la conformité doit s’assurer que des moyens de protection
sont mis en place, par exemple : antivirus, pare-feu, cryptage et mises à jour.
Elle doit également veiller à la mise en place d’un système d’accès au réseau sans fil
sécurisé et peut avoir recours à l’aide d’une firme spécialisée si nécessaire.
En cas de mise au rebut ou de recyclage, la personne responsable de la conformité
doit s’assurer que la procédure appliquée évite tout problème relié à la confidentialité
des informations.

15.7. Gestion des tiers agissant dans le soutien informatique

Dans le cas où le cabinet décide de conclure des ententes avec des tiers, le
responsable de la conformité doit s’assurer que les ententes conclues prévoient des
clauses assurant la pérennité des données ainsi que l’accessibilité et/ou le transfert
des données en cas de demande, terminaison de contrat ou suite à toute autre
situation le nécessitant.
La personne responsable de la conformité doit s’assurer du sérieux du tiers avec
lesquelles il a contracté en vérifiant notamment ses références, ses certifications et les
possibles incidents connus le cas échéant.