En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), le gouvernement fédéral du Canada impose à toutes les organisations et entreprises qui recueillent des renseignements sur leurs clients d’observer certaines lignes directrices. Les lignes directrices de cette loi sont résumées en sept points dans la brochure du client, lesquels figurent ci-dessous.
Global applique les lignes directrices fédérales de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Les règlements adoptés en application de cette loi énoncent les obligations auxquelles les organisations sont soumises pour la collecte, l’utilisation et la communication des renseignements personnels dans le cadre d’activités commerciales.
Global reconnaît le droit des particuliers à la protection des renseignements personnels qui les concernent et elle respecte les principes énoncés ci-dessous quand il s’agit d’utiliser des renseignements personnels pour des fins commerciales légitimes. Ces règlements s’appliquent aux dirigeants, aux employés, aux mandataires, aux représentants et aux membres du personnel administratif de Global.
Tout client de Global peut se procurer la brochure ci-dessus. Les employés des différents secteurs d’activité de Global ont le devoir, lorsqu’ils travaillent avec des données de nature délicate sur les clients, de faire appliquer la politique par le biais de mesures qui protègent la confidentialité de ces données.
En vertu de la LPRPDE, il incombe aux organisations de protéger les renseignements personnels, d’établir leurs procédures de réception des plaintes et des questions, de renseigner leur personnel sur les politiques internes par de la formation et d’autres moyens, et de préparer une documentation explicative sur les politiques et procédures organisationnelles en place.
Considérations d’intérêt particulier pour Global :
But de la collecte
Le client doit savoir à quelles fins spécifiques ses renseignements personnels sont recueillis et donner son consentement au moment de la collecte. Il faut obtenir son consentement pour recueillir de l’information de nature délicate. Pour certains usages de renseignements, le consentement n’est pas nécessaire, mais la collecte doit néanmoins être justifiée. Il y a plusieurs moyens d’obtenir le consentement du client : sur une demande, en faisant cocher une case à cette fin, par téléphone ou dans le cadre de l’utilisation d’un service ou produit.
Si l’on souhaite utiliser les renseignements à de nouvelles fins, celles-ci doivent être mises par écrit, bien indiquées et dévoilées au client avant toute utilisation.
Protection des renseignements personnels sur les clients
Mesures de protection pertinentes : verrouillage des classeurs et contrôle de l’accès à certains locaux et bureaux (mesures physiques); cote de sécurité pour contrôler l’accès (mesures organisationnelles); mots de passe et cryptage (mesures technologiques). La protection des données plus délicates commande des mesures plus serrées, selon les besoins.
Utilisation par un tiers
Si un tiers est mandaté d’offrir des services contractuels pour l’organisation qui a la garde initiale de renseignements personnels sur les clients, il doit s’être doté de politiques approuvées par l’organisation qui fournit lesdits renseignements. Il est aussi recommandé que le tiers et l’organisation en question conviennent par écrit de respecter la LPRPDE, à la satisfaction des deux parties.
Conservation et élimination
Les renseignements personnels sont normalement conservés que le temps nécessaire aux fins prévues. L’élimination des renseignements personnels doit être faite en préservant la confidentialité.
Les renseignements personnels devenus inutiles doivent être détruits, effacés ou anonymisés. Il faut mettre en place un cadre de traitement des données inutiles sur les clients.
Divulgation aux clients et transparence
Tout client doit normalement être mis au fait de la politique ainsi que des méthodes et procédures adoptées et appliquées pour protéger sa confidentialité. La transparence avec le public sur les pratiques de confidentialité et de divulgation des renseignements en place est aussi de mise, dans la mesure du raisonnable selon le moyen de communication et le message.
Accès aux renseignements personnels
Les aspects suivants sont associés au contrôle de l’accès aux renseignements sur un client : une personne ou un groupe chargé des politiques et méthodes de l’organisation, les moyens d’accès aux renseignements personnels que détient l’organisation, la description des renseignements détenus et un compte rendu général de leur utilisation, un exemplaire d’une brochure ou d’un autre moyen d’information étayant les normes et politiques de l’organisation, et la nature des renseignements personnels mis à la disposition des organisations partenaires ou autrement liées.
Une personne peut consulter ses renseignements personnels sur demande. Elle peut également contester l’information consignée, la compléter, voire la faire modifier pour qu’elle soit exacte. Une entreprise est tenue de réviser les dossiers qui s’avèrent inexacts. Il incombe à l’organisation de veiller à l’exactitude, à l’exhaustivité et à l’actualité des renseignements qu’elle détient.
Dans certaines circonstances, l’accès d’un client à ses renseignements personnels peut être limité pour des questions de coût, de difficulté de récupération des données, etc., pourvu que ce soit justifié. Une demande de renseignements individuelle doit se faire en temps opportun et n’engendrer que très peu de coûts, voire aucun.
10 volets |
Representative’s Role |
Rôle du représentant |
Suite du processus |
Responsabilité |
Bien connaître les dix volets et leur incidence sur son travail de tous les jours. |
Aider le représentant à comprendre les lois encadrant la vie privée, ainsi que les politiques de Global en la matière. Aider le représentant à appliquer ces politiques. |
Réviser les politiques et procédures en place. Vérifier que tous appliquent bien les dix volets prévus par Global. |
Justification de la collecte Indiquer aux clients, avant la collecte ou au moment de la collecte, pourquoi leurs renseignements personnels sont demandés. |
Tout représentant doit expliquer clairement à chacun des clients pourquoi des renseignements personnels sont recueillis et l’usage qui en sera fait. Les renseignements recueillis ne servent qu’aux fins initialement prévues, et la collecte se limite aux renseignements permettant :
|
Utiliser les renseignements sur les clients pour offrir des produits et services. Compiler des statistiques utiles pour cerner les besoins des clients. |
La collecte est justifiée dans toutes les demandes – Politique de confidentialité. Global doit s’assurer que la collecte est parfaitement justifiée au moment où elle a lieu. |
Consentement Le client doit connaître les fins de la collecte et donner son consentement avant toute collecte, utilisation et divulgation de renseignements. |
Tout représentant doit obtenir le consentement de son client s’il veut recueillir des renseignements personnels. Le représentant doit noter le moyen de consentement du client. |
S’assurer d’avoir obtenu le consentement nécessaire avant de divulguer des renseignements à une personne autorisée.
|
Global ne peut pas divulguer de renseignements – et ne le fera pas – sans d’abord confirmer le consentement préalable. Une note de consentement à la divulgation peut être jointe au dossier d’un client; le nom de la personne ayant reçu le consentement doit y figurer. |
Limitation de la collecte de renseignements personnels |
Tout représentant doit s’assurer que la collecte de renseignements sur les clients ne se fait pas sans discernement et que la source de l’information a été vérifiée. Idéalement, le représentant doit chercher à obtenir les renseignements directement auprès de la personne concernée. |
Ne recueillir que les renseignements nécessaires pour les fins légitimes indiquées. |
Global doit s’assurer que la collecte de renseignements sur les clients ne se fait pas sans discernement et que la source de l’information a été vérifiée. Ce sont les responsables de la conformité et les directeurs de succursale qui assureront le suivi de cet aspect. |
Limitation de l’utilisation, de la divulgation et de la conservation |
Les renseignements sur les clients
|
Global ne communiquera des renseignements sur des clients potentiels à ses représentants que si ces clients possibles ont d’abord donné leur consentement. Global ne communiquera pas de renseignements sur ses actuels clients aux représentants, sauf si cela cadre avec les fins prévues. Global détruira, effacera ou rendra anonyme tout renseignement sur les clients qui n’est plus utile aux fins prévues. |
Global s’assurera que les renseignements sur les clients sont strictement utilisés ou divulgués qu’aux fins pour lesquelles ils ont été recueillis.
|
Exactitude |
Les renseignements sur les clients doivent être consignés avec rigueur et précision. Il faut confirmer auprès du client toute modification de ses renseignements. |
Le service à la clientèle doit vérifier que les représentants consignent tous les renseignements sur les clients avec rigueur et précision. Il faut confirmer auprès du client toute modification de ses renseignements. |
Dans ses politiques, Global prévoira que toute modification de l’information au dossier d’un client doit d’abord être confirmée auprès du client d’une part, et que les modifications seront rapidement apportées après confirmation d’autre part. |
Protection des renseignements personnels sur les clients |
Les représentants sont tous tenus d’assurer la bonne protection de tous les renseignements personnels que leur communiquent les clients (en format papier ou numérique) contre la perte, le vol ou un accès non autorisé. Il faut mettre en place des procédures de protection des renseignements personnels sur les clients applicables en situation de travail à distance ou à l’extérieur des bureaux de Global. |
Global fait un effort raisonnable pour protéger les renseignements personnels sur les clients, peu importe leur format. Les mesures de sécurité sont adaptées au niveau de sensibilité des renseignements en cause. |
Global compte améliorer ses méthodes. Mesures physiques prévues : verrouillage des tiroirs de bureau et des classeurs, et contrôle de l’accès aux locaux. Mesures technologiques prévues : plus de mots de passe, cryptage et pare-feu. |
Accès par les clients |
Les représentants doivent tous s’assurer que les clients sont au fait des politiques et méthodes de protection de la confidentialité de Global, ainsi que des principes de gestion et de conservation des renseignements personnels en place. |
Global se donne un délai de 30 jours suivant une demande écrite pour informer les clients de l’existence, de l’utilisation et de la divulgation de renseignements personnels, auxquels elle leur donne par ailleurs accès. |
Global vise à mieux faire savoir aux clients qu’ils peuvent consulter leurs renseignements personnels. Global les informera en outre qu’ils peuvent contester l’exactitude et l’exhaustivité de l’information, puis la faire modifier. |
Transparence |
Tous les représentants doivent connaître les politiques et méthodes de Global encadrant la confidentialité. |
Global a rendu facilement accessible aux clients la documentation sur ses politiques et procédures. |
Global doit offrir une formation courante sur ses politiques de confidentialité et sa gestion des renseignements sur les clients. |
Traitement des plaintes et des questions des clients |
Les clients doivent savoir qu’ils peuvent déposer une plainte. Le processus doit être simple et très accessible. Toutes les plaintes reçues doivent être étudiées. Il faut corriger le tir après la résolution d’une plainte. |
Global s’est dotée de procédures pour recevoir les commentaires favorables et les plaintes concernant le traitement des renseignements sur les clients et pour y répondre. Global étudie toutes les plaintes. Quand une plainte est fondée, Global prend les mesures qui s’imposent, voire révise ses politiques et procédures s’il le faut. |
Global doit affiner son processus de traitement des plaintes et s’occuper des questions et préoccupations des clients le plus rapidement possible. Global doit réviser ses politiques et procédures, s’il le faut. |
Les cinq mesures qui suivent seront initiées dès le signalement d'une atteinte à la vie privée, réelle ou présumée. L'officier de protection de la vie privée documentera l'infraction et guidera le responsable (l'employé ou le vendeur) au cours de la procédure de prise en charge de cette infraction.
Étape 1 : signalement. Dresser un rapport et faire une évaluation de ce rapport, dès la prise de conscience d'une atteinte possible aux informations personnelles ou confidentielles. Les soupçons d'infraction doivent immédiatement être signalés à l'officier de protection de la vie privée. On doit suivre cette procédure, même s'il s'agit de soupçon et que l'atteinte à la vie privée n'est pas confirmée. Le rapport doit indiquer :
1. Ce qui s'est passé.
2. L'endroit ou cela a eu lieu.
3. À quel moment l'incident supposé s'est produit?
4. Comment l'infraction a été découverte?
5. Quel type d'information était concerné? (par ex : numérique, papier, information partagée par une personne)
6. Si une mesure corrective a été prise lors de la découverte de l'infraction.
Étape 2 : confinement. Cela implique la prise immédiate d'une mesure corrective pour mettre fin à la pratique non autorisée qui a conduit à l'infraction. L’objectif principal est de limiter toute conséquence néfaste, à la fois pour la (les) personne(s) ou l'information confidentielle et pour Global. Toutes les activités ou tentatives de confinement de l'atteinte à la vie privée doivent être documentées par l'officier de protection de la vie privée.
Étape 3 : enquêter. Une fois que l'atteinte à la vie privée est confirmée et circonscrite, l'officier de protection de la vie privée doit procéder à une enquête pour déterminer la cause et l'étendue de l'infraction :
1. En identifiant et en analysant les évènements qui ont conduit à l'atteinte à la vie privée. Global a-t-il pris les précautions raisonnables pour empêcher l'infraction ?
2. En évaluant si l'infraction était un incident isolé ou s'il risque de se reproduire.
3. En déterminant qui a été touché par l'infraction (les clients ou le personnel, par ex.) et combien de personnes ont été touchées.
4. En évaluant l'effet des activités de confinement.
5. En évaluant qui a eu accès à l'information.
6. En évaluant si l'information a été perdue ou volée.
7. En évaluant si l'information personnelle ou confidentielle a été récupérée.
Étape 4 : notifier.La notification inclut celle qui concerne les personnes, les autorités ou autres organismes concernés (comme la police en cas de soupçon de vol ou de crime). Les personnes concernées seront prévenues rapidement et recevront une première notification le plus vite possible après l'atteinte à la vie privée. D'autres communications avec les personnes concernées peuvent se produire au cours de la procédure en cas de mises à jour. La méthode de notification doit être guidée par la nature et l’étendue de l'infraction, et d'une manière raisonnable pour s’assurer que la personne touchée la recevra. Lorsque la personne est identifiée, on doit utiliser une notification directe : par ex., par téléphone, courrier, courriel, ou en personne.
Étape 5 : prévention des futures atteintes à la vie privée. Une fois l'infraction résolue, l'officier de protection de de la vie privée, la direction et la présidence de Global travailleront ensuite ensemble pour élaborer un plan de prévention ou prendre les mesures correctives nécessaires. Les activités de prévention peuvent inclure : des audits; une révision des politiques, des procédures et des pratiques; de la formation du personnel ; ou une révision de la fourniture des services.