Politique en matière de protection des renseignements personnels et procédure en cas d’atteinte

  1. Notre Engagement

Afin de vous donner accès à nos services, Oracle Fiscalistes conserve certains de vos renseignements personnels et assurons la protection de ceux-ci. Nous respectons la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), une loi fédérale concernant la protection des renseignements personnels, et toute loi provinciale qui s’applique.

  1. Responsabilité

Nous sommes responsables des renseignements personnels que nous recevons de nos clients. Nous protégerons ces renseignements, quel que soit le moyen utilisé lors de la transmission.

  1. Consentement

Nous recueillerons uniquement les renseignements avec votre consentement. Il y aura utilisation de vos renseignements personnels pour trouver des produits, des concepts et des services fiscaux qui répondent aux besoins que vous avez identifiés. En signant le formulaire d’autorisation, vous consentez, en votre nom ainsi qu’au nom de vos liquidateurs, administrateurs ou cessionnaires, à :

– Fournir des renseignements exacts tout au long de notre relation d’affaires et au fur et à mesure que votre situation évolue.

– Nous permettre d’utiliser, de transmettre et de divulguer ces renseignements au besoin à nos collaborateurs, associés et vos professionnels au dossier, qui pourraient conserver certains renseignements dans leurs dossiers pour une utilisation et une recommandation ultérieure par nous.

– Nous permettre de conserver vos renseignements personnels dans nos dossiers papier et électroniques aussi longtemps que vous souhaitez faire affaires avec nous ou que nous devions satisfaire à un besoin commercial ou règlementaire en conservant les renseignements.

– Céder votre dossier, y compris vos renseignements personnels, à un autre associé et/ou à l’Ordre des CPA, pour continuer à répondre à vos besoins, advenant l’invalidité, le décès, la retraite ou tout autre événement majeur affectant notre cabinet. Vous avez cependant le droit de choisir votre propre cabinet à ce moment-là, si jamais vous n’êtes pas d’accord avec celui qui vous a été attribué.

  1. Raisons de la collecte / utilisation / conservation

Nous recueillons tous les renseignements personnels (y compris les renseignements médicaux et financiers ainsi que ceux sur la société et les renseignements qui y sont liés) avec votre consentement. Nous les utilisons et les conservons uniquement afin de fournir des conseils ou des services que vous achetez par notre entremise et de vous conseiller de nouveaux produits ou services qui pourraient vous intéresser.

  1. Limite de la collecte

Nous recueillons et conservons uniquement les renseignements qui nous aident à vous conseiller, y compris les renseignements personnels et financiers, et à répondre à nos obligations règlementaires. Nous utilisons uniquement des moyens équitables et légaux pour recueillir ces renseignements.

  1. Limite de l’utilisation / communication / conservation

Nous utiliserons et divulguerons vos renseignements personnels afin de remplir nos fonctions, de vous conseiller et, s’il y a lieu, de respecter la loi. Les renseignements personnels contenus dans votre dossier client seront communiqués seulement :

– À nos employés et aux personnes que nous aurons autorisés, comme par exemple des professionnels afin de vous aider dans des domaines d’expertise qui dépassent notre compétence.
– Aux tiers fournisseurs de services complémentaires que nous aurons autorisés; s’ils sont situés à l’étranger, vos renseignements personnels peuvent alors être assujettis aux lois applicables, y compris les lois sur l’accès à l’information des autorités publiques, d’autres pays;
– Aux personnes ou aux entités à qui vous y avez donné accès ou qui sont autorisées à y accéder en vertu de la loi.

Nous avons l’obligation de conserver la plupart des renseignements que nous recueillons pour des raisons règlementaires, y compris l’exigence de démontrer que les recommandations que nous faisons sont appropriées et répondent à vos besoins identifiés.

Conformément aux lois applicables et à votre autorisation écrite, vous avez le droit de prendre connaissance des renseignements personnels qui sont contenus dans votre dossier. À votre demande, des copies (et non des originaux) d’autres documents personnels, comme des polices d’assurance, des testaments ou des mandats (procurations), peuvent être conservées dans votre dossier.

  1. Exactitude des renseignements

Afin de faire les recommandations appropriées, nous devons / je dois recevoir des renseignements exacts. Il nous incombe de conserver les renseignements à votre sujet aussi exacts et à jour que possible. Si la situation le permet, nous tenterons de mettre à jour vos renseignements personnels afin de déterminer si les recommandations que nous avons faites sont toujours appropriées selon l’évolution de votre situation. Cependant, nous nous fions également à vous pour nous fournir des mises à jour régulières pour la même raison. Vous pouvez passer en revue les renseignements personnels que nous conservons à votre sujet sur demande.

  1. Efforts déployés afin de protéger vos renseignements personnels

Tous les membres du personnel, les conseillers fiscaux associés, et les fournisseurs qui ont accès aux dossiers des clients doivent protéger ces renseignements, les garder confidentiels et les utiliser uniquement aux fins prévues. Les renseignements qui ne sont plus requis aux fins prévues seront détruits. Nous avons également mis en place des mesures de protection physiques et informatiques, ainsi que d’autres processus, pour protéger les renseignements des clients d’un accès non autorisé.

En annexe A, vous trouverez notre procédure en cas de manquement / brèche / atteinte à la protection de vos renseignements personnels.

  1. Vos choix en matière de renseignements personnels

Vous pouvez retirer votre consentement en tout temps (sous réserve de restrictions contractuelles ou légales de nous fournir un préavis raisonnable) en communiquant avec nous. Si vous retirez votre consentement, nous pourrions être dans l’impossibilité de vous fournir les services demandés et nous pourrions devoir mettre fin à notre relation d’affaires.

  1. Votre droit de porter plainte

Si vous avez des préoccupations concernant la collecte, l’utilisation ou la divulgation de vos renseignements personnels, vous avez le droit de porter plainte auprès de nous ou du Commissariat à la protection de la vie privée :

Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec) K1A 1H3
Sans frais : 1-800-282-1376

Chef de la protection des renseignements personnels :

Marie-Christine Tétreault
200 Bd du Curé-Labelle bureau 201, Sainte-Thérèse, QC J7E 2X5

 

ANNEXE A – Procédure en cas de manquement / brèche / atteinte

Une atteinte à la protection des renseignements personnels survient lorsqu’il y a accès non autorisé à des renseignements personnels ou collecte, utilisation ou communication non autorisée de tels renseignements. Ces activités sont « non autorisées » lorsqu’elles contreviennent aux lois applicables en matière de protection des renseignements personnels, telles que la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), ou aux lois provinciales similaires en matière de protection des renseignements personnels. Certaines des atteintes les plus courantes à la protection des renseignements personnels surviennent lorsque les renseignements personnels d’un consommateur, d’un patient, d’un client, ou d’un employé sont volés, perdus ou distribués par erreur (p. ex., le vol d’un ordinateur contenant des renseignements personnels ou l’envoi par erreur d’un courriel contenant des renseignements personnels à la mauvaise personne). Une atteinte peut également être la conséquence d’une procédure déficiente ou d’une défaillance opérationnelle.

Tel que déterminé par la Commission d’accès à l’information du Québec (www.cai.gouv.qc.ca), nous suivrons les six (6) étapes suivantes en cas d’atteinte à la protection de vos renseignements personnels:

1) Évaluation préliminaire de la situation
2) Limite de l’atteinte à la vie privée
3) Évaluation des risques associés à l’atteinte
4) Notification à l’intention des personnes concernées
5) Prévention
6) Suivi

Étape 1 : Évaluation préliminaire de la situation

  1. a) Définir sommairement le contexte de la perte ou du vol de renseignements personnels:
    – Identifier les renseignements personnels touchés ainsi que leur support;
    – Identifier les personnes, leur nombre ainsi que le groupe de personnes (clients, employés, etc.) touchées;
    – Établir le contexte des événements (date, heure, lieu, etc.);
    – Identifier, si possible, les circonstances entourant la perte (cause, personnes susceptibles d’être impliquées dans l’incident, etc.);
    – Répertorier les mesures de sécurité physiques et informatiques en place lors de l’incident.
  2. b) Informer les autorités externes concernés qui doivent être avisés de l’incident immédiatement:
    (avant l’évaluation des risques)
    – Service de police (si les circonstances laissent croire à la possibilité d’un crime);
    – Commission d’accès à l’information (lien vers le formulaire)
  3. c) Désigner une personne ou une équipe responsable de la gestion de la situation.
  4. d) Informer les intervenants concernés à l’interne :
    – Dirigeants de l’organisme ou de l’entreprise;
    – Responsable de l’unité administrative concernée;
    – Responsable de la protection des renseignements personnels;
    – Conseiller juridique;
    – Direction des communications (gestion des médias et des appels de la clientèle).

 

Étape 2 : Limite de l’atteinte à la vie privée

Prendre sans tarder des mesures adéquates pour limiter les conséquences pour les personnes concernées d’une possibilité d’utilisation malveillante de leurs renseignements personnels, de l’usurpation ou du vol de leur identité :

  1. a) Prendre des mesures afin de limiter immédiatement les conséquences d’une perte ou d’un vol de renseignements personnels en s’assurant de mettre fin à la pratique non conforme le cas échéant;
  2. b) Récupérer les dossiers physiques ou numériques, selon le cas;
  3. c) Révoquer ou modifier les mots de passe ou les codes d’accès informatiques;
  4. d) Contrôler les lacunes dans les systèmes de sécurité.

 

Étape 3 : Évaluation des risques associés à l’atteinte

  1. a) Compléter une évaluation préliminaire des risques, en considérant la sensibilité des renseignements personnels en cause, tenant compte de leur nature, leur quantité, la possibilité de les combiner avec d’autres renseignements, les personnes concernées, etc.;
  2. b) Déterminer le contexte de l’incident incluant :
    – la cause (ex. le caractère délibéré ou non de la perte ou du vol de renseignements personnels, l’erreur humaine, une faille informatique, etc.);
    – les auteurs connus ou probables des renseignements personnels perdus ou subtilisés (ex. organisation criminelle, public en général, etc.);
    – l’étendue de la situation (nombre de personnes touchées et secteurs touchés);
    – le caractère systémique ou non de la disparition des renseignements personnels (particulièrement lorsque la perte n’est pas générée directement par une intervention humaine);
    – une évaluation de la probabilité qu’un événement similaire se reproduise.
  3. c) Évaluer la possibilité que les renseignements personnels concernés fassent l’objet d’une utilisation préjudiciable pour les personnes concernées en tenant compte, notamment, des mesures de sécurité prises pour les protéger, de leur difficulté d’accès et de leur intelligibilité (mot de passe, encodage, etc.);
  4. d) Évaluer le caractère réversible ou non de la situation, dont la possibilité de récupérer les renseignements personnels;
  5. e) Évaluer si les mesures immédiates prises étaient adéquates pour limiter l’atteinte et les compléter si nécessaire;
  6. f) Déterminer les préjudices potentiels, notamment en évaluant les possibilités d’utilisation future des renseignements personnels par des personnes malveillantes, notamment pour le vol d’identité;
  7. g) Déterminer les priorités et identifier les actions à prendre à partir des résultats de l’évaluation de ces risques.

 

Étape 4 : Notification à l’intention des personnes concernées

  1. a) Déterminer qui doit être mis au courant de la perte ou du vol de renseignements personnels en fonction de l’évaluation des risques:
    – Service de police : Dans les cas où la disparition peut résulter de la commission d’un crime, le service de police concerné doit être avisé des éléments entourant cette disparition tout d’abord et, ensuite, de toutes les démarches subséquentes. Il est nécessaire de porter une attention particulière afin de ne pas nuire à l’enquête et de préserver les éléments de preuve pouvant être pertinents;
    – Personnes concernées : Si la perte ou le vol de renseignements personnels présente un risque de préjudice pour les personnes concernées, celles-ci devraient en être avisées sans tarder. Il ne s’agit pas d’alarmer mais de prévenir afin de leur permettre de prendre les mesures pertinentes pour protéger leurs renseignements personnels;
    – Commission d’accès à l’information: Si les personnes concernées par les renseignements personnels proviennent du Québec, la Commission pourrait amorcer une inspection ou une enquête et jouer un rôle de conseiller dans la recherche de solution;
    – Autres : Il peut également être nécessaire d’aviser d’autres intervenants, tels que les agences de crédit, un mandataire, un cocontractant, une instance gouvernementale, un syndicat, un ordre professionnel, etc.

Toutefois, dans la diffusion des informations concernant la perte de renseignements personnels, une attention particulière doit être portée afin de ne pas aggraver le préjudice que pourraient subir les personnes concernées (ex. limiter au minimum les renseignements personnels dans les avis).

  1. b) Désigner les personnes responsables d’aviser les intervenants externes identifiés précédemment ainsi que le moment et le moyen (lettre, courriel, téléphone);
  2. c) Le cas échéant, identifier et consigner les motifs à l’origine de la décision de ne pas aviser les personnes concernées et les autres intervenants.

Avis aux personnes concernées par une perte ou un vol de leurs renseignements personnels :

Selon les circonstances, il pourrait s’avérer nécessaire d’aviser les personnes victimes de la perte ou du vol de leurs renseignements personnels. Cet avis pourrait inclure certains des éléments suivants:

– Le contexte de l’incident et le moment où il s’est produit ainsi qu’une description de la nature des renseignements personnels touchés ou potentiellement touchés, sans dévoiler de renseignements personnels spécifiques;
– Une description sommaire des mesures prises afin de limiter ou de prévenir tout préjudice, ainsi que la liste des personnes qui ont été informées de la situation (Service de police, Commission d’accès à l’information, etc.);
– Les actions prises par les organismes et les entreprises pour aider les personnes concernées (Service d’aide et d’information, Abonnement alerte crédit, etc.);
– Les mesures que les personnes concernées peuvent prendre afin de réduire les risques de préjudice ou pour mieux se protéger (référence au document « Le vol d’identité » disponible à la Commission d’accès à l’information);

– Les autres documents d’information générale conçus pour aider les personnes à se prémunir contre le vol d’identité;
– Les coordonnées d’un interlocuteur de l’organisation qui peut répondre aux questions et à qui il est possible d’effectuer tout signalement;
– Les principales mesures qui seront prises pour éviter que la situation ne se reproduise (changement de pratique ou de processus, la formation du personnel, la révision ou l’élaboration de politiques, une vérification, un suivi périodique, etc.).

Étape 5 : Prévention

  1. a) Approfondir l’analyse des circonstances de la perte ou du vol des renseignements personnels et effectuer une description chronologique des événements et des actions prises face à cet incident, incluant les dates et les intervenants concernés;
  2. b) Répertorier et examiner les normes, politiques ou directives internes en place au moment de l’incident, autant au niveau de la sécurité informatique, lorsque l’information est en cause, que de la protection des renseignements personnels en général;
  3. c) Vérifier si ces normes, politiques ou directives internes ont été suivies par les personnes impliquées, identifier les raisons pour lesquelles elles n’ont pas été suivies, le cas échéant;
  4. d) S’il s’agit d’une erreur de procédure ou d’une défaillance opérationnelle, les consigner au dossier de sécurité et adapter les processus pour éviter qu’un tel incident ne survienne à nouveau;
  5. e) Évaluer la nécessité d’élaborer une politique en matière de traitement d’une perte ou d’un vol de renseignements personnels au sein de l’organisme ou de l’entreprise;
  6. f) Formuler les recommandations relatives aux solutions à moyen et long termes et aux stratégies de prévention;
  7. g) S’assurer de la réelle nécessité, pour l’organisme ou l’entreprise, de la collecte des renseignements personnels concernés;
  8. h) Prévoir le suivi devant être accordé.

 

Étape 6 : Suivi

Il est important d’effectuer le suivi :

  1. a) du processus de traitement qui doit être appliqué lors d’une perte ou d’un vol de renseignements personnels et des résultats obtenus afin de l’améliorer, s’il y a lieu;
  2. b) des mesures de sécurité requises à la suite de l’incident et de leur performance afin d’améliorer les processus et place et de mettre à jour la Politique en matière de protection des renseignements personnels;
  3. c) de la communication de l’information pertinente à la Commission d’accès à l’information et au service de police impliqué, le cas échéant.

 

Tenue de dossier

Il est également obligatoire de tenir un registre de tous les événements d’atteinte à la protection des renseignements personnels, même si certains n’avaient aucun risque de préjudice grave. Tout événement doit être conservé au moins deux ans afin que le Commissariat à la protection de la vie privée puisse les examiner, sur demande.

Les dossiers doivent inclure, au minimum, les éléments suivants :

– la date ou durée estimée de l’atteinte ;
– une description des circonstances de l’atteinte ;
– la nature des renseignements en cause dans l’atteinte ;
– l’existence d’un rapport au Commissariat à la protection de la vie privée ou le nom des autres organisations avisées, s’il y a lieu ;
– une courte explication des raisons pour lesquelles l’organisation a déterminé qu’il n’y avait aucun risque de préjudice grave si l’atteinte n’a pas fait l’objet d’un rapport au Commissariat à la protection de la vie privée.

Ressources

Vous trouverez des renseignements détaillés sur toutes vos obligations ayant trait à la protection des renseignements personnels au www.priv.gc.ca.