Politique de confidentialité

PROGRAMME DE CONFORMITÉ VISANT LA PROTECTION DES RENSEIGNEMENTS
PERSONNELS (RÉSUMÉ)

Ce qui suit constitue un résumé de notre programme de confidentialité. Pour toutes
questions supplémentaires, précisions ou plaintes, vous pouvez contacter notre agent de
conformité, madame Suzanne Fortin, au (514) 326-7911 ou à l’adresse sfortin@orchestro.ca
La notion de renseignements personnels comprend tout renseignement qui concerne une
personne physique, qui permet de l’identifier directement ou indirectement et qui n’a pas un
caractère public au sens de la Loi sur la protection des renseignements personnels dans le
secteur privé (« Renseignements personnels »).

Dans le cadre de l’exploitation de notre entreprise, nos clients nous fournissent des
Renseignements personnels. Il est crucial de protéger ces Renseignements personnels.
Pour cette raison, Orchestro, Assurances et Rentes collectives a mis à jour sa politique de
protection des Renseignements personnels, en conformité avec les nouvelles dispositions
légales. Tous nos cabinets partenaires (« cabinet ») sont soumis aux lignes directrices
ci-après décrites.

Programme de conformité

Collecte de Renseignements personnels

Au début de toute relation d’affaires avec un client, le cabinet doit obtenir son autorisation
pour la collecte, l’utilisation et la communication de ses Renseignements personnels. Lors
d’interactions ultérieures au cours desquelles des Renseignements personnels
supplémentaires seront recueillis, la vérification du consentement du client sera faite de
façon verbale et consignée au dossier.

La collecte de Renseignements personnels est limitée au strict nécessaire selon les fins
visées. Nos cabinets et nous nous engageons à ce que les Renseignements personnels
soient exacts, mis à jour et corrigés au besoin. Si la collecte de Renseignements personnels
se fait via une solution technologique, les paramètres de confidentialité seront réglés au plus
haut niveau.

L’enregistrement de communication téléphonique implique des Renseignements personnels
et le client doit consentir à l’enregistrement au début de la conversation.
Les Renseignements personnels ne sont pas utilisés ou communiqués à un tiers à des fins
autres que celles auxquelles ils ont été recueillis, sauf si cette utilisation ou communication
est requise ou permise par la loi ou si l’approbation du client a été préalablement obtenue.

Conservation des Renseignements personnels

Le cabinet ne conserve les Renseignements personnels que pendant la période où ils sont
nécessaires aux fins déterminées ou comme requis ou permis par la loi, et est entièrement
responsable de la garde en lieu sûr de ces documents et de la protection de la confidentialité
de ceux-ci. En outre, s’il existe des raisons sérieuses et légitimes de conserver les
Renseignements personnels, ceux-ci peuvent être conservés, mais doivent être anonymisés.
Les Renseignements personnels qui ne sont plus nécessaires aux fins précisées au moment
de la collecte sont détruits ou effacés de façon sécuritaire.

Communication des Renseignements personnels

Il est possible que les Renseignements personnels doivent éventuellement être divulgués à
l’extérieur du Canada ou de la province de résidence du client dans le cadre des activités
quotidiennes du cabinet, y compris à des fins de stockage. Avant que les Renseignements
personnels ne soient transférés à l’extérieur du Québec, une évaluation des répercussions
sur la protection des Renseignements personnels est effectuée par le cabinet.

Si le cabinet utilise un traitement automatisé des Renseignements personnels, le client en
est informé au moment du traitement ou avant, au moyen d’une notification ou d’un
consentement supplémentaire révisé.

Les Renseignements personnels ne sont communiqués que si une autorisation verbale ou
écrite du client a été obtenue, ou lorsque la loi autorise ou oblige le cabinet à les fournir. S’il
s’agit de renseignements de nature délicate, le cabinet doit obtenir l’autorisation écrite du
client à cet effet. Les Renseignements personnels peuvent être transférés sans
consentement s’ils sont nécessaires à l’exécution d’un mandat ou d’un contrat, mais un
accord écrit sera mis en place afin de préciser les mesures que le mandataire ou la
personne exécutant le contrat doit prendre pour protéger la confidentialité des
Renseignements personnels communiqués.

Le cabinet recommandera les services d’autres professionnels ou conseillers aux clients s’ils
en font la demande ou si les clients peuvent tirer avantage de tels services et qu’ils y ont
consenti. Nos cabinets partenaires et nous ne fournissons jamais le nom ni d’autres
renseignements concernant les clients actuels ou potentiels à des tiers susceptibles d’utiliser
ces renseignements en vue d’offrir leurs services, à moins que les clients concernés en
soient informés et y aient consenti.

Les documents relatifs au consentement sont conservés dans les dossiers de chaque client.

Changements d’objectifs

Les Renseignements personnels sont collectés dans un objectif précis. En cas de
changement de l’objectif ayant motivé la collecte, de l’utilisation et de la communication des
Renseignements personnels du client, ainsi que de l’accès à ceux-ci, le cabinet obtient
l’autorisation écrite du client.

Le cabinet passe en revue le nouvel objectif et les nouveaux droits d’accès, d’utilisation et de
communication avec le client et conserve une copie de la nouvelle autorisation dans le
dossier de client.

Si un client s’oppose à un nouvel objectif, il peut demander que ses renseignements ne
soient pas communiqués, de demander de faire affaire avec un nouveau conseiller ou de
recevoir les noms d’autres conseillers avec qui communiquer.

Modification des systèmes impliquant des Renseignements personnels

Avant de modifier ou de remanier un système qui implique le traitement de Renseignements
personnels (la collecte, l’utilisation, la communication, le stockage ou la destruction de tels
renseignements), le cabinet concerné doit réaliser une évaluation.
L’objectif de l’évaluation est de définir les risques liés à la protection des Renseignements
personnels et de mettre en place des mesures de protection des Renseignements
personnels avant de procéder au changement.

Le cabinet doit d’abord consulter son agent de conformité, qui supervise et approuve la
mesure prévue et détermine le risque du changement.

Changement impliquant un fournisseur

Le cabinet exige l’autorisation du client avant de transférer les renseignements d’un client à
un fournisseur et conserve le contrôle sur les renseignements lors du transfert de
Renseignements personnels à un fournisseur aux fins de traitement.

Les transferts de renseignements aux fournisseurs peuvent comprendre les fournisseurs de
service de courrier électronique, les services infonuagiques et les autres services
technologiques et sont effectués pour différentes raisons, notamment le stockage de
données et le traitement ou la manipulation des Renseignements personnels du client.

Avant de conclure, de modifier substantiellement ou de renouveler une entente contractuelle
avec un fournisseur, le cabinet évalue si les renseignements demeureront au Québec et si le
fournisseur dispose des mesures de protection appropriées pour protéger les
Renseignements personnels du client de façon appropriée.

Le cabinet effectue une vérification auprès d’un conseiller juridique avant d’accepter les
modalités du fournisseur et conserve une copie imprimée de l’entente pour ses dossiers.

Exception visant les autorisations de transactions commerciales, le rachat et le
changement d’agent

Les transactions commerciales comprennent, par exemple, la vente d’un cabinet, une fusion
de deux organisations ou plus ou toute autre entente prescrite entre deux organisations ou
plus visant à mener une activité commerciale.

Lorsque nécessaire, le cabinet transfère des Renseignements personnels afin de déterminer
si une transaction doit être effectuée, ou afin d’effectuer une transaction. Les
renseignements doivent uniquement être utilisés ou communiqués aux fins relatives à la
transaction, protégés de façon adéquate, retournés ou détruits lorsqu’ils ne sont plus
nécessaires à cette fin, et les clients concernés doivent être avisés que leurs
Renseignements personnels ont été transférés à une autre organisation.

Lors de la réception de Renseignements personnels, le cabinet conclut une entente visant à
utiliser ou à communiquer les renseignements uniquement dans le cadre de la transaction et
à les protéger ou à les détruire si la transaction n’est pas effectuée. Si la transaction est
effectuée, le cabinet avisera les clients concernés que leurs Renseignements personnels ont
été transférés à une autre organisation.

Dans le cadre d’une opération de rachat, le cabinet utilisera, communiquera et protégera les
renseignements du client pendant le processus d’évaluation et lors de la recherche d’un
acheteur pour le bloc d’affaires ou au moment d’acheter un bloc d’affaires.

Le cabinet limite l’identification des renseignements de client dans les documents partagés
avec des tiers et communique avec des conseillers juridiques pour rédiger une entente de
confidentialité appropriée qui doit être signée par les tiers visés par le processus d’évaluation
du bloc d’affaires en vue d’un achat ou d’une vente possible.

Dans le cas d’un changement d’agent réalisateur demandé par le client, le cabinet présume
l’approbation de transfert d’accès aux renseignements et aux dossiers du client, le cas
échéant, au nouveau conseiller.

Demande d’accès à un renseignement personnel

Les clients ont le droit d’accéder à leurs Renseignements personnels consignés dans nos
dossiers et de contester leur exactitude, le cas échéant.

Toute demande d’accès d’un client à ses Renseignements personnels consignés dans nos
dossiers est envoyée à l’agent de conformité du cabinet afin qu’il réponde à la demande du
client. La date et les modalités de la demande sont consignées jusqu’à ce qu’elle soit
exécutée. L’agent de la conformité aidera le client à préparer sa demande d’accès, au
besoin. Les renseignements sont fournis au client le plus rapidement possible et au plus tard
dans les 30 jours suivant la réception de la demande, dans un format technologique
couramment utilisé. Toutes corrections, toutes modifications ou tous désaccords relatifs aux
Renseignements personnels sont consignés par l’agent de conformité

Décisions automatisées

Si un cabinet met en place une technologie de prise de décision automatisée, à la demande
du client, il lui fera savoir, au plus tard au moment où il l’informe de la décision, quels
Renseignements personnels ont été utilisés pour prendre la décision et lui expliquera,
comment la décision a été prise. Le client conserve le droit de consulter et de corriger tout
renseignement erroné.

Usage à mauvais escient des Renseignements personnels

L’agent de conformité du cabinet doit signaler sans délai tout usage à mauvais escient de
Renseignements personnels ou toute atteinte possible aux mesures de sécurité quant aux
produits et aux services de la compagnie au chef de la conformité de la compagnie.
Processus visant les incidents en matière de confidentialité
et les atteintes à la vie privée

Une atteinte à la vie privée survient lors de la divulgation ou de l’utilisation non autorisée de
Renseignements personnels, de l’accès non autorisé à de tels renseignements ou de la
perte de Renseignements personnels découlant d’une atteinte aux mesures de sécurité. Une
atteinte à la vie privée comprend également toute autre atteinte à la protection des
Renseignements personnels qui n’est pas conforme à la législation relative à la protection
des Renseignements personnels.

Toutes les atteintes font l’objet d’une évaluation afin de déterminer le risque pour le client. En
cas de risques graves ou sérieux, l’atteinte est signalée à la Commission d’accès à
l’information au Québec et/ou au Commissariat fédéral à la protection de la vie privée du
Canada et aux commissaires provinciaux à la protection de la vie privée en dehors du
Québec, selon le cas.

Politique

Les atteintes présumées ou réelles, les plaintes ou toutes les préoccupations reliées à un
problème de confidentialité sont immédiatement déclarées à l’agent de conformité du cabinet
et à Orchestro, Assurances et Rentes collectives. L’agent de conformité du cabinet empêche

la divulgation des renseignements, évalue la situation, la corrige et contribue à l’amélioration
des mesures de contrôle afin d’éviter toute atteinte semblable à l’avenir.

Des mesures supplémentaires et adaptées sont prévues selon le type d’atteinte (perte, vol
ou piratage d’appareils électroniques, perte ou vol de documents papier, courriels ou courrier
envoyés aux mauvais destinataires, cyberattaques, rançongiciels, etc.). Tous les cabinets
partenaires doivent s’y soumettre afin de protéger les Renseignements personnels des
clients.

Conformément à la loi, l’atteinte est documentée dès que possible. Le cabinet tient à jour un
registre de toutes les atteintes à la vie privée avec tous les renseignements demandés par la
loi. Le registre recense les atteintes des cinq (5) dernières années et est remis, sur
demande, à la Commission d’accès à l’information (CAI).

À l’extérieur du Québec, les dossiers sur toutes les atteintes à la vie privée sont conservés
pendant 24 mois.

Évaluation du risque et procédure

Orchestro, Assurances et Rentes collectives a mis sur pieds une échelle du risque
personnalisée concernant les atteintes à la protection des Renseignements personnels. Les
risques graves ou sérieux ne seront pas traités de la même façon que les risques faibles.
Toutes les atteintes doivent faire l’objet d’une évaluation.

En ce qui concerne le cas particulier des renseignements de Canada Vie, le cabinet doit être
en communication avec la Conformité des conseillers – Québec ou la Conformité des
conseillers, en ce qui concerne la détermination du risque et la communication de l’atteinte.
Si le cabinet détermine que l’incident impliquant un des Renseignements personnels
présente un risque grave ou sérieux, la CAI (ou tout autre commissaire pertinent) et le client
seront avisés de l’atteinte dans les plus brefs délais. L’avis sera fourni par le cabinet aux
personnes concernées et inclura i) une description des circonstances de l’atteinte, ii) la date
à laquelle l’atteinte s’est produite ou la période sur laquelle elle s’est échelonnée, ou, si les
dates précises sont inconnues, une approximation des dates, iii) une description des
Renseignements personnels touchés, dans la mesure où il est possible de le déterminer, iv)
une description des mesures que la pratique a mises en place pour réduire les risques de
préjudice découlant de l’atteinte, v) une description des mesures que pourraient prendre les
personnes concernées pour réduire les risques de préjudice découlant de l’atteinte ou
atténuer ces préjudices et vi) les coordonnées permettant aux personnes concernées de se
renseigner davantage au sujet de l’atteinte.

Nos cabinets partenaires et nous nous engageons, à la suite de toute atteinte, à passer en
revue tous les processus, toutes les mises à jour du système, toutes les formations des
employés, puis à apporter des améliorations au besoin afin d’éviter que les incidents ne se
reproduisent.

Personne-ressource

La personne-ressource à contacter est madame Suzanne Fortin, au (514) 326-7911 ou à
l’adresse sfortin@orchestro.ca.
Destruction sécuritaire

Nous avons mis en place une politique de destruction sécuritaire des documents sur format
papier et électroniques. Les dossiers, évaluations et documents relatifs aux clients du
cabinet doivent être conservés pendant au moins la durée minimale stipulée par la loi.
Les dossiers peuvent être conservés au-delà de la période de conservation requise à des
fins de litiges. Les dossiers conservés à ces fins doivent être stockés séparément, en toute
sécurité, et n’être accessibles qu’en cas de litige.

Les mesures de protection appropriées sont prises pour ce qui est du stockage et de
l’élimination des renseignements sur les clients. Toutes les personnes liées au cabinet ou à
son emploi sont tenues de respecter les procédures établies.

Le cabinet utilise une combinaison de mesures de protection technologiques, physiques et
organisationnelles pour protéger les Renseignements personnels des clients contre le vol et
la mauvaise utilisation, ainsi que contre l’accès, la communication, la reproduction,
l’utilisation ou les modifications non autorisées.

Le cabinet doit entre autres utiliser des logiciels de chiffrement des données, des antivirus et
des coupe-feux et les tenir à jour.

L’aménagement des bureaux du cabinet est pensé de façon à préserver la confidentialité
des clients et de leurs Renseignements personnels. Les dossiers de renseignements
personnels sont conservés à l’écart et dans des classeurs verrouillés. Les ordinateurs et les
appareils mobiles des employés des cabinets sont également soumis à certaines restrictions
afin de protéger les Renseignements personnels des clients, tant à l’intérieur qu’à l’extérieur
des cabinets.

En ce qui concerne les renseignements de nature délicate, ils ne peuvent être communiqués
par courriel, sauf si le client en a fait la demande. Si une demande est effectuée par courriel,
il est nécessaire d’identifier la personne avant de fournir des Renseignements personnels
par courriel.

Tous les employés de Orchestro, Assurances et Rentes collectives et des cabinets sont
avisés de l’importance de protéger la sécurité et la confidentialité des Renseignements
personnels. Lorsque des Renseignements personnels sont de nature délicate ou que les
conséquences possibles d’une communication non appropriée sont importantes, le
cabinet utilise les ententes de confidentialité avec les employés, prend des mesures
appropriées pour protéger les renseignements de client contre des tiers qui peuvent avoir
accès aux bureaux, notamment les agents de sécurité, les préposés à l’entretien ménager et
les fournisseurs et obtient, le cas échéant, une entente de non-divulgation de la personne ou
de l’entreprise chargée de la réparation de l’appareil si les renseignements confidentiels ne
peuvent pas être retirés d’un appareil avant sa réparation.

Tous les employés de Orchestro, Assurances et Rentes collectives et des cabinets reçoivent
une formation qui doit obligatoirement être suivie avant qu’un accès aux Renseignements
personnels soit accordé. Une formation continue et d’appoint est fournie aux employés,
selon les exigences de leur poste, sous la supervision de l’agent de conformité.