Normes de protection des renseignements personnels

Les 10 principes de protection des renseignements personnels
Vos responsabilités en vertu de la Loi

1. Responsabilité

Une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une personne ou des personnes qui veilleront au respect des principes liés à la protection des renseignements personnels.

Astuce : Le fait de bien comprendre la Loi sur la protection des renseignements personnels et les documents électroniques du Canada (LPRPDE) vous aidera à éviter les problèmes liés à la protection des renseignements personnels. Pour obtenir plus de renseignements à ce sujet, rendez-vous à l’adresse : www.privcom.gc.ca.

2. Détermination des fins de la collecte des renseignements

Les fins pour lesquelles des renseignements personnels sont recueillis doivent être déterminées par l’organisation avant la collecte ou au moment de celle-ci.

Astuce : Déterminez l’utilisation que vous prévoyez faire avec les données recueillies le plus précisément et clairement possible pour que le client sache à quelles fins les renseignements seront utilisés.

3. Consentement

Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels la concernant et y consentir, à moins qu’il ne soit pas approprié de le faire.

Astuce : Le consentement n’a de signification que si la personne comprend comment cette information sera utilisée.

4. Limitation de la collecte

L’organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon et honnête et licite.

Astuce : Ne demandez que les renseignements nécessaires pour le service ou le produit fourni.

5. Limitation de l’utilisation, de la communication et de la conservation des renseignements

Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi l’exige. On ne doit conserver les renseignements personnels que le temps nécessaire pour la réalisation des fins déterminées.

Astuce : Vérifiez régulièrement si les renseignements sont toujours nécessaires.

6. Exactitude

Les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés.

Astuce : Pour savoir si les renseignements doivent être mis à jour, on peut se demander si l'utilisation ou la divulgation de renseignements périmés ou incomplets ferait du tort à la personne.

7. Mesures de sécurité

Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Astuce : Gardez les dossiers sous clé. Limitez l’accès des employés qu’aux renseignements essentiels à leur travail.

8. Transparence

Toute organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.

Astuce : Les renseignements sur les principes directeurs et les pratiques peuvent être fournis sur demande en personne, par écrit, par téléphone, dans des publications ou par le biais du site Web d’une organisation.

9. Accès aux renseignements personnels

Toute organisation doit informer la personne qui en fait la demande de l’existence de renseignements personnels la concernant, de l'usage qui en est fait et du fait qu'ils ont été communiqués à des tiers, et lui permettre de les consulter. La personne concernée pourra contester l’exactitude et l’intégralité des renseignements et y faire apporter les corrections appropriées.

Astuce : Consignez les renseignements personnels en un seul et même endroit ou notez où ils se trouvent afin de faciliter la recherche. Ne divulguez jamais les renseignements personnels, à moins d’avoir établi l’identité de la personne qui en fait la demande et de vous être assuré qu’elle a le droit d’obtenir ces renseignements.

10. Possibilité de porter plainte en cas de non-respect des principes

Toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec la ou les personnes chargées de les faire respecter au sein de l’organisation concernée.

Astuce : Le traitement accordé aux plaintes peut contribuer à préserver ou à restaurer la confiance d’une personne dans une organisation.

Renseignements : Qualbus@sunlife.com

Conseils de sécurité simples et pratiques pour les mots de passe

Les mots de passe sont utilisés pour protéger des renseignements de valeur qui ne doivent pas être communiqués à d'autres personnes ou divulgués.

  • N’écrivez jamais vos mots de passe.
  • Les mots de passe constituent le premier moyen de défense des renseignements confidentiels qui se trouvent sur votre ordinateur. Changez-les souvent et faites en sorte qu'ils soient difficiles à deviner et qu'ils soient composés d'au moins 8 caractères, de majuscules et de minuscules et de caractères spéciaux, si vous en avez la possibilité.
  • Ne communiquez vos mots de passe à personne, pas même à vos adjoints administratifs ou à vos conseillers de soutien. Aucune autre personne que vous ne devrait connaître vos mots de passe.
  • Lorsque vous donnez votre mot de passe, vous êtes lié à toutes les opérations effectuées pendant la session ouverte sur votre ordinateur. Cela comprend les erreurs, les attaques malveillantes, les activités criminelles, etc.

Il existe plusieurs façons d'obtenir un mot de passe, avec ou sans votre consentement. Par exemples :

  • Vous le donnez à un ami ou à un collègue pour qu'il puisse accéder à votre système.
  • Vous l'écrivez, puis vous le laissez à la vue d'une autre personne.
  • Vous le donnez involontairement à un pirate informatique lors d'une escroquerie informatique. Les pirates informatiques cherchent toujours des moyens de s’introduire dans les systèmes. Ils peuvent se faire passer pour des membres de l'équipe de soutien technique par exemple, puis ils amènent les gens à leur fournir leur mot de passe.
  • Vous ne mettez pas fin à votre session ou vous ne verrouillez pas votre ordinateur. De cette façon, vous communiquez par mégarde votre mot de passe avec toutes les personnes qui utiliseront votre ordinateur pendant que votre session est ouverte.
Conseils de sécurité simples et pratiques

Vous avez accès quotidiennement aux renseignements ayant trait à la santé et à la situation financière de clients. Les clients s'attendent à ce que vous protégiez ces renseignements personnels afin que ceux-ci ne se retrouvent pas entre les mains de personnes malveillantes. Vous ne devez pas tenir pour acquis la confiance que vos clients vous accordent. Traitez leurs renseignements personnels de la même façon que vous aimeriez que les entreprises avec lesquelles vous faites affaire traitent vos propres renseignements personnels.

Voici quelques conseils utiles à adopter :

Conseils pour les ordinateurs portatifs
  • Fixez toujours votre ordinateur portatif à votre bureau à l'aide d'un câble de sécurité.
  • Mettez toujours votre ordinateur portatif dans un tiroir ou un meuble verrouillé à la fin de votre journée de travail, si vous ne l'emportez pas à la maison avec vous.
  • Ne laissez jamais votre ordinateur portatif sans surveillance dans des endroits publics (p. ex., salle de réunion, toilettes, domicile d'un client ou restaurant). Ne le perdez pas de vue.
  • Placez toujours votre ordinateur portatif et les dossiers de vos clients dans le coffre de votre voiture lorsque vous vous déplacez. Mettez-les dans le coffre avant d'arriver à destination. Si votre voiture n'a pas de coffre, ne laissez pas votre ordinateur dans votre voiture. Emportez-le avec vous.
  • Gardez toujours votre ordinateur portatif avec vous (bagages à main) lorsque vous prenez l'avion ou le train.
  • À l'hôtel, si vous devez sortir sans votre ordinateur, mettez-le toujours dans le coffre-fort de votre chambre ou dans celui de l'hôtel.
  • Ne laissez jamais votre ordinateur portatif dans votre voiture pour de longues périodes ou pour la nuit.
  • Activez toujours votre écran de veille protégé par un mot de passe, même si vous ne vous éloignez de votre bureau que pour quelques minutes.
  • Éteignez toujours votre ordinateur (ou mettez-le en mode veille) lorsque vous ne l'utilisez pas.
  • N'oubliez jamais que lorsque vous êtes dans un endroit public, les gens autour de vous peuvent voir ce qu'il y a à votre écran. Chaque fois que vous êtes dans un endroit public et que vous consultez des renseignements confidentiels sur votre ordinateur, soyez extrêmement prudent. Soyez toujours conscient de ce qui se passe autour de vous pour éviter de divulguer des renseignements confidentiels à des personnes non autorisées. Vous ne savez pas qui vous observe!
  • Soyez toujours prudent lorsque vous utilisez des réseaux sans fil qui ne sont pas sécurisés.
Conseils de sécurité physique
  • Verrouillez toujours la porte de votre bureau.
  • Gardez toujours les renseignements confidentiels concernant les clients dans des armoires ou des tiroirs fermés à clés.
  • Ne laissez jamais de renseignements confidentiels à portée de la main et sans surveillance sur votre bureau.
  • Mettez toujours les documents en sûreté et activez votre écran de veille protégé par un mot de passe lorsque vous vous éloignez de votre bureau.
  • Faites toujours des copies de sauvegarde de votre disque dur et gardez une copie de sauvegarde ailleurs que sur votre lieu de travail, dans un classeur fermé à clé et en lieu sûr.
Conseils pour protéger les renseignements personnels des clients
  • N'envoyez jamais de renseignements confidentiels non chiffrés par courriel sur Internet. L'envoi de courriels par Internet n'est pas sécuritaire. Les courriels envoyés par Internet peuvent se retrouver sur des écrans partout dans le monde en quelques minutes et être lus par tous les gens qui y ont accès.
  • Soyez toujours sur vos gardes et faites preuve de discrétion si vous devez discuter de renseignements confidentiels en public. On ne sait jamais qui peut écouter.
  • Récupérez toujours vos impressions sur-le-champ lorsque vous imprimez des renseignements confidentiels.
  • Faites toujours preuve de prudence lorsque vous utilisez des papillons adhésifs ou des morceaux de papier pour noter des renseignements confidentiels comme des renseignements sur vos clients.
  • Veillez à ce que les renseignements confidentiels soient toujours déchiquetés au moyen d'une déchiqueteuse avec coupe en travers.
  • Informez-vous toujours du destinataire lorsque vous envoyez des renseignements confidentiels par télécopieur. Avant d'effectuer l'envoi, appelez le destinataire afin qu'il soit près du télécopieur au moment de la réception. Vérifiez toujours une deuxième fois le numéro avant d'envoyer la télécopie.
Renseignements perdus ou volés

À titre de conseiller, vous êtes chargé de protéger les renseignements personnels de vos clients. Lorsque ces renseignements sont compromis, le risque de vol d'identité est plus grand.

Les renseignements personnels des clients peuvent être compromis si l'un des articles suivants est volé, perdu, ou qu'une personne non autorisée y a accès :

  • ordinateurs portatifs
  • Blackberry ou autres appareils de poche
  • cartes mémoires, CD ou toute autre unité de stockage mobile
  • dossiers papier des clients

Avisez le responsable du contrôle de la conformité approprié de votre compagnie de distribution ou de tout autre fournisseur que les renseignements de leurs clients peuvent avoir été compromis.

Vous envoyez une télécopie? Ayez à l'esprit ces meilleures pratiques…
Avant d'envoyer une télécopie

Remplissez un bordereau : assurez-vous qu'un avis de confidentialité y figure ainsi que votre nom et votre numéro de téléphone.

Veillez à ce que le nom de l'expéditeur (le nom de votre service) et votre numéro de télécopieur soient programmés correctement.

Vérifiez le numéro de télécopieur du destinataire (3 fois plutôt qu'une) :

  • Le numéro a-t-il changé récemment? Est-ce un numéro programmé d'avance dans le télécopieur?
  • L'avez-vous indiqué correctement sur le bordereau?
  • L'avez-vous entré correctement? Vérifiez-le sur l'écran de l'appareil avant d'appuyer sur le bouton d'envoi.

Le document contient-il des renseignements personnels concernant un client ou un employé ou des renseignements confidentiels?

Considérez les autres options. N'utilisez le télécopieur que si vous devez envoyer votre document sur-le-champ.

Appelez le destinataire avant de faire votre envoi et demandez-lui d'attendre près du télécopieur pour qu'il récupère le document dès son arrivée.

Lorsque vous envoyez une télécopie

Le document contient-il des renseignements personnels concernant un client ou un employé ou des renseignements confidentiels? Restez près du télécopieur pendant l'envoi.

Après l'envoi d'une télécopie

Vérifiez le relevé de transmission pour confirmer que le document a été envoyé au bon numéro.

Retirez les documents du télécopieur.

Le document contient-il des renseignements personnels concernant un client ou un employé ou des renseignements confidentiels? Appelez le destinataire pour l'informer que la télécopie a été transmise.

Si la télécopie a été envoyée au mauvais endroit, vous devez immédiatement :

  • Vérifier où les renseignements ont été envoyés et communiquer avec votre client pour l'informer que le document a été envoyé ailleurs.
  • Appeler au numéro où les renseignements ont été envoyés par erreur et demander à la personne qui a reçu le document de le détruire ou de vous le renvoyer.