Politique de confidentialité
1.0 Énoncé de politique
SCM Services d’assurances Inc. (SCM) a pris l'engagement de recueillir, utiliser et divulguer des renseignements personnels en conformité avec la loi applicable et de telle manière qu'une personne raisonnable estimerait acceptable dans les circonstances.
2.0 Portée
La présente politique régit la collecte, l'utilisation, la divulgation et le traitement des renseignements personnels dans le cadre de l'activité commerciale de SCM, y compris les unités d'affaires SCM suivantes :
SCM comprend les entités suivantes : SCM Services d'assurances Inc., et toutes leurs filiales et sociétés en commandite.
3.0 Introduction
L'activité commerciale de SCM est assujettie à la loi sur la protection des renseignements personnels applicable. La loi fédérale sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ) s'applique lorsque des renseignements personnels traversent les frontières provinciales et dans toutes les provinces et tous les territoires, sauf l'Alberta, la Colombie-Britannique et le Québec. L'Alberta, la Colombie-Britannique et le Québec ont adopté des lois sur la protection de la vie privée qui reposent sur les mêmes principes que la LPRPDÉ qui s'appliquent dans chaque province. La présente politique est fondée sur les principes et les règles énoncés dans toutes les lois sur la protection des renseignements personnels.
4.0 Définitions
Renseignements personnels - désigne tout renseignement concernant un individu identifiable, mais exclut les renseignements figurant sur « la carte professionnelle ».
Agent de la protection de la vie privée - désigne l'individu ou les individus nommés de temps à autre par SCM pour être responsable(s) de la conformité de SCM à la présente politique ainsi qu’aux politiques connexes.
Information accessible au public - désigne l'information réputée être publiquement disponible tel qu'il est énoncé dans la loi sur la protection des renseignements personnels applicable.
Informations sur la carte professionnelle – signifie que l'information au sujet de la vie active ou professionnelle d'un individu est exclue de la définition de « renseignements personnels » dans la loi sur la protection des renseignements personnels applicable - par exemple, nom, poste, adresse professionnelle et numéro de téléphone au travail.
Violation des mesures de sécurité – désigne la perte de, l’accès non autorisé ou la divulgation non autorisée de renseignements personnels découlant d'une violation des mesures de sécurité de SCM.
5.0 Principes de protection des renseignements personnels
Principe 1 – Responsabilisation
SCM est responsable de tous les renseignements personnels sous son contrôle et doit désigner une ou plusieurs personnes qui seront responsables de la conformité avec la loi applicable sur la protection des renseignements personnels et ses politiques et procédures.
La personne nommée au poste de responsable de la conformité chez SCM sera désignée comme Agent de la protection de la vie privée. SCM nommera une personne appropriée à ce poste, qui a une autorité suffisante au sein de l'organisation pour assurer la conformité.
Coordonnées de l’Agent de la protection de la vie privée :
Nom: Keith P. Edwards, FCILA, CLA, FUEDĺ ELAE
Vice-président principal, Conformité
Address: 145 King Street West, Suite 620, Toronto, ON M5H 1J8
Téléphone: 416-777-4479
Courriel: Privacy@scm.ca
SCM utilisera des moyens raisonnables pour s'assurer que les renseignements personnels ont un niveau comparable de protection tout au cours de leur utilisation par un fournisseur de services. Elle fera preuve de diligence raisonnable dans la sélection des tiers, la passation de contrats avec des tierces parties et le travail avec des tierces parties.
SCM utilise actuellement un outil de gestion de la relation client qui est hébergé aux États-Unis et qui peut être utilisé pour transmettre et stocker des renseignements personnels. Les employés, les entrepreneurs et les fournisseurs de services de SCM peuvent également travailler à l'extérieur du Canada en utilisant des systèmes de SCM hébergés au Canada. Les fournisseurs de services sont autorisés par SCM à recueillir, utiliser et communiquer des renseignements personnels pour faciliter la prestation des services.
Principe 2 – Détermination des fins de la collecte des renseignements
SCM déterminera à quelles fins elle recueille des renseignements personnels au moment de la collecte ou avant auprès des personnes concernées.
SCM peut choisir d'identifier de telles fins oralement ou par écrit. Une notification écrite sera utilisée chaque fois que cela est possible. Les objectifs communs pour la collecte comprennent :
- Vérification des circonstances entourant la perte, le dommage ou le préjudice ;
- Vérification du montant à payer pour la perte, le dommage ou le préjudice ;
- Vérification de la disponibilité des prestations payables en vertu de la politique ;
- Vérification des circonstances menant à la conclusion du contrat d'assurance ;
- Protection de SCM et/ou de l'assureur et/ou du client contre des erreurs ;
- Protection de SCM et/ou de l'assureur et/ou du client contre la fraude
SCM peut choisir d'expliquer verbalement aux individus les fins pour lesquelles les renseignements personnels sont recueillis, puis ajouter simplement une note dans le dossier approprié indiquant que cela a été fait.
SCM identifiera toute nouvelle raison de la collecte de renseignements personnels survenant durant le traitement des renseignements personnels - et doit obtenir le consentement préalable pour cette nouvelle utilisation, même si SCM a déjà identifié certaines finalités initiales. Toutefois, SCM le fera seulement lorsque le nouvel objectif constitue véritablement une « nouvelle » utilisation (c'est-à-dire, lorsque le but proposé est suffisamment différent de l'objectif initialement indiqué).
Principe 3 – Consentement
SCM devra obtenir le consentement approprié des personnes concernées pour la collecte, l'utilisation ou à la communication de leurs renseignements personnels, sauf dans les cas où la loi prévoit une exemption.
SCM peut obtenir le consentement exprès pour la collecte, l'utilisation ou la divulgation de renseignements personnels, ou SCM peut déterminer que le consentement est implicite en raison des circonstances. Tout consentement doit être éclairé et obtenu de façon équitable sans tromperie.
Le consentement exprès est une autorisation affirmative donnée par la personne à SCM, verbalement ou par écrit. Les évaluateurs médicaux recrutés pour évaluer une demande, par exemple, doivent obtenir le consentement exprès des réclamants.
Le consentement implicite est celui où SCM n'a pas reçu une autorisation affirmative, mais les circonstances font qu'il est raisonnable de croire qu'une personne sait comment SCM peut recueillir, utiliser ou communiquer des renseignements personnels et a donné cette autorisation à SCM.
Le consentement exprès écrit exige qu’un client :
- signe un formulaire de consentement ;
- fournisse une lettre, un formulaire de réclamation ou tout autre document autorisant certaines activités; et
- fournisse une autorisation par voie électronique (au moyen d'un ordinateur).
Un consentement exprès et verbal peut être donné en personne ou au téléphone. Si SCM obtient le consentement exprès verbalement, SCM notera ce consentement dans le dossier.
Sous réserve des exceptions légales, le consentement peut être retiré à tout moment. SCM exige généralement qu’un tel retrait soit fait par écrit. Il peut y avoir des conséquences graves liées à l’omission de fournir ou de retirer un consentement, comme l'incapacité de SCM à enquêter correctement sur une réclamation présentée ou les circonstances entourant la réclamation en responsabilité.
Si un nouvel objectif est identifié durant le traitement des renseignements personnels, SCM peut choisir de demander un nouveau consentement.
Exceptions - il y existe des circonstances énoncées dans les textes législatifs qui permettent à SCM de recueillir, d’utiliser ou de divulguer des renseignements personnels sans consentement. La portée des exceptions varie dans chaque texte de loi applicable.
Principe 4 – Limitation de la collecte
Les renseignements personnels que SCM recueille seront limités à ceux qui sont nécessaires aux fins identifiées par SCM.
SCM ne recueillera que des renseignements personnels qu’à des fins légitimes. SCM ne recueillera pas des renseignements personnels sans discernement.
SCM ne recueillera des renseignements que par des moyens justes et légitimes et n’aura pas recours à la ruse ou n’induira pas les gens en erreur quant aux fins auxquelles les renseignements sont recueillis.
Les politiques et procédures de SCM relatives aux limitations en matière de collecte de renseignements personnels seront communiquées aux membres du personnel qui recueillent des renseignements personnels.
SCM peut avoir besoin de recueillir des renseignements personnels à propos de personnes liées à des tierces parties, par exemple, les parties identifiées dans un formulaire de consentement.
Principe 5 – Limitation de l'utilisation, de la divulgation et de la conservation de renseignements personnels
Les renseignements personnels ne seront pas utilisés ou divulgués à des fins autres que celles pour lesquelles ils ont été recueillis, sauf avec le consentement de la personne ou tel qu’il est requis par la loi. SCM conservera les renseignements personnels aussi longtemps que nécessaire pour la réalisation de ces fins.
SCM permettra seulement d'utiliser ou de divulguer des renseignements personnels à des fins légitimes et identifiées.
SCM conservera les renseignements personnels aussi longtemps que nécessaire pour la réalisation des fins pour lesquelles ils ont été recueillis.
SCM permettra d'établir les périodes minimales et maximales de conservation pour des dossiers contenant des renseignements personnels sur les assurés/réclamants/clients.
Les renseignements personnels qui ont été utilisés pour prendre une décision au sujet d'une personne seront conservés assez longtemps que nécessaire pour permettre à la personne d’avoir accès aux renseignements après que la décision ait été prise.
Les renseignements personnels qui ne sont plus nécessaires pour atteindre les buts identifiés seront détruits, effacés ou rendus anonymes. Voir le Principe 7 – Mesures de sécurité.
Principe 6 – Exactitude
Les renseignements personnels que SCM recueille seront aussi exacts, complets et à jour que nécessaire aux fins pour lesquelles ils sont utilisés.
Sur une base continue, SCM prendra des mesures raisonnables pour assurer l'exactitude et l'exhaustivité des renseignements personnels sous sa garde et contrôle.
Les personnes qui fournissent leurs renseignements personnels à SCM doivent le faire d'une manière exacte et complète. L'objectif de SCM est de minimiser la possibilité que des renseignements inexacts soient utilisés pour prendre une décision au sujet de toute personne dont les renseignements personnels sont traités par SCM.
Le processus pour veiller à l'exactitude et à l'exhaustivité comprendra ce qui suit :
- collecte initiale auprès de l'assureur ou de tout autre mandant, de préférence par écrit;
- contacter le réclamant/assuré/client ou témoin et, le cas échéant, documenter les renseignements dans un énoncé, par courrier ou par courriel;
- vérification de l'exactitude de manière appropriée en communiquant avec les tiers (par exemple, un bureau d'immatriculation des véhicules, les services de police, d'incendie, les commissaires aux incendies, les autorités ayant juridiction, les courtiers d'assurance, les experts en sinistres et toute autre partie pouvant justifier le genre et la nature d'un événement ou d’une circonstance), y compris la date, l'heure et le lieu où se trouvent d’éventuels témoins oculaires et que l’assuré/le réclamant/le client identifie à l'appui de sa réclamation pour perte, dommage ou préjudice ;
- Faciliter les évaluations qui sont effectuées par des professionnels médicaux compétents.
Principe 7 – Mesures de sécurité
SCM protégera les renseignements personnels sous son contrôle d'une manière appropriée à la confidentialité des renseignements.
SCM protégera les renseignements personnels, peu importe le format utilisé, contre la perte ou le vol, et contre l'accès non autorisé, la divulgation, la copie, l'utilisation ou la modification.
Les renseignements de nature plus confidentielle seront protégés par un niveau de protection plus élevé.
Pour déterminer quelles mesures de protection sont appropriées, SCM tiendra compte de tous les facteurs pertinents. Par exemple :
- niveau de confidentialité des renseignements;
- la quantité de renseignements détenus;
- le format dans lequel les renseignements sont conservés; et
- les risques prévisibles.
Lors du transfert de renseignements personnels à un tiers, SCM doit supprimer ou masquer tout renseignement dont le tiers n’a pas raisonnablement besoin.
Les méthodes de protection de SCM peuvent inclure :
- des mesures physiques, comme le verrouillage des classeurs et la restriction de l’accès;
- des mesures organisationnelles, telles que les autorisations de sécurité et la limitation de l'accès sur une base du « besoin de savoir »;
- des mesures technologiques, telles que l'utilisation de mots de passe et le cryptage;
- des protocoles pour la sécurité des fichiers physiques pendant les déplacements;
- des protocoles pour mener à bien le travail à distance;
- des règles régissant l'utilisation des mots de passe et l’information de connexion; et
- des communications régulières avec les employés et autres mesures de sécurité des données.
SCM s'assurera que les politiques et les procédures sur la protection des renseignements personnels soient raisonnablement accessibles aux employés et communiquées par :
- le personnel de formation sur la question de la protection des renseignements personnels; et
- l’organisation de réunions périodiques du personnel au cours desquelles SCM examinera les procédures et les révisera au besoin.
SCM prendra des précautions raisonnables pour l'élimination ou la destruction de renseignements personnels afin d'empêcher que des parties non autorisées y aient accès. Ces mesures peuvent comprendre le déchiquetage sécurisé de documents physiques et la suppression de renseignements stockés électroniquement de manière qu’ils ne soient pas facilement recouvrés.
Tous les employés doivent immédiatement signaler toute violation connue ou soupçonnée des mesures de sécurité (tous les « incidents ») à l’Agent de la protection de la vie privée. SCM enquêtera sur tous les incidents liés à la sécurité des données et prendra des mesures appropriées en vue de les comprendre, de les contenir, d'atténuer les dommages potentiels et d’améliorer les pratiques de protection pour prévenir des incidents à l’avenir.
SCM avisera les personnes concernées et les organismes de réglementation de la violation des mesures de sécurité conformément aux lois et règlements applicables et notifiera ces personnes lorsqu'elle conclut qu'un incident donne lieu à un risque réel de dommages significatifs.
Principe 8 – Ouverture
SCM doit mettre à la disposition de toute personne des renseignements précis sur les politiques et les procédures relatives à la gestion des renseignements personnels qui sont sous le contrôle de la Compagnie.
Les personnes concernées seront en mesure de se renseigner sur les politiques et les procédures sans effort déraisonnable.
Tous les membres du personnel sauront qui est l’Agent de la protection de la vie privée, de sorte que le public puisse facilement être informé.
SCM peut choisir de rendre accessible l'information sur les politiques et procédures de diverses façons, par exemple :
- par courrier;
- la création d’un espace sur son site Internet;
- l'établissement d'un numéro de téléphone sans frais; ou
- l’établissement d’une formulation normalisée à inclure dans les lettres et courriels à l’intention des assurés/réclamants/clients dans le cadre de leur première communication écrite.
Les informations que SCM met à la disposition du public comprendront :
- le nom ou le titre et l'adresse de l’Agent de la protection de la vie privée ;
- les moyens pour d'accéder aux renseignements personnels détenus par la Compagnie;
- une description du type de renseignements personnels détenus par SCM et un compte rendu général de leur utilisation;
- l'information écrite qui explique la politique; et
- une liste générale des types de renseignements personnels mis à la disposition d'autres organisations (c'est-à-dire : les compagnies d'assurance et d'autres tierces parties).
Principe 9 – Accès des personnes
Sur demande, un individu sera informé de l'existence, l'utilisation et de la divulgation de ses renseignements personnels qui sont sous le contrôle de SCM, et peut obtenir l'accès à ces renseignements personnels, contester leur exactitude et leur exhaustivité conformément à la loi applicable.
SCM agira à titre de mandataire de l'assureur ou de l'administrateur d'un plan auto-assuré et dans le cas où une demande écrite est présentée par une personne demandant à être informée de la conservation par SCM ou non de renseignements personnels à son sujet, SCM doit immédiatement référer cette demande au donneur d’instructions et demander des directives.
Dans la mesure où SCM n'est pas un agent pour un mandant, sur demande écrite, un individu sera informé du fait que SCM détienne ou non des renseignements personnels à son sujet. Si SCM détient ces renseignements personnels, sur demande écrite, SCM fournira l'accès ces renseignements personnels, ainsi qu'un compte rendu général de leur utilisation en conformité avec la loi applicable.
La façon dont l'accès sera donné peut varier, selon le format dans lequel ces renseignements sont conservés (c'est-à-dire, en version imprimée ou électronique), la quantité de renseignements détenus et d'autres facteurs. SCM peut fournir des informations de source originale, mais pas la documentation qui ne fait que répéter ou qui inclut des renseignements résultant de nos activités internes.
Sur demande écrite, SCM fournira une liste des tiers auxquels SCM peut avoir divulgué des renseignements personnels sur une personne. Si SCM ne sait pas exactement lequel des tiers peuvent avoir reçu les renseignements, SCM fournira la liste des tierces parties susceptibles d'avoir reçu les renseignements.
Les personnes concernées devront fournir des informations suffisantes à SCM pour permettre à la Compagnie de fournir un compte rendu de l'existence, de l'utilisation et de la divulgation des renseignements personnels.
La procédure pour présenter une demande est la suivante :
- Toutes les demandes doivent être faites par écrit.
- SMC doit répondre à une demande dans les 30 jours après réception de la demande, sauf si SCM informe d’abord la personne concernée que SCM a besoin d'un délai plus long pour répondre.
- Motifs - Si SCM refuse une demande, SCM informera la personne concernée par écrit de son refus, en expliquant les raisons et les recours qu’elle pourrait avoir, y compris la possibilité de déposer une plainte auprès du Commissaire à la protection de la vie privée du Canada ou des Commissaires provinciaux à la protection de la vie privée.
- Présomption de refus - Nonobstant les sous-paragraphes (2) et (3), si SCM ne répond pas dans le délai susmentionné, SCM sera réputées avoir refusé d'acquiescer à la demande.
- Coûts pour répondre - SCM peut exiger le paiement de frais minimes pour couvrir les frais administratifs associés à la préparation d'une réponse (et le faire conformément à la loi applicable).
Il y a aussi des exceptions à la loi applicable sur la protection des renseignements personnels qui peuvent permettre ou exiger de SCM qu’elle refuse l'accès. Par exemple, la loi applicable peut permettre à SCM de refuser l'accès lorsque :
- les renseignements personnels concernant une autre personne pourraient être révélés;
- des renseignements commerciaux confidentiels pourraient être révélés;
- la vie ou la sécurité de quelqu'un pourrait être menacée;
- les renseignements ont été recueillis sans consentement, à des fins liées à une enquête sur la violation d'un accord ou une infraction à la loi; où
- les renseignements ont été obtenus au cours d'un processus officiel de règlement de différends.
Principe 10 – Contestation de la conformité
Une personne peut contester la conformité aux politiques et procédures ci-dessus auprès de l’Agent de la protection de la vie privée.
Sur demande, les personnes qui souhaitent se renseigner ou déposer une plainte au sujet de la façon dont leurs renseignements personnels sont traités par SCM - ou au sujet des politiques et procédures de SCM relatives aux renseignements personnels - seront informées des procédures de plainte applicables.
Pour déposer une plainte, une personne doit aviser par écrit SCM en fournissant des informations de base et une description de la nature de la plainte.
La procédure de dépôt d'une plainte au sujet de SMC est la suivante :
- une demande écrite doit être déposée auprès de l’Agent de la protection de la vie privée;
- SCM accusera réception de la plainte immédiatement;
- SCM affectera quelqu'un pour enquêter;
- SCM donnera à l'enquêteur le libre accès à des dossiers et au personnel, etc.;
- SCM clarifiera les faits directement avec le plaignant, le cas échéant; et
- SCM informera le plaignant par écrit du résultat de l’enquête, y compris des mesures prises pour corriger le problème, le cas échéant.
SCM documentera toutes les plaintes, ainsi que les actions en réponse à des plaintes, en notant ces détails au dossier de la personne et également dans un dossier-maître sur la protection de la vie privée.
6. Historique des révisions
1er février 2022 – Keith Edwards - Politique révisée