Tous les cabinets inscrits ainsi que tous les représentants, dont les courtiers, font face à des obligations à l’égard de la protection des renseignements personnels.

Rappelons qu’un renseignement personnel est un renseignement qui concerne une personne physique et qui permet de l’identifier (par exemple, ses nom et adresse, une adresse courriel, etc.).

En plus de se conformer aux dispositions prévues à la Loi sur la distribution des produits et services financiers (LDPSF), les cabinets, leurs employés dont les courtiers, sont tenus de respecter les obligations dictées par toutes les lois applicables, dont notamment la Loi sur la protection des renseignements personnels dans le secteur privé. Cette loi prévoit entre autres les dispositions à prendre pour recueillir, conserver, utiliser, communiquer et détruire des renseignements personnels sur ses clients.

Au-delà des renseignements personnels que le cabinet détient sur ses clients et employés, il détient des renseignements sensibles sur sa clientèle, ses employés, ses partenaires, ses fournisseurs et même ses opérations. Dans le cadre des bonnes pratiques, les renseignements sensibles devraient également faire l’objet de protection.

Voici quelques rappels à haut niveau et non exhaustifs des obligations face aux entreprises qui entreront en vigueur progressivement, entre septembre 2022 et septembre 2024 :

• Désigner une personne responsable de la protection des renseignements personnels et définir son rôle et ses responsabilités
• Tenir un registre des délégations de tâches.
• Rédiger une politique de protection des renseignements personnels et confidentialité
• Mettre en place un environnement propice à la protection des renseignements personnels
• Mettre en place un registre des incidents de confidentialité et un processus de notification
• Inventorier les renseignements sous la garde, évaluer le degré de sensibilité, l’accès accordé et mettre en place les mesures de protection appropriées
• Évaluer les risques en matière de vie privée lors de certaines utilisation et communication de renseignements personnels
• Obtenir les consentements nécessaires à la cueillette, l’usage et la communication du renseignements personnels
• Sensibiliser et former le personnel sur la protection des renseignements personnels
• Modifier la politique de traitement des plaintes pour y inclure le sujet de la protection des renseignements personnels
• Publier les éléments clés des règles de gouvernance encadrant la protection des renseignements personnels sur le site Web de l’entreprise, dont le nom de personnel responsable
• Documenter le processus de conservation, destruction ou rendre anonymes les renseignements personnels dans certaines circonstances
• Divulguer tout incident portant atteinte à la protection des renseignements personnels et tenir un registre de des incidents, le cas échéant

Le plan de continuité des activités devrait prévoir un volet, notamment un plan d’action, sur l’atteinte à la protection des renseignements personnels ainsi qu’adresser les divulgations à effectuer, le cas échéant.

Comme mentionné précédemment, des références pertinentes sont disponibles à la fin de la section.

Enfin, un aide-mémoire est disponible pour soutenir les membres dans leur démarche de protection des renseignements personnels.

Les cabinets sont tenus de mettre en place un environnement sécuritaire face à la gestion de l’environnement informatique, notamment de protéger l’environnement contre les risques qui pourraient affecter les opérations ainsi que la protection des renseignements personnels et sensibles dont ils ont la garde. Ils doivent veiller à prévenir la matérialisation des risques et voir en minimiser les conséquences advenant un incident y portant atteinte.

Selon l’Autorité, un cabinet devrait effectuer une évaluation périodique de ses pratiques en matière de cybersécurité afin d’élaborer un plan d’action adapté à sa situation, visant à corriger les vulnérabilités constatées. Essentiellement, il devrait :

• Déterminer les risques et évaluer les mesures en place pour prévenir le risque d’incident
• Connaitre les données détenues et leur mode d’entreposage
• Catégoriser les données détenues
• Connaitre et définir les systèmes de stockages et les solutions de sécurité utilisées
• Déterminer les mesures à prendre pour se protéger du cyberrisque et gérer les vulnérabilités décelées, prévoir les ressources financières en lien aux besoins suivants :
  • Utiliser des solutions de sécurité adaptées
  • Protéger l’intégrité du périmètre informatique
  • Vérifier en temps réel l’activité des réseaux
  • Encadre la transmission des communications électroniques pour limiter l’accès aux données et circonscrire l’utilisation des appareils mobiles

Le cabinet devrait élaborer et mettre en œuvre des politiques et des procédures en matière de cybersécurité. Il devrait également prévoir :

• La formation et sensibilisation de son personnel
• La surveillance de l’application des politiques et procédures instaurées

Comme mentionné à la section sur la protection des renseignements personnels, le plan de continuité des activités devrait prévoir un plan d’action notamment pour le risque d’atteinte à la protection des renseignements personnels par un bris de sécurité informatique.

Comme mentionné précédemment, des références pertinentes sont disponibles à la fin de la section.

Enfin, un aide-mémoire est disponible pour soutenir les membres dans leur démarche de protection des renseignements personnels.

Voici quelques formations qui pourraient s’avérer intéressantes: 

Courtes capsules en cybersécurité en collaboration avec la ChAD

• Le travail à distance et la sécurité de l’information (AF1034-FR)
• L’hameçonnage (AF1033-FR)
• Le vol d’identité (AF1036-FR)
• Le principe du bureau propre (AF1039-FR)

Dans le but de soutenir les gestionnaires dans leur démarche, le RCCAQ propose l’aide-mémoire suivant.

Par ailleurs, la firme Vieira Conseil Action propose un accompagnement personnalisé, notamment par de la formation ou un atelier d’évaluation sommaire des risques (offre de services).

Références pertinentes

Voici quelques références d’intérêts qui nous souhaitons seront utiles aux membres dans leur démarche de conformité des pratiques :

RCCAQ

Lien vers la chronique juridique de L’informateur du 3 octobre 2022

Gouvernement du Québec

Le gouvernement du Québec met à la disposition du public de l’information variée sur la modernisation de la protection des renseignements personnels, notamment :

• Modernisation de la protection des renseignements personnels
• Protection des renseignements personnels
• Loi sur la protection des renseignements personnels dans le secteur privé
• Loi concernant le cadre juridique des technologies de l’information

Commission d’accès à l’information

La Commission est à la fois un tribunal administratif et un organisme de surveillance qui veille à l’application de la Loi sur l’accès et de la Loi sur le privé. Elle voit aussi à la promotion et au respect des droits des citoyens à l’accès aux documents des organismes publics et à la protection de leurs renseignements personnels

• Loi sur la protection des renseignements personnels dans le secteur privé
• Aide-mémoire 

Loi sur la distribution des produits et services financiers (LDPSF)

Particulièrement les articles 80 et 84

AMF - Guide sur la gouvernance et bonnes pratiques des inscrits

À titre de référence, voici le questionnaire d’autoévaluation de l’AMF extrait du Guide sur la gouvernance et bonnes pratiques des inscrits de l’Autorité des marchés financiers (AMF), 3e édition, annexe 4.

Le questionnaire d’autoévaluation fait état de quelques bonnes pratiques présenté dans le guide de l’AMF, section 4.9 et 6.2.

Code de déontologie des représentants en assurance de dommages

Édition commentée - Particulièrement les articles 23 et 24