À propos de nous
En quelques mots
Nous sommes là pour vous accompagner au moyen d’une méthodologie personnalisée, axée sur l’écoute, la communication et la rigueur. Cette démarche débouche sur un plan de service complet et sur mesure, soutenu par une équipe multidisciplinaire de pointe, réunie sous un même toit.
La planification financière au service de vos rêves…
Nous le savons d’expérience : peu de gens se sentent emballés à l'idée de procéder à une planification financière.
Par contre, quand nous disons « Quels sont vos rêves ? », les yeux se mettent à briller !
Or, une chose nous intéresse, justement, – « Au-delà des chiffres », toujours :
Vous offrir la liberté de choisir, et le pouvoir d’y parvenir !
…en dépit des obstacles
Ce qui empêche la réalisation d’un rêve, dans bien des cas, c’est un environnement de défis. Avec notre équipe, vous augmentez vos chances d’y parvenir, notamment grâce à :
- notre expérience auprès des professionnels de la santé et des propriétaires de PME
- notre équipe multidisciplinaire (fiscaliste, conseiller juridique, notaire)
- nos outils sur mesure
- notre approche, basée sur une méthodologie globale, rigoureuse, personnalisée et intégrée
- nos atouts spécifique
Historique
Au service des professionnels de la santé et des propriétaires de PME depuis 1995
La naissance et l’évolution de notre cabinet est la démonstration éloquente de ce qui se produit quand l’on vise un but précis et que l'on prend les moyens pour l’atteindre.
En 1989, après avoir obtenu son baccalauréat en finance, Alain Sagi se lance dans la distribution de produits financiers.
Dès 1995, il ouvre son propre cabinet. La clientèle cible de la nouvelle entreprise : celle qu’Alain Sagi a développée dès ses débuts. Spontanément, il s’est en effet dirigé vers un secteur avec laquelle il entretient une affinité naturelle : celui des professionnels de la santé, notamment les médecins, dentistes, pharmaciens et optométristes, et des propriétaires de PME.
Au fil des ans, Alain – désormais planificateur financier agréé – se positionne comme conseiller privilégié et « chef d'orchestre » d‘une équipe intégrée, triée sur le volet.
Efficacité et intégration des services
Pendant ce temps, cette équipe, justement, s’agrandit : outre un groupe d’adjointes chevronnées, elle compte désormais tous les services complémentaires nécessaires à l’élaboration d’une planification financière rigoureuse. Un accès privilégié aux conseils d’un fiscaliste et d’un notaire, également sous le même toit, accroît encore davantage l’efficacité des services offerts.
Avec le temps, le cabinet adjoint l'expérience au talent, et développe des processus et des outils sur mesure pour répondre aux besoins spécifiques d'une clientèle qu'il connaît et comprend de mieux en mieux !
Approche
« Au-delà des chiffres »
Cette signature, nous l’avons choisie pour une raison précise.
Nous sommes conscients que pour vous,
les chiffres sont avant tout des moyens
servant à atteindre un objectif.
Or cet objectif, il se définit avec des questions comme celles-ci :
« Quelles sont vos priorités personnelles et professionnelles, pour les trois prochaines années ? »
« Quelles réalisations visez-vous à plus long terme,
étant donné les moyens financiers à votre disposition ? »
« Comment voulez-vous vivre dans 20 ou 30 ans ? »
Tout comme un guide doit connaître votre destination avant de bâtir un itinéraire ou un parcours, nous devons connaître votre profil et vos projets, voire vos rêves pour vous proposer une stratégie. Or, les réponses à ces questions ne sont pas uniquement quantitatives mais bien qualitatives. D’où l’importance que nous accordons à la conversation, à la communication !
Une approche globale et exhaustive
Nous voulons savoir ce que vous recherchez, « au-delà des chiffres » : autrement dit, ce qui nous intéresse, ce n'est pas uniquement le point de vue financier. Projetez-vous dans trois ans : en rétrospective, qu'est-ce que vous voudriez avoir accompli – à tous les points de vue – dans ce laps de temps ?
Pour aller « Au-delà des chiffres », nous commençons par une revue complète de votre situation. Cela nous permet de mieux comprendre votre vécu, vos besoins, vos projets. Voilà pourquoi une première rencontre, chez nous, dure généralement au moins une heure : c’est le minimum pour vous connaître et comprendre vos projets.
Une fois que nous avons une meilleure idée de votre profil et de vos objectifs, nous élaborons un programme sur mesure, qui intègre notamment la gestion du risque et les produits financiers, tout en tenant compte de votre contexte fiscal.
Votre programme personnalisé tient dans un document simple et concis, facile à consulter.
Un accompagnement pas à pas
On pourrait presque parler de « cocooning » : en effet, nous œuvrons dans le contexte d'une relation entière, fondée sur la confiance, et sur une compréhension mutuelle et réciproque.
Un des effets de notre travail – et dont nous sommes très fiers ! – est que bon nombre de nos clients nous consultent avant de prendre toute décision susceptible d’affecter leur situation financière. Qu’ils suivent nos conseils ou pas, ils ont au moins l’avantage de connaître notre point de vue !
ATOUTS
Six solides atouts à votre service !
Voici, en six points, pourquoi notre cabinet dispose de tous les éléments nécessaires pour répondre à vos besoins.
1) UNE ÉQUIPE HAUTEMENT QUALIFIÉE ET UNE GAMME COMPLÈTE DE SERVICES SOUS UN MÊME TOIT
L’intégration des services : nous réunissons, sur place, tous les services dont vous avez besoin pour régler efficacement vos questions de planification financière.
Pas besoin d’attendre le retour d’appel du notaire ou du comptable pour régler un problème ou élucider une question épineuse : comme l’on peut consulter ces spécialistes simultanément, l’on arrive à des solutions bien plus rapidement !
2) UNE EXPÉRIENCE SANS PAREILLE DE VOTRE RÉALITÉ
Nous travaillons avec des professionnels de la santé et des propriétaires de PME depuis près d'un quart de siècle. Nous connaissons bien les avantages comme les défis de votre situation. C'est pourquoi notre organisation tout entière est conçue pour répondre à vos besoins.
3) DES OUTILS SUR MESURE
Au fil des ans, nous avons élaboré des méthodes et des outils adaptés à votre situation et qui couvrent tous les aspects de votre vie financière :
- indépendance financière, planification de la retraite
- gestion de l’impôt
- achat d’une clinique, projets d’association
- élimination de la dette
- projets spéciaux (achat d'une propriété, congé parental, etc.)
- et autres
4) DES FOURNISSEURS TRIÉS SUR LE VOLET
Pour mieux vous servir, nous sélectionnons les fournisseurs de solutions et de services financiers les plus solides qui soient, dotés d’une réputation exceptionnelle.
5) LE SOUCI DU DÉTAIL
On peut dire que nous sommes des TOCqués du détail ! Loin de nous en excuser, nous persistons et signons, en faisant de l’attention au détail une meilleure pratique, voire une véritable philosophie. Notre équipe d'adjointes chevronnées scrute chaque document, chaque contrat, un alinéa à la fois, afin de s'assurer que tout est conforme à vos attentes. Bref, rien n’est laissé au hasard !
6) DES RÉPONSES RAPIDES ET PERSONNALISÉES
Nous savons à quel point votre temps est précieux. Nous nous engageons donc à répondre à vos demandes dans les plus brefs délais !
VOS PROJETS
Quels sont vos rêves ?
Sillonner l'Europe. Prendre 24 mois de congé parental. Passer trois mois dans un projet communautaire hors frontières. Prendre une année sabbatique. Faire le pèlerinage de Saint-Jacques-de-Compostelle. Avoir un voilier sur le Pacifique ou dans la Méditerranée.
L’on croit généralement que la concrétisation d’un rêve est une affaire d'audace. Mais quand on y regarde de plus près, on constate souvent que « l’ingrédient magique » est tout autre.
Nous connaissons tous des gens qui ont réalisé un, voire plusieurs, de leurs rêves.
Or qu'est-ce qui distingue ces personnes des autres ? Pas grand-chose, au fond ! Le plus souvent, leur soif de réalisation les a simplement poussées vers une étape décisive :
Passer du rêve à la planification.
Finalement, on pourrait dire que les rêves ne sont que des « projets à prime abord impossibles ».
Nous sommes là pour vous accompagner et pour vous doter des outils dont vous avez besoin pour établir une solide planification, préalable à l’étape suivante :
Passer de la planification à l'action.
Or, une fois que l’on a un bon plan de match et un bon coach, la partie est déjà presque gagnée !
En fait, lorsque vous choisissez de travailler avec nous, nous estimons que notre engagement, notre responsabilité, c’est de vous voir réussir.
D’une certaine façon, nous devenons « partenaires dans la réalisation de vos rêves » !
TÉMOIGNAGES
Nos clients s’expriment
« Alain Sagi a toujours su me conseiller avec brio dans les diverses étapes de mon cheminement professionnel et financier, depuis le tout début de ma pratique. Lui et son équipe sont toujours à l’écoute et disponibles pour répondre à mes interrogations. Je me sens très épaulé dans l’ensemble de mes décisions financières et projets professionnels. »
Alexandre Caron
M.D., chirurgien dentiste
« Avoir des services de planification financière, de protections d’assurances et d’investissements prend tout son sens quand nous en considérons les objectifs: notre sécurité financière pour répondre à nos ambitions et le bien-être de nos proches. Pour ce faire, nous n’exigeons rien de moins que la meilleure qualité de professionnels. Après 15 ans de loyaux services, Delsa m’offre toujours une équipe minutieuse et attentionnée qui maitrise mon dossier, qui connait mes attentes, qui aide à concrétiser mes rêves et à sécuriser mon avenir. Ils possèdent la diligence et les ressources nécessaires pour satisfaire à mes besoins. »
Laurent Vanier
M.D., urgentologue
« L'essentiel de mon expérience avec Alain Sagi et son équipe est fondée sur la qualité de son expertise, sa patience et sa disponibilité afin de répondre avec empressement et efficacité à mes questions ou situations particulières. »
Roger Blanchette
Président de Quadrisquan
« Alain a su s'entourer d'une équipe dynamique ayant une approche très conviviale et personnalisée pour s'occuper de nos finances, impôts et affaires juridiques. Ils ont toujours été présents en cas de besoin et continuent à être à l'écoute de notre réalité. On est toujours bien reçu et on a même l'impression qu'on est de la famille. Je recommande cette équipe. »
Annie Tremblay
M.D., cardiologue
Politique de confidentialité
Politiques et procédures
1.La protection des renseignements personnels et nos affaires
Les clients fournissent des renseignements personnels qui sont essentiels aux affaires du cabinet. Il est crucial de protéger ces renseignements afin de maintenir leur confiance. La loi du Québec pertinente, la Loi sur la protection des renseignements personnels dans le secteur privé régit la collecte, l’utilisation et la communication des renseignements personnels. Les renseignements personnels sont des informations qui, seules ou combinées à d’autres, permettent de vous identifier. Ils comprennent par exemple le nom et l’adresse, ainsi que d’autres informations plus sensibles, comme des renseignements médicaux et financiers. Ils ne comprennent pas les renseignements publics et les coordonnées au travail d’une personne. Les coordonnées au travail d’une personne comprennent le nom, le titre professionnel, le numéro de téléphone et l’adresse courriel d’affaires de la personne, de même que les données qui sont utilisées dans le cadre de son emploi, de son entreprise ou de sa profession.
Le cabinet est responsable des renseignements personnels dont il a la gestion, et il lui incombe de prendre toutes les mesures nécessaires pour assurer la sécurité des renseignements personnels en sa possession. Dans certaines situations, cela signifie d’adopter de nouvelles pratiques commerciales afin de protéger la confidentialité des renseignements personnels.
Politique
Le cabinet met à la disposition du public l’information relative à ses politiques et à ses procédures. S’il a un site Web, celui-ci décrira la façon dont les renseignements personnels sont recueillis, utilisés, divulgués et conservés. En l’absence de site Web, cette information sera accessible par d’autres moyens (p. ex. par courriel, par la poste). Le cabinet respecte les lignes directrices en matière de confidentialité des compagnies (p. ex. la Compagnie d’Assurance du Canada sur la Vie) qu’il représente par l’intermédiaire du Groupe Horizons,
2.Préoccupations et demandes de renseignements ou requêtes générales
Marche à suivre
Le titre et les coordonnées de la personne responsable de la protection des renseignements personnels, notre agent de conformité, doivent être affichés sur le site Web du cabinet. En l’absence de site Web, ils doivent être accessibles par d’autres moyens (p. ex. par courriel, par la poste).
Toutes les préoccupations, demandes de nature générale ou requêtes liées à la confidentialité et au cabinet sont transmises à l’agent de conformité du cabinet. Ce dernier examinera les demandes et en accusera réception dans les 24 heures; en son absence, les demandes seront transférées à une personne appropriée aux fins de traitement. Le client sera tenu au courant du progrès que réalise l’agent de conformité à l’égard de la situation, et la documentation complète de la préoccupation signalée et toutes les activités s’y rattachant seront conservées dans le dossier du client.
L’agent de conformité du cabinet fait suivre toutes les préoccupations, demandes de nature générale ou requêtes liées à la confidentialité et aux produits et services de la compagnie au chef de la conformité de cette compagnie.
2.1 Demandes de clients visant à accéder aux renseignements personnels
En vertu des lois relatives à la protection des renseignements personnels, les clients ont le droit d’accéder à leurs renseignements personnels consignés dans des dossiers tenus par le cabinet ou la compagnie et de contester leur exactitude, le cas échéant. Le cabinet a mis en place des procédures pour recueillir et fournir des renseignements personnels en réponse à une demande d’accès du client à ses renseignements personnels.
Marche à suivre
Toute demande d’accès d’un client à ses renseignements personnels consignés dans les dossiers de client du cabinet est envoyée à l’agent de conformité du cabinet afin qu’il réponde à la demande du client. La date et les modalités de la demande sont consignées jusqu’à ce qu’elle soit exécutée. L’agent de la conformité aidera le client à préparer sa demande d’accès, au besoin. Les renseignements sont fournis au client le plus rapidement possible et au plus tard dans les 30 jours suivant la réception de la demande, dans un format technologique couramment utilisé.
Corrigez ou modifiez tout renseignement personnel si son exactitude ou son intégralité sont remises en question et s’il s’avère que ce renseignement est effectivement erroné ou incomplet. Consignez au dossier tous les désaccords relatifs aux renseignements et, le cas échéant, informez-en les tierces parties.
Si un client demande d’accéder à ses renseignements personnels détenus par la compagnie, suivez les processus qu’a établis cette dernière.
2.1.1 Décisions automatisées
Si le cabinet met en place une technologie de prise de décision automatisée, à la demande du client, il lui fera savoir, au plus tard au moment où il l’informe de la décision, quels renseignements personnels ont été utilisés pour prendre la décision et lui expliquera, dans un langage facile à comprendre, comment la décision a été prise. Le client conserve le droit de consulter et de corriger tout renseignement erroné.
2.2 Usage à mauvais escient des renseignements personnels
Marche à suivre
L’agent de conformité du cabinet doit signaler sans délai tout usage à mauvais escient de renseignements personnels ou toute atteinte possible aux mesures de sécurité quant aux produits et aux services de la compagnie au chef de la conformité de la compagnie.
2.3 Processus visant les incidents en matière de confidentialité et les atteintes à la vie privée
Une atteinte à la vie privée survient lors de la divulgation ou de l’utilisation non autorisée de renseignements personnels, de l’accès non autorisé à de tels renseignements ou de la perte de renseignements personnels découlant d’une atteinte aux mesures de sécurité. Une atteinte à la vie privée comprend également toute autre atteinte à la protection des renseignements personnels qui n’est pas conforme à la législation relative à la protection des renseignements personnels, comme lorsque des renseignements personnels sont conservés même s’ils ne sont plus nécessaires aux fins pour lesquelles ils ont été recueillis.
Une atteinte à la vie privée peut être voulue, accidentelle ou attribuable à des activités criminelles.
Exemples d’atteinte à la vie privée :
- Des copies des relevés de renseignements personnels de client sont volées d’un véhicule.
- L’ordinateur portatif d’un conseiller est perdu ou volé et il comprend des renseignements personnels de clients.
- Le disque dur de l’ordinateur du conseiller comprenant des renseignements personnels sur des clients est compromis ou a été piraté.
- Les renseignements sur le client ont été envoyés au mauvais destinataire du courriel, à l’interne ou à l’externe.
- Les renseignements sur le client ont été envoyés par la poste à la mauvaise adresse (une autre personne a ouvert le courrier).
- Des renseignements personnels ont été communiqués ou utilisés sans l’autorisation appropriée.
- Des renseignements sur les clients inactifs sont conservés plus longtemps qu’ils ne le devraient selon les calendriers de conservation.
Toutes les atteintes doivent faire l’objet d’une évaluation afin de déterminer le risque pour le client.
Terminologie de l’évaluation : Les évaluations peuvent être qualifiées de risque réel de préjudice grave (RRPG) ou de risque de préjudice sérieux (RPS, semblable au RRPG), et seront désignées par le terme « évaluation » dans l’ensemble du présent document. Lorsque l’évaluation détermine que le risque est grave ou sérieux, l’atteinte doit être signalée à la Commission d’accès à l’information (OPC) au Québec et/ou au Commissariat fédéral à la protection de la vie privée du Canada (CPVP) et aux commissaires provinciaux à la protection de la vie privée en dehors du Québec, selon le cas, tous étant désignés par le terme « le commissaire ».
2.3.1 Politique
Les atteintes présumées ou réelles, les plaintes ou toutes les préoccupations reliées à un problème de confidentialité, peu importe qu’elles touchent une personne ou un fournisseur, sont immédiatement déclarées à l’agent de conformité du cabinet et à la compagnie. L’agent de conformité du cabinet empêchera la divulgation des renseignements, évaluera la situation, corrigera la situation et contribuera à l’amélioration des mesures de contrôle afin d’éviter toute atteinte semblable à l’avenir.
2.3.2 Processus de confinement des atteintes
- En cas d’atteinte à la vie privée touchant les renseignements des clients (p. ex., cyberattaque, accès non autorisé aux données), communiquez avec : l’agent de conformité de la pratique et
- La Conformité des conseillers pour les affaires de la Canada Vie – Conformité des conseillers – Québec ou Conformité des conseillers
- Les autres compagnies visées
En plus des étapes décrites plus haut, suivez les étapes décrites ci-dessous.
2.3.2.1 Perte, vol ou piratage d’appareils électroniques
- Mobilisez l’équipe de soutien aux TI du cabinet
- Effectuez un balayage des ordinateurs afin de détecter tout logiciel malveillant avant d’accéder de nouveau aux systèmes.
- Communiquez immédiatement avec l’équipe de soutien technologique de chaque compagnie concernée pour demander la modification des mots de passe.
- Communiquez avec le service de police pour déposer une plainte.
- Modifiez les mots de passe des autres systèmes (p. ex. service bancaire en ligne).
2.3.2.2 Perte ou vol de documents papier (p. ex. polices, propositions, dossiers clients)
- Communiquez avec le service de police pour signaler le vol de documents.
2.3.2.3 Courriels ou courrier envoyés au mauvais destinataire
- Rappelez immédiatement le courriel.
- Si ce n’est pas possible, communiquez avec le mauvais destinataire pour lui demander de confirmer par écrit qu’il a supprimé le courriel et l’a effacé de sa boîte Éléments supprimés, qu’il ne l’a pas enregistré et ne l’a pas transféré à un autre destinataire.
- Demandez au mauvais destinataire de retourner le courrier ou confirmez que le courrier a été détruit de façon sécuritaire (p. ex., déchiquetage).
2.3.2.4 Cyberattaques
Une cyberattaque vise des ordinateurs ou des réseaux informatiques qui tentent d’exposer, de modifier, de désactiver, de détruire, de voler ou d’obtenir des informations au moyen d’un accès non autorisé à un actif ou d’utiliser cet actif sans autorisation.
- Mobilisez l’équipe de soutien aux TI de la pratique
- Communiquez avec le service de police
Coordonnées des Personnes Ressources
Rôle
Nom
Téléphone
Adresse Courriel
Responsables traitements des incidents
Christian Trudeau
450-486-7244
Christian.trudeau@delsafinance.com
Direction
Alain Sagi
450-862-7244, 270
Alain.sagi@delsafinance.com
Responsables des TI
Responsable des Communications
Avocat-conseil
Assureur en Cybersécurité
2.3.2.5 Rançongiciel
Un rançongiciel est un type de logiciel malveillant (maliciel) qui empêche les utilisateurs d’utiliser leurs systèmes ou en limite l’utilisation en verrouillant l’écran du système ou en verrouillant les dossiers d’un utilisateur jusqu’à ce qu’un montant (une rançon) soit payé.
- Mobilisez l’équipe de soutien aux TI de la pratique
- Communiquez avec le service de police pour signaler l’incident et coopérer à l’enquête
- Déconnecter immédiatement du réseau les appareils visés par un rançongiciel
- Ne rien effacer sur de vos appareils (ordinateurs, serveurs, etc…)
- Examiner le rançongiciel et déterminer comment il a infecté l’appareil. Cela vous aidera à comprendre et comment l’éliminer
- Une fois le rançongiciel supprimé, une analyse complète du système doit être effectuée à l’aide d’un antivirus, d’un anti-maliciel et de tout autre logiciel de sécurité le plus récent disponible afin de confirmer qu’il a été supprimé de l’appareil
- Si le rançongiciel ne peut être supprimé de l’appareil (souvent le cas aves les programmes malveillants furtifs) l’appareil doit être réinitialisé au moyen des supports ou des images d’installation d’origine. Attention avant de procéder à la réinitialisation à partir de supports/images de sauvegarde, vérifier qu’ils ne sont pas infectés par des maliciels
- Si les données sont critiques et doivent être restaurées, mais ne peuvent être récupérées à partir de sauvegardes non affectées, rechercher les outils de déchiffrements disponibles sur nomoresansom.org
- La politique est de ne pas payer la rançon, sous réserve des enjeux en cause. Il est également fortement recommandé de faire appel aux services d’un chef de projet expert en cyberattaques (breach coach)
- Protéger les systèmes pour éviter toute nouvelle infection en mettant en œuvre des correctifs ou des routines pour empêcher toute nouvelle attaque
2.4 Processus de documentation
Commencez le processus de documentation de toute atteinte à la vie privée dès que cette atteinte a été contenue. Tous les dossiers d’atteinte à la vie privée doivent être conservés de façon sûre.
Au Québec, le cabinet doit tenir à jour un registre de toutes les atteintes à la vie privée pendant cinq ans à partir du moment où il a pris connaissance de l’atteinte et être prêt à fournir ce registre à la Commission d’accès à l’information (CAI) sur demande.
À l’extérieur du Québec, conservez les dossiers sur toutes les atteintes à la vie privée pendant 24 mois. La pratique devrait être en mesure de fournir les dossiers au commissaire ou à d’autres organisations sur demande.
Le ou les dossiers doivent être gardés dans un endroit sûr et comprendre ce qui suit :
- Date de l’atteinte
- Description des circonstances de l’atteinte
- Nombre de personnes visées
- Types de renseignements personnels en cause
- Sensibilité de l’information visée par l’atteinte
- Probabilité de l’utilisation à mauvais escient
- Préjudice potentiel qui pourrait découler de l’atteinte
- Un indicateur pour confirmer :
- Si l’atteinte a entraîné un risque grave ou sérieux pour la personne, et une explication quant à cette conclusion
- Que la ou les personnes visées ont été avisées
- La date de confirmation et d’avis visant le commissaire pour ceux qui vivent à l’extérieur du Québec et qui sont touchés par l’atteinte
- Mesures prises pour éviter que des atteintes semblables se reproduisent – considérez les éléments suivants :
- Quelle est la cause fondamentale de l’atteinte à la vie privée?
- Quelles sont les mesures de contrôle qui ont échoué à empêcher l’atteinte à la vie privée?
- De nouveaux processus ou mesures de contrôle doivent-ils être instaurés?
- Des processus ou mesures de contrôle existants doivent-ils être améliorés ou modifiés?
- Existe-t-il des lacunes ou des vulnérabilités dans les contrôles de sécurité qui ont besoin d’être résolues?
- La formation doit-elle être renforcée ou une nouvelle formation doit-elle être créée et donnée?
Les cabinets du Québec doivent aussi consigner les renseignements suivants :
- Date à laquelle le cabinet a été mis au courant de l’incident
- Si la description des renseignements personnels n’est pas fournie, indiquez pourquoi
- Si on détermine qu’il y a un risque grave ou sérieux – la date et la confirmation de l’avis à la CAI et aux personnes touchées et si des avis publics ont été émis et les raisons de l’avoir fait
Un registre de suivi comprenant une liste de toutes les atteintes à la vie privée par région consignée à un seul endroit peut aussi être conservé. Les cabinets du Québec peuvent s’en servir comme registre pour les besoins de la CAI.
2.5 Effectuer une évaluation
Tous les incidents d’atteinte à la vie privée doivent être évalués pour déterminer s’ils ont posé un risque grave ou sérieux.
Pour déterminer s’il existe un risque grave ou sérieux, posez les questions suivantes :
- Les renseignements personnels visés par l’incident sont-ils de nature délicate?
- Exemples de niveaux de la nature délicate des renseignements personnels : Élevé – NAS, renseignements bancaires et renseignements médicaux; faible – nom, adresse courriel, sexe, état matrimonial
- Les renseignements personnels ont-ils été obtenus de façon malveillante?
- Les renseignements personnels obtenus au moyen d’un vol, d’une fraude ou du piratage d’un système sont plus susceptibles d’être utilisés à des fins malveillantes et représentent un risque élevé.
- Est-ce que 5 personnes ou plus sont visées?
- Plus le nombre de personnes concernées est élevé, plus la probabilité d’une utilisation à mauvais escient est grande.
- Les renseignements n’ont-ils toujours pas été récupérés?
- Si les renseignements personnels ne peuvent pas être récupérés rapidement, cela peut vouloir dire qu’ils ont été, qu’ils sont ou qu’ils seront utilisés à mauvais escient.
- Êtes-vous toujours en attente d’une confirmation indiquant que les renseignements personnels ont été détruits?
- Si les renseignements personnels ne sont pas détruits par le mauvais destinataire, cela peut vouloir dire qu’ils ont été, qu’ils sont ou qu’ils seront utilisés à mauvais escient.
- L’incident découle-t-il d’un problème systémique?
- Les problèmes systémiques peuvent entraîner d’autres incidents et augmenter les probabilités que les renseignements personnels soient utilisés à mauvais escient.
- S’est-il écoulé plus de 10 jours ouvrables entre la date de l’incident et la date de découverte de l’incident?
- Un long délai avant la découverte de l’incident peut indiquer que le mauvais destinataire a eu le temps d’utiliser les renseignements personnels à mauvais escient.
Si vous avez répondu « non » à une des questions ci-dessus, la réponse à la question sur la détermination de l’existence d’un risque grave ou sérieux sera « non », et les niveaux de la nature délicate et la probabilité seront « faibles ». Allez à la section Amélioration des mesures de contrôle.
Si vous avez répondu « oui » à une des questions ci-dessus, vous devrez déterminer le niveau (faible ou élevé) de la nature délicate des renseignements personnels et la probabilité qu’ils soient utilisés à mauvais escient en tenant compte 1) de la nature délicate des renseignements personnels qui ont fait l’objet de l’atteinte; 2) des conséquences envisagées pour les personnes touchées en cas d’utilisation à mauvais escient de leurs renseignements personnels qui ont fait l’objet de l’atteinte; et 3) de la probabilité que les renseignements personnels soient utilisés à mauvais escient.
Si vous considérez que les renseignements personnels qui ont fait l’objet de l’atteinte sont de nature « très délicate » et que la probabilité que ces renseignements personnels soient utilisés à mauvais escient est aussi « élevée », il existe un risque grave ou sérieux pour les personnes touchées; passez à la section suivante. Dans le cas de renseignements de la Canada Vie, communiquez avec la Conformité des conseillers – Québec ou la Conformité des conseillers, au besoin, pour obtenir de l’aide afin de déterminer si les renseignements sont de nature délicate et si les probabilités de leur utilisation à mauvais escient sont élevées.
2.6 Déclaration obligatoire des atteintes à la vie privée en vertu des lois provinciales en matière de protection des renseignements personnels ou de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)
- Si le cabinet détermine que l’incident présente un risque grave ou sérieux, les personnes visées doivent être avisées, si cela n’interfère pas avec une enquête officielle, et selon l’emplacement des personnes concernées, il faut faire une déclaration au CAI (au Québec) et au commissaire, et ce, dès que possible et même s’il n’y a qu’une seule personne visée.
- Le cabinet doit également informer de l’incident toute autre organisation ou entreprise qui pourrait atténuer le préjudice aux personnes concernées (p. ex., ajouter un indicateur aux comptes des clients). Pour les clients de la Canada Vie, communiquez avec l’équipe Conformité des conseillers, Québec ou avec l’équipe Conformité des conseillers.
2.6.1 Avis aux personnes concernées
Le cas échéant, un avis sur l’atteinte aux mesures de protection des renseignements personnels sera fourni par le cabinet aux personnes concernées et il doit renfermer les éléments suivants :
- une description des circonstances de l’atteinte;
- la date à laquelle l’atteinte s’est produite ou la période sur laquelle elle s’est échelonnée, ou, si les dates précises sont inconnues, une approximation des dates;
- une description des renseignements personnels touchés, dans la mesure où il est possible de le déterminer;
- une description des mesures que la pratique a mises en place pour réduire les risques de préjudice découlant de l’atteinte;
- une description des mesures que pourraient prendre les personnes concernées pour réduire les risques de préjudice découlant de l’atteinte ou atténuer ces préjudices; et
- les coordonnées permettant aux personnes concernées de se renseigner davantage au sujet de l’atteinte.
2.6.2 Avis aux organismes de réglementation dans le cas des atteintes considérées comme des RRPG/RPS
- Envoyez un avis à la Commission d’accès à l’information (CAI) en téléchargeant le Formulaire de déclaration d’un incident de sécurité portant atteinte à des renseignements personnels du site Web de la CAI.
- Envoyez un avis au Commissariat à la protection de la vie privée du Canada (fédéral) au moyen du formulaire Rapport d’atteinte à la LPRPDE.
- Colombie-Britannique – La loi recommande de faire rapport au Commissariat à la protection de la vie privée s’il y a un risque réel de préjudice grave. Pour savoir s’il vous faut produire un avis, reportez-vous au formulaire Privacy Breach Checklist (liste de vérification pour évaluer les atteintes à la vie privée) de la Colombie-Britannique.
- Envoyez un avis au Office of the Information and Privacy Commissioner of Alberta (commissariat à l’information et à la protection de la vie privée de l’Alberta) au moyen de son formulaire de déclaration d’atteinte à la vie privée.
2.7 Amélioration des mesures de contrôle
Passez en revue tous les processus, toutes les mises à jour du système, toutes les formations des employés, puis apportez des améliorations au besoin afin d’éviter que les incidents ne se reproduisent. Comme cela est décrit à la section 2.4 « Processus de documentation », évaluez les mesures de contrôle qui peuvent être améliorées pour réduire au minimum les risques futurs et instaurez les nouvelles mesures de contrôle nécessaires pour faire face aux risques.
@ 2024