Politique de confidentialité et de protection des renseignements personnels

1. Constitue un renseignement personnel, tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de
   l’identifier.
2. Ne sont pas des renseignements personnels protégés par la présente politique, ceux à caractère public en vertu
   de la loi et ceux relatifs à l’exercice par la personne concernée d’une fonction au sein d’Estrie-Richelieu, tel que
   le nom, le titre, la fonction, l’adresse, l’adresse de courrier électronique et le numéro de téléphone du lieu de
   travail.

• Servir au mieux ses membres et communiquer avec eux de façon efficace;
• Vérifier l’identité et la propriété de ses membres;
• Prévenir, évaluer et souscrire des risques d’assurance ;
• Déterminer les tarifs, les frais, les primes et les protections d’assurance à offrir;
• Effectuer des enquêtes après sinistre et évaluer les réclamations d’assurance;
• Régler les réclamations d’assurance;
• Recueillir des données statistiques, examiner et intégrer l’information aux bases de données du secteur de l’assurance;
• Produire les rapports requis par les autorités réglementaires ou autres organismes du secteur de l’assurance;
• Détecter, prévenir et contenir la fraude ainsi que les activités non autorisées ou illégales;
• Se conformer à toutes les lois et règlements applicables et satisfaire aux exigences des autorités fiscales.

1. Collecte de renseignements personnels
1. En recueillant les renseignements personnels de ses membres en raison d’un intérêt sérieux et légitime, Estrie-Richelieu est réputée constituer un dossier au sens du Code civil du Québec et les droits concernant ce dossier conférés par les articles 35 à 40 de ce code s’appliquent aux renseignements personnels recueillis.
2. Estrie-Richelieu ne recueille que les renseignements personnels concernant ses membres qui sont nécessaires aux fins déterminées avant la collecte et n’utilise que des moyens licites pour ce faire. Même si le membre y consent, Estrie-Richelieu ne peut recueillir des renseignements personnels non pertinents à l’objet du dossier.
3. Les renseignements personnels sont recueillis de plusieurs façons :
   • Estrie-Richelieu recueille des renseignements personnels directement auprès de ses membres, ou de leurs représentants autorisés dont notamment leurs courtiers d’assurance, lorsqu’ils se renseignent sur les polices d’assurance, demandent une soumission, font une demande d’assurance, un paiement ou une réclamation.
   • Estrie-Richelieu recueille aussi des renseignements personnels de ses membres provenant de tiers dont notamment les organismes gouvernementaux, les agences de renseignements sur la consommation, les experts en sinistres, les entrepreneurs, les ateliers de réparation automobiles. Pour ce faire, Estrie-Richelieu doit obtenir le consentement du membre ou confirmer à ce dernier que le tiers les a recueillis légalement et a le droit de les communiquer.
   • Estrie-Richelieu peut enregistrer les appels avec les membres afin d’assurer la qualité de son service à la clientèle, d’améliorer la formation de ses employés, de confirmer des discussions et des directives, de traiter des demandes d’accès à l’information ou des demandes de rectification ou de suppression de renseignement, de traiter des plaintes, ou à des fins de formation de son personnel.
   • Estrie-Richelieu peut demander des renseignements sur d’autres personnes couvertes par l’assurance d’un membre. Dans ce cas, le membre est réputé fournir ces renseignements avec l’autorisation de la personne concernée.
La source des renseignements personnels recueillis est inscrite au dossier.


2. Devoir d’information au membre
1. Au moment de la collecte de renseignements personnels et par la suite sur demande, Estrie-Richelieu informe le membre en termes simples et clairs, quel que soit le moyen utilisé pour recueillir les renseignements personnels :
   • Des fins auxquelles ces renseignements sont recueillis ;
   • Des moyens par lesquels ces renseignements sont recueillis ;
   • Des droits d’accès et de rectification de ces renseignements ;
   • Du droit de retirer un consentement à la communication ou à l’utilisation de ces renseignements ;
   • Du nom du tiers pour qui la collecte de renseignements est faite, le cas échéant ;
   • Du nom des tiers ou des catégories de tiers à qui il est nécessaire de communiquer ces renseignements ;
   • De la possibilité que ces renseignements soient communiqués à l’extérieur du Québec, le cas échéant.
2. Sur demande d’un membre, Estrie-Richelieu l’informe, en termes simples et clairs, quel que soit le moyen utilisé pour recueillir les renseignements personnels :
   • Des renseignements personnels recueillis ;
   • Des catégories de personnes qui auront accès aux renseignements personnels recueillis ;
   • De la durée de conservation des renseignements personnels ;
   • De la source des renseignements personnels recueillis auprès d’un tiers ;
   • Des coordonnées du responsable de la protection des renseignements personnels.


3. Détention des renseignements personnels et mesures de sécurité
Estrie-Richelieu a mis en place plusieurs mesures de sécurité afin de protéger la confidentialité des renseignements personnels qu’elle conserve:
• En vertu du Code d’éthique et de conduite d’Estrie-Richelieu, tous les employés sont tenus de respecter la confidentialité et de protéger les renseignements personnels auxquels ils ont accès dans le cadre de leurs fonctions. À cet égard, ils signent une Attestation de connaissance et d’observation du Code d’éthique et de conduite à l’embauche et annuellement par la suite. De plus, les renseignements personnels ne sont accessibles qu’aux personnes qui ont la qualité pour en prendre connaissance et uniquement lorsque cela est nécessaire dans l’exercice de leurs fonctions.
• Des ententes de confidentialité sont signées avec les fournisseurs de services d’Estrie-Richelieu qui ont accès à des renseignements personnels et Estrie-Richelieu prend des moyens raisonnables pour s’assurer que ces fournisseurs de services adoptent une pratique de confidentialité similaire à la sienne.
• Des mesures de protection appropriées sont mises en place par Estrie-Richelieu relativement à ses systèmes informatiques et aux renseignements qu’ils contiennent.
• Un système de sécurité est mis en place au siège social d’Estrie-Richelieu afin d’éviter tout accès non autorisé aux locaux.


4. Utilisation des renseignements personnels
1. Estrie-Richelieu veille à prendre les moyens raisonnables pour que les renseignements personnels soient mis à jour et exacts avant de les utiliser pour prendre une décision concernant un membre.
2. À moins que le membre concerné n’y consente ou que la loi ne le prévoie, les renseignements personnels ne sont utilisés par Estrie-Richelieu qu’aux fins pour lesquelles ils ont été recueillis, dont notamment aux fins mentionnées à l’article 2 ci-haut.


5. Communication des renseignements personnels
À moins que le membre concerné n’y consente ou que la loi ne le prévoie, Estrie-Richelieu ne peut communiquer à un tiers les renseignements personnels sauf pour les fins mentionnées à l’article 2 ci-haut.


6. Consentement du membre
1. Pour la collecte, l’utilisation et la communication des renseignements personnels d’un membre, Estrie-Richelieu doit obtenir le consentement de ce dernier.
2. Le consentement doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Il est demandé à chacune de ces fins, en termes simples et clairs, distinctement de toute autre information communiquée au membre.
3. Le consentement ne vaut que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.
4. Le membre qui souhaite retirer un consentement doit communiquer avec le Responsable de la protection des renseignements personnels.
5. Le membre qui nécessite de l’assistance pour l’aider à comprendre la portée d’un consentement peut s’adresser au Responsable de la protection des renseignements personnels pour ce faire.

1. En vertu de la réglementation applicable, Estrie-Richelieu doit conserver le dossier d’un membre pendant une période minimale de cinq (5) ans à compter (i) de la fermeture de ce dossier, (ii) de la date du dernier service rendu au membre ou (iii) de l’échéance sans renouvellement ou remplacement du dernier produit vendu au membre.
2. À l’expiration du délai de conservation, Estrie-Richelieu peut anonymiser ou détruire les renseignements personnels contenus au dossier.
3. Lorsque Estrie-Richelieu se départit de renseignements personnels, elle le fait de manière sécuritaire.

1. Toute personne peut demander d’avoir accès aux renseignements personnels la concernant que Estrie-Richelieu
   détient en s’adressant au Responsable de la protection des renseignements personnels. La demande d’accès à l’information doit être faite
   par écrit.
2. Estrie-Richelieu doit communiquer au requérant tout renseignement personnel informatisé sous la forme d’une
   transcription écrite et intelligible, dans un format technologique structuré et couramment utilisé.
3. Toute personne peut demander la rectification ou la suppression d’un renseignement personnel la concernant détenu
   par Estrie-Richelieu si ce renseignement personnel est inexact, incomplet ou équivoque ou si sa collecte, sa
   communication ou sa conservation ne sont pas autorisées par la loi. La demande de rectification ou de suppression d’un renseignement doit être faite par écrit.
4. Le Responsable de la protection des renseignements personnels doit répondre par écrit à la demande d’accès à l’information ou à la demande de
   rectification ou de suppression d’un renseignement, avec diligence et au plus tard dans les 30 jours de la date de réception de la demande.
5. L’accès aux renseignements personnels est gratuit. Toutefois, des frais raisonnables peuvent être exigés pour la
   transcription, la reproduction ou la transmission des renseignements.
6. Le Responsable de la protection des renseignements personnels doit motiver par écrit tout refus et en préciser le
   fondement légal. Il doit informer le requérant des recours qui s’offrent à lui et des délais dans lesquels ils doivent être
   exercés.
7. Le cas échéant, le Responsable de la protection des renseignements personnels transmet au requérant une copie de
   tout renseignement personnel modifié ou ajouté ou, selon le cas, une attestation de la suppression d’un
   renseignement personnel.

1. Le Responsable de la protection des renseignements personnels est responsable du traitement des demandes
   d’accès à l’information et de rectification ou de suppression des renseignements personnels.
2. Le Responsable de la protection des renseignements personnels est disponible pour fournir toute information ou
   répondre à toute question en matière de gestion et de protection des renseignements personnels. Il doit prêter
   assistance à tout requérant d’une demande d’accès à l’information ou de rectification ou de suppression de renseignements personnels et l’aider à
   comprendre tout refus.
3. Les coordonnées du Responsable de la protection des renseignements personnels sont :
   

   Me Anaïs Fournier
   Vice-présidente, Affaires juridiques et ressources humaines

   Groupe Estrie-Richelieu, Mutuelle d’assurance agricole
   770, rue Principale, Granby (Québec), J2G 2Y7
   Téléphone : 450 378-0101

   Appels locaux : 450 378-0101
   Sans frais : 1 800 363-8971

   Courriel : anaisfournier@estrierichelieu.com

1. 1. Définition

Nous entendons par « incident de confidentialité » :

1. 1. • L’accès non autorisé par la loi à un renseignement personnel ;
      • L’utilisation non autorisée par la loi d’un renseignement personnel ;
      • La communication non autorisée par la loi d’un renseignement personnel ;
      • La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un renseignement personnel.

1. 1. Mesures à prendre

En cas d’incident de confidentialité impliquant un renseignement personnel, Estrie-Richelieu doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.

1. 1. Communication de l’incident

Si l’incident de confidentialité présente un risque qu’un préjudice sérieux soit causé, Estrie-Richelieu doit :

1. 1. • Aviser la Commission d’accès à l’information ;
      • Aviser toute personne dont un renseignement personnel est concerné par l’incident ;
      • Aviser toute personne ou tout organisme susceptible de diminuer ce risque, en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. Dans ce cas, le Responsable de la protection des renseignements personnels doit consigner la communication.

Si l’incident de confidentialité résulte d’un incident de sécurité de l’information, Estrie-Richelieu doit aviser l’Autorité des marchés financiers conformément à la réglementation en vigueur.

1. 1. Évaluation du risque

Pour évaluer le risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de confidentialité, Estrie-Richelieu doit considérer, notamment :

1. 1. • La sensibilité du renseignement concerné ;
      • Les conséquences appréhendées de l’utilisation de ce renseignement ;
      • La probabilité que ce renseignement soit utilisé à des fins préjudiciables.

Le Responsable de la protection des renseignements personnels doit être consulté dans le cadre de cette évaluation du risque.

1. 1. Registre des incidents de confidentialité

Estrie-Richelieu tient un registre des incidents de confidentialité conforme à la réglementation.