POLITIQUE SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS DE 9499-6345 Québec Inc. (Félix Di Gennaro – Courtier Hypothécaire)

Préambule

Cette politique vise à régir la conformité du cabinet 9499-6345 Québec Inc. (Félix Di Gennaro – Courtier Hypothécaire). Elle doit être appliquée rigoureusement et utilisée comme un outil au service de l'exercice des courtiers hypothécaires autonomes ou des cabinets pour répondre aux exigences de l'Autorité des marchés financiers (ci-après nommée « l'AMF »).

L'objet des politiques

• A. Établir les principes généraux relatifs à la collecte, l'utilisation et la communication de renseignements personnels;
• B. Conserver adéquatement les données;
• C. Détruire adéquatement les renseignements personnels;
• D. Anonymiser les renseignements personnels, le cas échéant;
• E. Recevoir et traiter adéquatement les plaintes et demandes d'individus souhaitant exercer leurs droits;
• F. Sécuriser adéquatement les données;
• G. Gérer les incidents de confidentialité et plan de réponse aux incidents.

1. Rôles et responsabilités

La personne responsable de l'application de la présente politique est la personne responsable de la protection des renseignements personnels, M. Félix Di Gennaro. Le titre et les coordonnées de la personne responsable de la protection des renseignements personnels sont publiés sur le site Internet de 9499-6345 Québec Inc.

2. Définition de renseignement personnel

La définition d'un renseignement personnel est la suivante : « Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l'identifier. »

À titre indicatif : nom, religion, état matrimonial, niveau d'instruction, âge, dossier médical, revenus, renseignements bancaires, numéro d'assurance sociale, adresse civique, déclaration de revenus, rapport de solvabilité, etc.

3. Définition de renseignement personnel sensible

Un renseignement personnel est considéré sensible lorsque, de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d'attente raisonnable en matière de vie privée.

4. Embauche

Tout employé doit signer une entente de confidentialité.

5. Entente de services

La personne qui conclut une entente de services avec un fournisseur dont les activités pourraient permettre un accès aux renseignements personnels doit s'assurer que l'offre de service inclut un engagement à cet effet. Sinon, un engagement de confidentialité doit être signé.

6. Consentement

En tout temps, le courtier hypothécaire doit obtenir une autorisation écrite dûment signée par son client, qui l'autorise à recueillir, utiliser, communiquer et conserver les renseignements personnels le concernant.

7. Principes généraux relatifs à la collecte, l'utilisation et la communication de renseignement personnel

7.1. Collection des renseignements personnels

Pour recueillir des renseignements personnels sur autrui, il faut un intérêt sérieux et légitime. Les renseignements doivent être recueillis par des moyens licites uniquement.

Renseignements recueillis auprès d'un tiers

Dans l'éventualité où des renseignements personnels sont recueillis auprès d'un tiers, le consentement de la personne concernée doit être obtenu préalablement.

Renseignements concernant un mineur de moins de 14 ans

Les renseignements personnels concernant un mineur de moins de 14 ans ne peuvent être recueillis auprès de celui-ci sans avoir obtenu préalablement le consentement du titulaire de l'autorité parentale ou du tuteur.

7.2. L'utilisation des renseignements personnels

Les renseignements personnels sont seulement utilisés aux fins pour lesquelles ils ont été recueillis, à moins du consentement de la personne concernée.

7.3. Communication des renseignements personnels

Il est interdit de communiquer des renseignements personnels sur le client à des tiers, sans avoir obtenu l'autorisation du client au préalable, à l'exception des cas permis par la loi.

8. Conserver adéquatement les données

8.1. Conserver les renseignements personnels

Afin de s'assurer de bien conserver les renseignements personnels contenus dans les dossiers actifs, les employés prennent les mesures suivantes :

• Consigner au dossier les communications écrites avec le client;
• Tourner face contre table les documents contenant des renseignements personnels;
• Limiter l'accès aux locaux aux personnes autorisées;
• Verrouiller les classeurs tous les soirs;
• À la fin de la journée, les dossiers sont rangés et conservés dans les classeurs.

8.2. Conserver les dossiers inactifs

Les dossiers inactifs sont conservés selon les durées minimales suivantes :

• Dossiers clients et registres AMF : cinq (5) ans suivant la fermeture définitive du dossier;
• Documents à caractère fiscal : six (6) ans suivant la dernière année d'imposition concernée.

9. Accès au dossier

Le client doit pouvoir en tout temps, avoir accès à son dossier. Il doit pouvoir le consulter ou en demander une copie. Également, le client doit pouvoir demander à ce que toute information fausse ou erronée soit corrigée.

10. Fermeture de dossiers

Après les délais de conservation prescrits (cinq (5) ans pour les dossiers clients et registres AMF, six (6) ans pour les documents fiscaux), les dossiers peuvent être détruits.

11. Destruction et anonymisation des renseignements personnels

11.1. Destruction sécuritaire

La destruction des documents physiques doit se faire par le biais d'outils spécialisés, telle qu'une déchiqueteuse de bureau. Le document déchiqueté doit donner des morceaux tellement petits qu'il est impossible de reconstituer le document. La destruction des renseignements numériques se fait par effacement sécurisé conformément aux meilleures pratiques en vigueur.

11.2. Anonymisation

L'anonymisation est le processus visant à supprimer ou modifier les renseignements personnels de façon irréversible afin qu'aucun individu ne puisse être identifié, directement ou indirectement. Lorsque des renseignements personnels ne sont plus nécessaires aux fins pour lesquelles ils ont été collectés, ils peuvent être anonymisés de manière irréversible plutôt que détruits, en respectant les meilleures pratiques techniques en vigueur. Un renseignement anonymisé n'est plus considéré comme un renseignement personnel.

12. Recevoir et traiter adéquatement les plaintes et demandes d'individus

12.1. Définition de plainte et registre

Aux fins de la présente politique, une plainte constitue l'expression d'un reproche à l'endroit d'un employé ou l'identification d'un préjudice potentiel ou réel qu'aurait subi un client.

12.2. Procédure lors de signalement d'une plainte

Tout client qui désire porter plainte doit le faire par écrit à l'adresse suivante :

12.3. Accès au dossier

Tant le client qu'un employé, ils peuvent en tout temps, avoir accès à leur dossier, pour le consulter ou en demander une copie.

12.4. Vos droits concernant vos renseignements personnels

Conformément à la Loi sur la protection des renseignements personnels dans le secteur privé, vous disposez des droits suivants :

• Droit d'accès : Consulter les renseignements personnels que nous détenons à votre sujet;
• Droit de rectification : Faire corriger tout renseignement inexact;
• Droit de retrait du consentement : Retirer votre consentement à tout moment. Pour les communications électroniques (courriels, infolettres, communications marketing), le retrait peut s'effectuer en tout temps via notre page de désabonnement : https://felixdigennaro.com/desabonnement;
• Droit à l'effacement : Demander la suppression de vos renseignements;
• Droit à la portabilité : Obtenir vos renseignements dans un format structuré;
• Droit au déréférencement : Exiger la désindexation de tout hyperlien rattaché à votre nom.

13. Gérer les incidents de confidentialité et plan de réponse aux incidents

Dès qu'une personne a des motifs de croire qu'il s'est produit un incident de confidentialité impliquant un renseignement personnel qu'elle détient, elle doit immédiatement prendre les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé.

Un incident de confidentialité comprend : l'accès, la communication et l'utilisation non autorisée par la loi d'un renseignement personnel; la perte d'un renseignement personnel; ou toute autre atteinte à la protection d'un tel renseignement.

13.1. Mesures prises en cas d'incident à risque de préjudice sérieux

En cas d'incident de confidentialité présentant un risque de préjudice sérieux, le responsable de la protection des renseignements personnels prend les mesures suivantes :

• Aviser avec diligence la Commission d'accès à l'information du Québec (CAI);
• Aviser sans délai chaque personne dont un renseignement personnel est concerné par l'incident;
• Consigner l'incident au registre des incidents de confidentialité maintenu par le cabinet, lequel est conservé pendant une période minimale de cinq (5) ans suivant la date de l'incident;
• Mettre en œuvre les mesures correctives nécessaires pour prévenir la récurrence de tels incidents.

14. Vol d'identité

Si un client signale une possibilité de vol d'identité, la personne responsable de la protection des renseignements personnels doit activer un indicateur de vol d'identité dans le système informatique ainsi que dans le dossier physique.

15. Dispositions générales

La présente politique doit être révisée annuellement par la personne responsable de la protection des renseignements personnels.

La présente politique de conformité est en vigueur depuis le 12 janvier 2024 et mise à jour le 13 mai 2026.

16. Localisation et hébergement des données informatiques

Dans le cadre de ses activités, 9499-6345 Québec Inc. utilise plusieurs systèmes informatiques pour le stockage et la gestion des renseignements personnels de ses clients.

Voici les principales plateformes utilisées :

Clustdoc

• Type de données hébergées : Documents personnels (collecte transitoire)
• Lieu d'hébergement : États-Unis
• Garanties de sécurité : Fournisseur français conforme au RGPD, évaluation sécurité basée sur ISO 27000, DPA signé

OneDrive Microsoft

• Type de données hébergées : Dossiers clients complets (archivage)
• Lieu d'hébergement : Serveurs Microsoft situés au Canada
• Garanties de sécurité : Certifications ISO 27001/27018, SOC 1/2/3, chiffrement AES 256 bits, DPA signé

GoHighLevel

• Type de données hébergées : Informations de contact de base (nom, courriel, téléphone)
• Lieu d'hébergement : États-Unis (infrastructure AWS et Google Cloud)
• Garanties de sécurité : Certification ISO 27001, EU Data Privacy Framework, chiffrement en transit et au repos, DPA signé

BOSS (M3-Tech)

• Type de données hébergées : Documents et informations liés à la demande hypothécaire
• Lieu d'hébergement : Serveurs sécurisés au Canada (Montréal)
• Garanties de sécurité : Certification SOC 2 Type II

OneSpan Sign

• Type de données hébergées : Documents hypothécaires soumis à la signature électronique (consentements, mandats, formulaires)
• Lieu d'hébergement : Serveurs AWS situés au Canada
• Garanties de sécurité : Chiffrement en transit et au repos, pistes d'audit complètes, conformité aux normes de signature électronique (LCCJTI), DPA signé

Manni (NordAI Technologie Inc.)

• Type de données hébergées : Transcriptions et analyses des communications téléphoniques
• Lieu d'hébergement : Serveurs situés exclusivement au Québec (Micrologic Québec et Google Cloud Montréal)
• Garanties de sécurité : Modèles de transcription propriétaires (aucun sous-traitant externe), chiffrement, authentification multifacteur, isolation multi-locataire, DPA signé

17. Transmission sécurisée des documents et renseignements

Afin d'assurer la protection optimale de vos renseignements personnels et financiers, nous exigeons que tous les documents sensibles soient transmis exclusivement via notre portail client sécurisé Clustdoc.

18. Cookies et technologies de suivi

En naviguant sur le site web felixdigennaro.com ou sur toute page qui y est reliée, vous reconnaissez l'utilisation de témoins de connexion (cookies) destinés à faciliter votre expérience de navigation, à mesurer la performance du site et à optimiser nos communications. Vous pouvez à tout moment configurer les paramètres de votre navigateur pour refuser ou supprimer ces témoins.