POLITIQUE SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS DE 9499-6345 Québec Inc. (Félix Di Gennaro – Courtier Hypothécaire)

Préambule

Cette politique vise à régir la conformité du cabinet 9499-6345 Québec Inc. (Félix Di Gennaro – Courtier Hypothécaire). Elle doit être appliquée rigoureusement et utilisée comme un outil au service de l'exercice des courtiers hypothécaires autonomes ou des cabinets pour répondre aux exigences de l'Autorité des marchés financiers (ci-après nommée « l'AMF »).

L'objet des politiques

• A. Établir les principes généraux relatifs à la collecte, l'utilisation et la communication de renseignements personnels;
• B. Conserver adéquatement les données;
• C. Détruire adéquatement les renseignements personnels;
• D. Anonymiser les renseignements personnels, le cas échéant;
• E. Recevoir et traiter adéquatement les plaintes et demandes d'individus souhaitant exercer leurs droits;
• F. Sécuriser adéquatement les données;
• G. Gérer les incidents de confidentialité et plan de réponse aux incidents.

1. Rôles et responsabilités

La personne responsable de l'application de la présente politique est la personne responsable de la protection des renseignements personnels, M. Félix Di Gennaro. Le titre et les coordonnées de la personne responsable de la protection des renseignements personnels sont publiés sur le site Internet de 9499-6345 Québec Inc.

2. Définition de renseignement personnel

La définition d'un renseignement personnel est la suivante : « Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l'identifier. »

À titre indicatif : nom, religion, état matrimonial, niveau d'instruction, âge, dossier médical, revenus, renseignements bancaires, numéro d'assurance sociale, adresse civique, déclaration de revenus, rapport de solvabilité, etc.

3. Définition de renseignement personnel sensible

Un renseignement personnel est considéré sensible lorsque, de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d'attente raisonnable en matière de vie privée.

4. Embauche

Tout employé doit signer une entente de confidentialité.

5. Entente de services

La personne qui conclut une entente de services avec un fournisseur dont les activités pourraient permettre un accès aux renseignements personnels doit s'assurer que l'offre de service inclut un engagement à cet effet. Sinon, un engagement de confidentialité doit être signé.

6. Consentement

En tout temps, le courtier hypothécaire doit obtenir une autorisation écrite dûment signée par son client, qui l'autorise à recueillir, utiliser, communiquer et conserver les renseignements personnels le concernant.

7. Principes généraux relatifs à la collecte, l'utilisation et la communication de renseignement personnel

7.1. Collection des renseignements personnels

Pour recueillir des renseignements personnels sur autrui, il faut un intérêt sérieux et légitime. Les renseignements doivent être recueillis par des moyens licites uniquement.

Renseignements recueillis auprès d'un tiers

Dans l'éventualité où des renseignements personnels sont recueillis auprès d'un tiers, le consentement de la personne concernée doit être obtenu préalablement.

Renseignements concernant un mineur de moins de 14 ans

Les renseignements personnels concernant un mineur de moins de 14 ans ne peuvent être recueillis auprès de celui-ci sans avoir obtenu préalablement le consentement du titulaire de l'autorité parentale ou du tuteur.

7.2. L'utilisation des renseignements personnels

Les renseignements personnels sont seulement utilisés aux fins pour lesquelles ils ont été recueillis, à moins du consentement de la personne concernée.

7.3. Communication des renseignements personnels

Il est interdit de communiquer des renseignements personnels sur le client à des tiers, sans avoir obtenu l'autorisation du client au préalable, à l'exception des cas permis par la loi.

8. Conserver adéquatement les données

8.1. Conserver les renseignements personnels

Afin de s'assurer de bien conserver les renseignements personnels contenus dans les dossiers actifs, les employés prennent les mesures suivantes :

• Consigner au dossier les communications écrites avec le client;
• Tourner face contre table les documents contenant des renseignements personnels;
• Limiter l'accès aux locaux aux personnes autorisées;
• Verrouiller les classeurs tous les soirs;
• À la fin de la journée, les dossiers sont rangés et conservés dans les classeurs.

8.2. Conserver les dossiers inactifs

Les dossiers inactifs sont conservés selon les durées minimales suivantes :

• Dossiers clients et registres AMF : cinq (5) ans suivant la fermeture définitive du dossier;
• Documents à caractère fiscal : six (6) ans suivant la dernière année d'imposition concernée.

9. Accès au dossier

Le client doit pouvoir en tout temps, avoir accès à son dossier. Il doit pouvoir le consulter ou en demander une copie. Également, le client doit pouvoir demander à ce que toute information fausse ou erronée soit corrigée.

10. Fermeture de dossiers

Après les délais de conservation prescrits (cinq (5) ans pour les dossiers clients et registres AMF, six (6) ans pour les documents fiscaux), les dossiers peuvent être détruits.

11. Détruire adéquatement les renseignements personnels et les anonymiser

La destruction doit se faire par le biais d'outils spécialisés, telle qu'une déchiqueteuse de bureau. Le document déchiqueté doit donner des morceaux tellement petits qu'il est impossible de reconstituer le document.

12. Recevoir et traiter adéquatement les plaintes et demandes d'individus

12.1. Définition de plainte et registre

Aux fins de la présente politique, une plainte constitue l'expression d'un reproche à l'endroit d'un employé ou l'identification d'un préjudice potentiel ou réel qu'aurait subi un client.

12.2. Procédure lors de signalement d'une plainte

Tout client qui désire porter plainte doit le faire par écrit à l'adresse suivante :

12.3. Accès au dossier

Tant le client qu'un employé, ils peuvent en tout temps, avoir accès à leur dossier, pour le consulter ou en demander une copie.

12.4. Vos droits concernant vos renseignements personnels

Conformément à la Loi sur la protection des renseignements personnels dans le secteur privé, vous disposez des droits suivants :

• Droit d'accès : Consulter les renseignements personnels que nous détenons à votre sujet;
• Droit de rectification : Faire corriger tout renseignement inexact;
• Droit de retrait du consentement : Retirer votre consentement à tout moment;
• Droit à l'effacement : Demander la suppression de vos renseignements;
• Droit à la portabilité : Obtenir vos renseignements dans un format structuré;
• Droit au déréférencement : Exiger la désindexation de tout hyperlien rattaché à votre nom.

13. Gérer les incidents de confidentialité et plan de réponse aux incidents

Dès qu'une personne a des motifs de croire qu'il s'est produit un incident de confidentialité impliquant un renseignement personnel qu'elle détient, elle doit immédiatement prendre les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé.

Un incident de confidentialité comprend : l'accès, la communication et l'utilisation non autorisée par la loi d'un renseignement personnel; la perte d'un renseignement personnel; ou toute autre atteinte à la protection d'un tel renseignement.

14. Vol d'identité

Si un client signale une possibilité de vol d'identité, la personne responsable de la protection des renseignements personnels doit activer un indicateur de vol d'identité dans le système informatique ainsi que dans le dossier physique.

15. Dispositions générales

La présente politique doit être révisée annuellement par la personne responsable de la protection des renseignements personnels.

La présente politique de conformité est en vigueur depuis le 12 janvier 2024 et mise à jour le 25 janvier 2026.

16. Localisation et hébergement des données informatiques

Dans le cadre de ses activités, 9499-6345 Québec Inc. utilise plusieurs systèmes informatiques pour le stockage et la gestion des renseignements personnels de ses clients.

Voici les principales plateformes utilisées :

Clustdoc

• Type de données hébergées : Documents personnels
• Lieu d'hébergement : Datacenters situés en Île-de-France (France)
• Garanties de sécurité : Conformité RGPD, hébergement sur AWS, chiffrement des données

OneDrive Microsoft

• Type de données hébergées : Documents personnels
• Lieu d'hébergement : Serveurs Microsoft situés au Canada
• Garanties de sécurité : Chiffrement AES 256 bits, authentification multifacteur

GoHighLevel

• Type de données hébergées : Informations de contact de base (nom, courriel, téléphone)
• Lieu d'hébergement : Infrastructure AWS et Google Cloud Platform (États-Unis)
• Garanties de sécurité : Certification ISO 27001, chiffrement en transit et au repos

BOSS (M3-Tech)

• Type de données hébergées : Documents et informations liés à la demande hypothécaire
• Lieu d'hébergement : Serveurs sécurisés au Canada
• Garanties de sécurité : Certification SOC 2

17. Transmission sécurisée des documents et renseignements

Afin d'assurer la protection optimale de vos renseignements personnels et financiers, nous exigeons que tous les documents sensibles soient transmis exclusivement via notre portail client sécurisé Clustdoc.