POLITIQUE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS

Le présent document énonce les obligations de Sutton Special Risk Inc. et de ses sociétés affiliées (« société », « nous », « notre » ou « nos ») concernant la protection des données et les droits des personnes dont les renseignements personnels ou les données personnelles (les deux étant désignés en tant que « renseignements personnels ») sont recueillis, utilisés ou divulgués (« vous », « votre » ou « vos ») par nous. Afin d’offrir ses produits et services, la société doit recueillir des renseignements personnels sensibles et confidentiels auprès de ses clients. Nous nous engageons à protéger ces renseignements personnels et à en assurer la confidentialité. Les présentes lignes directrices en matière de protection des renseignements personnels ont été établies conformément aux exigences en vigueur.

Les renseignements personnels incluent tous les renseignements, consignés ou non, concernant une personne identifiable. Ces renseignements comprennent le nom, l’âge, le sexe, le numéro d’assurance sociale/de sécurité sociale/d’identité nationale, l’état de santé, les antécédents médicaux, les renseignements financiers ou les renseignements sur les demandes de règlement.

Pour les résidents canadiens, il est à noter que les renseignements personnels ne comprennent pas le nom, le titre, l’adresse professionnelle ou le numéro de téléphone professionnel d’un employé ou d’une organisation lorsqu’ils sont utilisés ou partagés dans le cadre de communications professionnelles.

Responsabilité

Sutton Special Risk assure le contrôle et assume la responsabilité des renseignements personnels sous son contrôle, y compris les renseignements qui pourraient être transférés à un tiers fournisseur de services exécutant des services pour Sutton Special Risk ou en son nom.

Sources des renseignements personnels

Les renseignements personnels que nous recueillons proviennent souvent directement de vous ou de votre courtier. Nous recueillons également des renseignements personnels auprès d’autres sources, notamment :

  • Votre employeur ou un autre tiers qui souscrit une assurance ou fait une demande de règlement en votre nom.

  • Les compagnies d’assurance et autres entreprises avec qui nous travaillons en partenariat pour fournir nos produits et services.

  • Les organismes gouvernementaux et les organismes chargés de l’application de la loi, ainsi que les registres.

  • Les dossiers publics, comme les dossiers de faillite ou les casiers judiciaires.

  • Les agences d’évaluation du crédit, comme Equifax ou TransUnion.

  • D’autres institutions financières ou de prêt, dans la mesure où cela est pertinent pour votre couverture ou pour le traitement d’une demande de règlement.

  • Les prestataires de soins de santé et les établissements médicaux.

  • Les compagnies d’assurance, les agences gouvernementales ou les organisations qui gèrent des banques de données de renseignements publiques, ou les bureaux d’information sur les assurances, qui ont connaissance de vos renseignements personnels.

  • D’autres personnes ou organisations susceptibles de détenir des renseignements pertinents pour une demande de règlement que nous examinons ou confirmons, comme des témoins d’événements. D’autres personnes ou organisations avec qui nous travaillons afin de vous offrir un soutien ou des services dans le cadre du traitement de votre demande de règlement.

Types de renseignements personnels que nous recueillons et utilisons

Nous recueillons et utilisons les types de renseignements personnels qui suivent :

  • Vos coordonnées, comme votre nom, votre adresse et votre adresse courriel.

  • Des renseignements de base et biographiques, comme votre date de naissance, votre genre, votre situation matrimoniale et familiale, et votre emploi.

  • Des renseignements financiers, comme des renseignements bancaires, sur votre crédit, vos revenus et votre patrimoine.

  • Des renseignements sur la santé, les soins médicaux et le mode de vie. Ces renseignements nous permettent d’évaluer votre admissibilité à nos produits d’assurance et de vous fournir ces produits, ainsi que de traiter les demandes de règlement.

  • Des renseignements et documents d’identification du gouvernement, comme votre permis de conduire, votre statut de résident ou de citoyen, votre passeport ou votre numéro d’assurance sociale (NAS).

  • Vos renseignements relatifs à l’assurance et à vos demandes de règlement, comme votre proposition d’assurance et vos antécédents en matière de demandes de règlement, votre courtier et vos autres polices en vigueur. Ces renseignements peuvent également concerner les circonstances d’une demande de règlement que vous ou un tiers présentez.

  • Les renseignements sur les interactions que vous avez avec nous, comme les communications par courriel ou les enregistrements d’appels téléphoniques.

  • Tout autre renseignement que vous choisissez de nous fournir ou qui pourrait être pertinent pour une proposition d’assurance ou une demande de règlement.

Nous pouvons également recueillir d’autres renseignements connexes s’ils sont pertinents au regard des objectifs définis ci-dessous. 

Objectifs

Nous pouvons recueillir, utiliser et/ou divulguer des renseignements personnels aux fins suivantes :

  • Communiquer avec vous.

  • Vérifier votre identité. L’utilisation de votre NAS pour la vérification de votre identité et de votre solvabilité est facultative.

  • Fournir et gérer nos produits d’assurance, notamment pour évaluer et traiter les propositions d’assurance, déterminer les produits d’assurance appropriés pour nos clients, souscrire l’assurance, établir les primes et confirmer la couverture.

  • Traiter les demandes de règlement, notamment la réception, l’examen et la prise de décision concernant les demandes de règlement. Le processus d’examen des demandes de règlement comprend la vérification des renseignements qui nous sont fournis, le paiement ou la prestation de services associés aux demandes de règlement.

  • Gérer nos activités, notamment pour la conception et l’amélioration de nos produits et services, la recherche et l’analyse à l’interne, la formation de notre personnel, la gestion et l’évaluation de nos risques, ainsi que d’autres opérations commerciales.

  • Vous proposer des offres ou vous fournir des renseignements concernant nos produits et services, ou les produits et services de nos partenaires.

  • Effectuer des transactions avec vous ou des tiers, notamment recevoir un paiement de votre part ou procéder à un paiement en votre faveur. Cela inclut également le fait d’explorer ou de s’engager dans des transactions commerciales qui impliquent la vente de l’ensemble ou d’une partie de nos activités ou de celles d’une autre société ou de ses actifs.

  • Détecter et prévenir la fraude ou toute autre activité criminelle ou malveillante.

  • Satisfaire aux exigences et obligations légales. Il se peut que nous devions recueillir, utiliser ou divulguer vos renseignements pour satisfaire à des exigences légales, réglementaires ou contractuelles, pour assurer la conformité, ou respecter des règles de l’industrie.

  • Protéger nos intérêts et nos parties prenantes, notamment pour faire respecter nos droits reconnus par la loi, comme recouvrer une dette ou mener une enquête, et pour veiller au respect des obligations légales qui nous incombent. Cela implique également de prendre des mesures pour protéger nos clients, nos biens, nos employés ou nos partenaires commerciaux.

  • Réagir aux situations d’urgence.

Partage de vos renseignements

Nous pouvons partager vos renseignements à l’interne au sein de la société ou avec nos prestataires de services et conseillers qui nous aident à atteindre les objectifs énoncés ci-dessus, comme le soutien informatique, les conseillers externes et les cabinets d’experts-comptables. Nous pouvons également fournir vos renseignements aux tiers suivants :

  • Votre courtier ou toute autre personne agissant en votre nom.

  • Les bénéficiaires de votre police.

  • Votre employeur, dans la mesure où cela est pertinent pour fournir ou gérer nos produits d’assurance ou pour traiter les demandes de règlement.

  • Les compagnies d’assurance et autres entreprises avec qui nous travaillons en partenariat pour fournir nos produits et services.

  • Le gouvernement et les organismes chargés de l’application de la loi, pour satisfaire aux exigences légales.

  • Les agences d’évaluation du crédit, comme Equifax ou TransUnion, pour effectuer des vérifications de solvabilité.

  • D’autres institutions financières ou de prêt, dans la mesure où cela est pertinent pour votre couverture ou pour le traitement d’une demande de règlement.

  • Les prestataires de soins de santé et les établissements médicaux, dans la mesure où cela est pertinent pour fournir ou gérer nos produits d’assurance ou pour traiter les demandes de règlement.

  • Les organisations, y compris les bureaux d’information sur les assurances, qui gèrent des banques de données de renseignements sur les assurances. Nous communiquons ces renseignements pour soutenir le système d’assurance et le processus d’octroi de l’assurance.

  • D’autres personnes ou organisations pouvant détenir des renseignements pertinents pour une demande de règlement que nous examinons ou confirmons, comme des témoins d’événements.

  • D’autres personnes ou organisations avec qui nous travaillons afin de vous fournir un soutien ou des services dans le cadre du traitement de votre demande.

  • Une autre société si nous explorons ou concluons une transaction commerciale, comme la vente de l’ensemble ou d’une partie de nos activités, ou la titrisation ou l’assurance de nos actifs.

  • Toute autre personne ou organisation avec votre consentement.

Nos pratiques en matière de protection des renseignements personnels

Nous recueillons uniquement les renseignements personnels nécessaires à l’atteinte des objectifs. Ces renseignements sont recueillis directement auprès de la personne concernée et peuvent, avec son consentement ou selon ce qui est autorisé par la loi, être recueillis auprès d’autres sources. Les renseignements personnels ne seront pas utilisés, divulgués ou conservés pour d’autres objectifs que ceux pour lesquels ils ont été recueillis, sauf avec l’autorisation de la personne concernée ou dans la mesure où la loi le permet ou l’exige. Les renseignements personnels ne seront pas conservés plus longtemps que cela est nécessaire pour répondre aux objectifs pour lesquels ils ont été recueillis. Tous les renseignements personnels recueillis, utilisés ou divulgués doivent être aussi exacts, complets et actuels que nécessaire pour l’objectif pour lequel ils sont recueillis.

Nous fournirons toute information spécifique sur nos politiques et pratiques en matière de gestion des renseignements personnels sur demande écrite adressée au responsable de la protection des renseignements personnels.

L’information disponible peut inclure :

  • une description des renseignements personnels détenus et un compte rendu général de leur utilisation;

  • les moyens d’accéder aux renseignements personnels détenus;

  • une copie des présentes lignes directrices;

  • un compte rendu des renseignements personnels mis à la disposition de prestataires de services tiers.

Procédures et mesures de protection des données

Les renseignements personnels seront protégés par des mesures de protection adaptées à leur degré de sensibilité.

La société veillera à ce que tous ses employés, contractants, mandataires, consultants, partenaires ou autres parties travaillant pour son compte se conforment à ce qui suit lors du traitement et/ou de la transmission de renseignements personnels :

  • Tous les courriels contenant des renseignements personnels doivent être cryptés.

  • Les renseignements personnels ne peuvent être transmis que sur des réseaux sécurisés – la transmission sur des réseaux non sécurisés n’est en aucun cas autorisée.

  • Les renseignements personnels ne peuvent pas être transmis par un réseau sans fil s’il existe une autre solution filaire pouvant être raisonnablement utilisée.

  • Les renseignements personnels contenus dans le corps d’un courriel, que celui-ci ait été envoyé ou reçu, doivent être copiés à partir du corps de ce courriel et conservés en toute sécurité. Le courriel lui-même doit être supprimé. Tous les fichiers temporaires qui y sont associés doivent également être supprimés.

  • Lorsque des renseignements personnels doivent être envoyés par télécopie, le destinataire doit être informé à l’avance de la transmission et celui-ci doit attendre près du télécopieur pour recevoir les données.

  • Les renseignements personnels devant être transférés sur papier doivent être remis directement au destinataire. Il n’est pas permis de recourir à un intermédiaire, sauf si cela est inévitable.

  • Toutes les copies papier de renseignements personnels doivent être conservées en toute sécurité dans une boîte, un tiroir, une armoire, une salle d’archives ou un endroit similaire fermé à clé.

  • Toutes les copies électroniques de renseignements personnels doivent être conservées en toute sécurité en utilisant des mots de passe et un cryptage approprié des données, autant que possible sur un lecteur ou un serveur auquel il est impossible d’accéder par Internet.

  • Tous les mots de passe utilisés pour protéger les renseignements personnels doivent être changés régulièrement et ne doivent pas comporter de mots ou de phrases pouvant être facilement devinés ou compromis d’une autre manière.

Mesures organisationnelles

La société veillera à ce que les mesures suivantes soient prises concernant la collecte, la détention et le traitement des renseignements personnels :

  • Tous les employés, contractants, mandataires, consultants, partenaires ou autres parties travaillant pour le compte de la société sont dûment informés de leurs responsabilités individuelles et des responsabilités de la société en matière de protection des renseignements personnels.

  • Tous les employés, contractants, mandataires, consultants, partenaires ou autres parties travaillant pour le compte de la société et traitant des renseignements personnels recevront une formation appropriée à cet effet.

  • Les méthodes de collecte, de conservation et de traitement des renseignements personnels seront régulièrement évaluées et révisées.

  • Tous les employés, contractants, mandataires, consultants, partenaires ou autres parties travaillant pour le compte de la société et traitant des renseignements personnels seront tenus par contrat de respecter les exigences applicables en matière de protection des renseignements personnels. Le non-respect par un employé des principes ou de la présente politique constituera une infraction disciplinaire. Le non-respect des principes ou de la présente politique par un contractant, un mandataire, un consultant, un partenaire ou une autre partie constitue une violation de contrat. Dans tous les cas, le non-respect des principes ou de la présente politique peut aussi constituer une infraction criminelle.

  • Tous les contractants, mandataires, consultants, partenaires ou autres parties travaillant pour le compte de la société et traitant des renseignements personnels doivent s’assurer que tous leurs employés impliqués dans le traitement des renseignements personnels sont assujettis aux mêmes conditions que les employés de la société dans le cadre de la présente politique.

Lorsqu’un contractant, un mandataire, un consultant, un partenaire ou une autre partie travaillant pour le compte de la société et traitant des renseignements personnels manque à ses obligations au titre de la présente politique, cette partie est tenue d’indemniser et de dégager la société de toute responsabilité à l’égard des coûts, responsabilités, dommages, pertes, réclamations ou procédures pouvant résulter de ce manquement.

Transferts transfrontaliers de renseignements personnels

Nous, ainsi que nos prestataires de services, opérons dans plusieurs territoires de compétence et souscrivons des assurances qui offrent une couverture internationale. Cela signifie que nous pouvons transférer, conserver ou divulguer vos renseignements personnels dans des territoires de compétence autres que celui dans lequel vos renseignements ont été recueillis à l’origine, et ce, pour les objectifs décrits dans la présente Politique de protection des renseignements personnels. Vos renseignements personnels peuvent être assujettis aux lois en vigueur dans ces territoires de compétence. Vos renseignements personnels pourraient donc être divulgués à des tribunaux étrangers, à des autorités chargées de l’application de la loi ou à des autorités gouvernementales. Lorsque nous transférons des renseignements personnels à l’étranger, nous mettons en place diverses mesures de protection applicables à ces transferts et nous nous conformons aux exigences légales applicables en matière de transfert licite de renseignements personnels.

Accès individuel

Toute personne peut demander à être informée de l’existence, de l’utilisation et de la divulgation des renseignements personnels la concernant. Elle bénéficiera alors d’un accès approprié à ces renseignements qui sont détenus. Sutton Special Risk peut choisir de rendre les renseignements médicaux personnels accessibles uniquement via un médecin désigné par la personne.

Dans certaines situations prévues par la loi, l’accès complet aux renseignements personnels détenus sur une personne pourrait ne pas être possible. Les exceptions à l’obligation d’accès seront limitées et spécifiques, et les raisons du refus d’accès seront communiquées à la personne concernée.

Selon votre territoire de compétence et sous réserve de certaines conditions et limitations prévues par la loi applicable, vous pourriez également avoir le droit reconnu par la loi de rectifier les renseignements personnels que nous détenons à votre sujet. Vous pouvez soumettre ces demandes en utilisant nos coordonnées dans la section ci-après. Il se peut que nous vous demandions des renseignements spécifiques pour nous aider à confirmer votre identité et à traiter votre demande. Il est possible que la loi applicable nous oblige ou nous permette de refuser votre demande. Si nous refusons votre demande, nous vous informerons des raisons de ce refus, sous réserve de toute restriction légale ou réglementaire, et nous noterons la demande et la décision dans votre dossier.

Préoccupations, demandes de renseignements ou requêtes

Toute préoccupation, plainte, demande de renseignements ou requête relative à la protection des renseignements personnels doit être adressée par écrit à l’une des adresses suivantes :

privacyofficer@suttonspecialrisk.com

ou

Privacy Officer/Responsable de la protection des renseignements personnels
Sutton Special Risk Inc.
33 Yonge Street
Suite 400
Toronto, Ontario
M5E 1G4

Modifications du présent avis

La société se réserve le droit de modifier la présente Politique de protection des renseignements personnels à tout moment. Au moment de la mise à jour de celle-ci, nous vous informerons des changements jugés importants en vertu des exigences légales applicables en mettant à jour sa date et en vous fournissant toute autre notification requise par la loi en vigueur.

POUR LES RÉSIDENTS DU ROYAUME-UNI (R.-U.) ET DE L’UNION EUROPÉENNE (UE)

Fondement juridique

Nous sommes légalement tenus de nous appuyer sur un fondement juridique pour recueillir et utiliser vos données personnelles. En plus de recueillir et d’utiliser vos données personnelles pour l’exécution d’un contrat avec vous, dans le cadre de notre obligation légale et avec votre consentement, nous pouvons utiliser vos données personnelles lorsque cela est nécessaire pour mener nos activités et poursuivre nos intérêts légitimes. Nous prenons en considération et équilibrons tout impact potentiel sur vous et sur vos droits avant de traiter vos données personnelles pour nos intérêts légitimes. Nous n’utilisons pas vos données personnelles pour des activités où l’impact sur vous l’emporte sur nos intérêts (sauf si nous avons votre consentement ou si la loi nous y oblige ou nous y autorise).

Transferts hors du R.-U. ou de l’UE

Lorsque nous transférons vos données personnelles hors du R.-U. ou de l’UE, nous veillons à ce qu’elles bénéficient d’un degré de protection similaire en nous assurant que :

  • les pays destinataires sont considérés comme offrant un niveau de protection adéquat pour les données personnelles; ou

  • nous avons établi des conditions contractuelles standard approuvées par l’autorité compétente en matière de protection des données, qui confèrent aux données personnelles transférées la même protection que celle dont elles bénéficient dans le territoire de compétence d’origine.

Vos droits reconnus par la loi

Les lois sur la protection des données vous confèrent plusieurs droits en ce qui concerne vos données personnelles. Vous avez le droit de :

  • Demander l’accès à vos données personnelles (communément appelé « demande d’accès de la personne concernée »). Cette démarche vous permet de recevoir une copie des données personnelles que nous détenons à votre sujet et de vérifier que nous les traitons conformément à la loi.

  • Demander la correction des données personnelles que nous détenons à votre sujet. Vous pouvez ainsi faire corriger les données incomplètes ou inexactes que nous détenons à votre sujet; nous pourrions toutefois être amenés à vérifier l’exactitude des nouvelles données que vous nous fournissez.

  • Demander d’effacer vos données personnelles dans certaines circonstances. Vous pouvez ainsi nous demander de supprimer ou de retirer des données personnelles lorsque nous n’avons aucune raison valable de continuer à les traiter. Vous avez également le droit de nous demander de supprimer ou de retirer vos données personnelles lorsque vous avez exercé avec succès votre droit d’opposition au traitement (voir ci-dessous), lorsque nous avons pu traiter vos renseignements illicitement ou lorsque nous sommes tenus d’effacer vos données personnelles pour nous conformer à la législation locale. Cependant, il se peut que nous ne soyons pas toujours en mesure de satisfaire à votre demande d’effacement pour des raisons légales spécifiques qui vous seront communiquées, le cas échéant, au moment de votre demande.

  • Vous opposer au traitement de vos données personnelles lorsque nous nous appuyons sur un intérêt légitime (ou ceux d’un tiers) comme fondement juridique de cette utilisation particulière de vos données (y compris pour effectuer un profilage basé sur nos intérêts légitimes). Dans certains cas, nous pourrions faire la démonstration que nous avons des motifs légitimes convaincants de traiter vos informations qui l’emportent sur votre droit d’opposition. Vous avez également le droit absolu de vous opposer à tout moment au traitement de vos données personnelles à des fins de marketing direct.

  • Demander le transfert de vos données personnelles à vous-même ou à un tiers. Nous vous transmettrons, à vous-même ou à un tiers que vous aurez choisi, vos données personnelles dans un format structuré, couramment utilisé et lisible par machine. Ce droit ne s’applique qu’aux informations automatisées pour lesquelles vous avez initialement donné votre consentement à leur utilisation ou lorsque nous avons utilisé ces informations pour exécuter un contrat avec vous.

  • Retirer votre consentement à tout moment lorsque nous nous basons sur le consentement pour traiter vos données personnelles. Cela n’affectera toutefois pas la légalité de tout traitement effectué avant le retrait de votre consentement. Si vous retirez votre consentement, il est possible que nous ne soyons pas en mesure de vous fournir certains produits ou services. Nous vous informerons si tel est le cas au moment où vous retirez votre consentement.

  • Demander la restriction du traitement de vos données personnelles. Vous pouvez ainsi nous demander de suspendre le traitement de vos données personnelles dans l’un des scénarios suivants :

·        Si vous souhaitez que nous déterminions l’exactitude des données.

·        Lorsque notre utilisation des données est illicite, mais que vous ne souhaitez pas que nous les effacions.

·        Lorsque vous avez besoin que nous conservions les données même si nous n’en avons plus besoin, car vous en avez besoin pour établir, exercer ou défendre une réclamation en droit.

·        Vous vous êtes opposé à notre utilisation de vos données, mais nous devons vérifier si nous avons des motifs légitimes prépondérants de les utiliser.

Si vous souhaitez exercer l’un des droits susmentionnés, veuillez communiquer avec nous aux coordonnées indiquées dans la section « Préoccupations, demandes de renseignements ou requêtes » ci-dessus.

Renseignements dont nous pourrions avoir besoin de votre part

Il se peut que nous devions vous demander des renseignements spécifiques pour nous aider à confirmer votre identité et nous assurer que vous avez le droit d’accéder à vos données personnelles (ou d’exercer l’un de vos autres droits). Il s’agit d’une mesure de sécurité pour garantir que des données personnelles ne soient pas divulguées à une personne qui n’a pas le droit de les recevoir.

Nous pourrions également vous contacter pour vous demander des renseignements supplémentaires au sujet de votre demande pour accélérer notre réponse.

Délai de réponse

Nous nous efforçons de répondre à toutes les demandes légitimes dans un délai d’un mois. Il est possible que nous ayons besoin de plus d’un mois si votre demande est particulièrement complexe ou si vous avez formulé plusieurs demandes. Dans un tel cas, nous vous en informerons et vous tiendrons au courant de l’évolution du traitement du dossier.