Renseignements personnels
Énoncé de Vestcor Inc. sur la protection des renseignements personnels
Objectif
Vestcor Inc. (« Vestcor ») respecte les exigences des lois applicables en ce qui concerne la collecte, l’utilisation, la divulgation et la conservation des renseignements personnels, notamment la Loi sur la protection des renseignements personnels et les documents électroniques. Le présent énoncé sur la protection des renseignements personnels porte sur les politiques, les procédures et les mesures de sécurité que Vestcor a élaborées pour gérer les renseignements personnels lorsqu’elle fournit des services d’administration des pensions, d’administration des régimes d’avantages sociaux des employés et de gestion des placements. Ces politiques, procédures et mesures de sécurité sont réexaminées régulièrement (au moins tous les ans) et l’administrateur de la protection des renseignements personnels de Vestcor doit s’assurer que Vestcor les respecte.
Collecte et utilisation
Vestcor obtient des renseignements personnels afin d’offrir des services d’administration des pensions, d’administration des régimes d’avantages sociaux des employés et de gestion des placements. La plupart des renseignements personnels que reçoit Vestcor sont fournis par des employeurs et des promoteurs de régimes de pension. De plus, Vestcor peut recevoir indirectement certains renseignements personnels de la part de fournisseurs de services qui offrent des services aux employeurs ou aux promoteurs de régimes de pension avec lesquels Vestcor doit assurer la coordination. En participant aux régimes de pension et d’avantages collectifs des employeurs, les particuliers autorisent leur employeur, le promoteur de leur régime, ou le fournisseur de services le cas échéant, à communiquer leurs renseignements personnels à Vestcor. Vestcor n’assume aucune responsabilité quant à l’obtention du consentement en ce qui concerne les renseignements qu’elle reçoit des employeurs, des promoteurs de régimes de pension et des fournisseurs de services.
Vestcor obtient aussi des renseignements personnels directement des particuliers (participants d’un régime de pension ou d’un régime d’avantages collectifs, retraités/pensionnés) ou de leurs représentants autorisés (fondés de pouvoir en vertu de la procuration, tuteurs légaux ou désignés). Les fins pour lesquelles Vestcor recueille et utilise des renseignements personnels sont indiquées dans le présent énoncé sur la protection des renseignements personnels et dans les formulaires applicables de Vestcor, dans les directives et les documents à l’appui fournis par Vestcor, ou par l’équipe des Services aux membres de Vestcor si la collecte se fait au téléphone ou en personne. Les particuliers ont consenti à la collecte de renseignements personnels à ces fins en les fournissant à Vestcor ou à l’équipe des Services aux membres de Vestcor.
Lorsqu’un particulier fournit à Vestcor des renseignements personnels concernant un tiers (conjoint, conjoint de fait, bénéficiaire), il est le seul responsable de l’obtention du consentement du tiers à communiquer ces renseignements à Vestcor. Vestcor n’assume aucune responsabilité quant à l’obtention du consentement du tiers visé par les renseignements.
Vestcor peut également obtenir des renseignements personnels de sources publiques (articles nécrologiques, répertoires, archives publiques, dossiers déposés à la cour) s’il n’est pas possible ou pratique de les obtenir directement par d’autres moyens.
La nature et l’étendue des renseignements personnels recueillis par Vestcor varient selon le type de service offert et la relation du particulier avec Vestcor (participant à un régime de pension, bénéficiaire, représentant autorisé). Les renseignements personnels que Vestcor recueille sur un particulier peuvent comprendre ce qui suit :
- Nom et coordonnées (adresse, numéro de téléphone, adresse courriel)
- Renseignements démographiques (âge, sexe, état matrimonial)
- Pièce d’identité délivrée par le gouvernement (certificat de naissance, permis de conduire)
- Numéro d’assurance sociale
- Renseignements sur l’emploi (employeur, salaire, dates d’emploi et situation d’emploi);
- Renseignements sur les membres de la famille/relations (conjoint ou conjoint de fait actuel ou ancien, bénéficiaires désignés)
- Documents juridiques (procuration, testament, ordonnance du tribunal, contrat familial);
- Renseignements sur l’institution financière (renseignements bancaires/chèque annulé)
- Renseignements médicaux ou sur la santé
- Documents à l’appui pour l’un ou l’autre des éléments susmentionnés.
Vestcor peut recueillir des renseignements personnels aux fins suivantes :
- Déterminer et vérifier l’admissibilité au régime et le droit aux prestations (y compris les prestations du survivant).
- Calculer et verser des prestations.
- Fournir des estimations relatives à la pension et à la rupture du mariage et des options à la cessation d’emploi.
- Déterminer l’admissibilité et calculer les prestations pour les rachats de services et les accords réciproques de transfert avec d’autres régimes de pension.
- Communiquer avec les participants, les bénéficiaires et d’autres personnes qui peuvent avoir droit à des versements ou à des prestations.
- Produire les états des participants.
- Vérifier l’identité des participants, des bénéficiaires et d’autres personnes qui peuvent avoir le droit d’obtenir des prestations ou des renseignements.
- Faire preuve de diligence raisonnable relativement aux entreprises qui peuvent être ajoutées au portefeuille de placements de Vestcor, et surveiller et superviser les entreprises qui font partie de ce portefeuille.
- Respecter les exigences légales et réglementaires (notamment en ce qui concerne l’obligation d’information).
- Établir des données statistiques et qualitatives sur les régimes administrés et sur le rendement de Vestcor.
Les renseignements personnels peuvent être communiqués à des tiers qui fournissent des services à Vestcor (actuaires, fournisseurs de bases de données et de systèmes de traitement des données, fournisseurs de services d’impression) ou à des tiers qui fournissent des services à un client de Vestcor, à la demande de celui-ci ou avec son consentement. Les tiers ont l’obligation contractuelle de conserver en lieu sûr et en toute confidentialité les renseignements personnels qu’ils reçoivent et de mettre en place des mesures de sécurité pour les protéger.
Vestcor utilise des caméras de sécurité aux entrées de ses bureaux uniquement pour assurer la sécurité des particuliers ainsi que celle de ses biens et actifs. Des avis sont affichés sur les lieux où une surveillance vidéo est effectuée. Un enregistrement de la surveillance vidéo peut être fourni à un organisme d’application de la loi ou à un autre organisme gouvernemental compétent si la loi le permet ou l’exige ou aux fins d’une enquête sur l’application de la loi.
Politiques et mesures de sécurité
Vestcor fait des efforts raisonnables pour s’assurer que les renseignements personnels en sa possession sont exacts. Par exemple, lorsqu’un envoi postal est retourné parce qu’il n’a pu être livré, le personnel de Vestcor essaie de communiquer avec le particulier pour obtenir des renseignements à jour. De plus, avant de faire un paiement à quelqu’un ou de commencer à verser des prestations, Vestcor confirme que les renseignements du destinataire sont exacts. Les bulletins produits par Vestcor contiennent également des rappels pour demander aux participants du régime et aux bénéficiaires de prestations de mettre à jour leurs coordonnées et leurs renseignements bancaires lorsqu’il y a des changements. Les particuliers peuvent corriger les renseignements personnels détenus par Vestcor lorsqu’ils sont inexacts.
Vestcor conservera les renseignements personnels uniquement pendant le temps nécessaire pour satisfaire aux fins pour lesquelles ils ont été recueillis et pour satisfaire des exigences juridiques et opérationnelles.
Vestcor a recours à plusieurs politiques et mesures de sécurité administratives, technologiques et physiques pour protéger les renseignements personnels en sa possession contre l’utilisation et l’accès non autorisés. Ces politiques et mesures de sécurité comprennent ce qui suit :
- Processus de vérification de l’identité
- Accès contrôlé et restreint aux bureaux de Vestcor
- Demander au personnel de conserver les renseignements personnels à l’abri des regards en ne laissant rien traîner sur les bureaux, en verrouillant les bureaux et les classeurs, en éliminant les documents papier non nécessaires par l’entremise d’un tiers fournisseur de services de déchiquetage et en veillant à ce que les écrans d’ordinateur ne soient pas à la vue d’autres personnes.
- Mettre en œuvre des politiques de technologie de l’information pour l’accès aux systèmes et l’utilisation de matériel et de logiciels de technologie de l’information qui sont communiquées régulièrement à tous les membres du personnel et qui doivent faire l’objet de certifications annuelles en matière de conformité.
- Mettre en œuvre d’autres politiques concernant le réseau et les systèmes informatiques de Vestcor en vue d’empêcher l’accès non autorisé.
- Politiques de gestion des dossiers et calendriers de conservation.
- Formation continue et obligatoire de sensibilisation à la cybersécurité en ligne pour veiller à ce que les membres du personnel comprennent leurs responsabilités en matière de protection des données et des systèmes.
- Veiller à ce que les fournisseurs de services tiers soient soumis aux mêmes exigences que Vestcor s’ils reçoivent des renseignements personnels de Vestcor.
Conformément à ses politiques internes et aux lois applicables en matière de protection des renseignements personnels, Vestcor signalera les infractions à ses mesures de sécurité et fournira des avis à cet effet.
Communication à des tiers
Dans des circonstances limitées, Vestcor communique des renseignements personnels à des tiers. À la demande de ses clients ou avec leur consentement, Vestcor peut communiquer des renseignements personnels aux employeurs et aux organismes qui fournissent des services aux employeurs avec lesquels Vestcor doit coopérer (compagnies d’assurance).
Vestcor peut également communiquer ces renseignements à des tiers avec l’autorisation du particulier ou lorsque la loi l’exige ou l’autorise. Selon les circonstances, les renseignements personnels peuvent être communiqués à des représentants autorisés, des organismes de réglementation (surintendant des pensions, Agence du revenu du Canada), les conjoints ou conjoints de fait actuels ou anciens, les bénéficiaires désignés ou d’autres personnes qui peuvent être tenues ou avoir droit de recevoir ces renseignements.
Vestcor ne vend pas ou ne loue pas les renseignements personnels en sa possession.
Protection des renseignements personnels sur le site Web
Lorsque le site Web de Vestcor est visité, le serveur Web de Vestcor recueille automatiquement une quantité limitée de renseignements essentiels pour le fonctionnement et la sécurité du site Web. Vestcor utilise des technologies comme des témoins qui stockent un petit nombre d’éléments de données sur l’appareil de l’utilisateur qui lui permettent de recueillir certains renseignements anonymes sur l’utilisation lorsque l’utilisateur interagit avec Vestcor en ligne (« renseignements sur l’utilisation »). Les renseignements sur l’utilisation peuvent comprendre notamment ce qui suit : renseignements sur le navigateur Web, renseignements sur le système d’exploitation, fournisseur de services Internet (FSI), adresses de protocole Internet (IP) ou autres identificateurs d’appareil, emplacement, date et heure de la visite d’un site Web particulier et langue de préférence sélectionnée au début par l’utilisateur. Vestcor n’utilise pas les renseignements sur l’utilisation pour identifier un utilisateur en particulier. Vestcor utilise des outils tiers comme Google Analytics pour recueillir les renseignements sur l’utilisation. Vestcor n’est pas responsable des pratiques de sécurité et de protection des renseignements personnels de ces outils tiers. Pour obtenir d’autres renseignements sur ces produits et sur leurs principes de sécurité et de protection des renseignements personnels, il faut lire leurs politiques de protection des renseignements personnels.
Pour les demandes de renseignements effectuées sur le site Web de Vestcor, les particuliers doivent fournir une quantité limitée de renseignements personnels, comme leur nom et leurs coordonnées, pour que le personnel de Vestcor puisse communiquer avec eux et donner suite à leurs demandes. Les transmissions de documents à Vestcor par Internet ne sont pas sécurisées. Par conséquent, la confidentialité d’une transmission ne peut pas être assurée. Il est donc recommandé aux utilisateurs de ne pas soumettre de renseignements confidentiels ou sensibles sur le site Web de Vestcor.
Le site Web de Vestcor (y compris les documents électroniques affichés sur le site Web) peut contenir des liens vers des sites Web tiers qui ne sont pas couverts par les politiques de protection des renseignements personnels et les mesures de sécurité de Vestcor.
Vestcor n’assume aucune responsabilité quant aux pratiques de protection des renseignements personnels de ces sites Web ou organismes tiers, et les particuliers doivent lire les politiques applicables de ces tiers pour connaître leurs pratiques relatives à la protection des renseignements personnels.
Demandes de renseignements ou préoccupations
Les particuliers qui souhaitent retirer leur consentement relatif à l’utilisation de leurs renseignements personnels par Vestcor peuvent présenter une demande par écrit à l’administrateur de la protection des renseignements personnels (voir ci-dessous). Vestcor s’efforcera de répondre à ces demandes mais, puisque la plupart des renseignements personnels que recueille Vestcor sont nécessaires pour satisfaire à ses obligations juridiques et contractuelles, il se peut qu’il ne soit pas possible de retirer le consentement dans plusieurs situations.
Des demandes par écrit peuvent également être présentées si des particuliers veulent savoir quels renseignements personnels Vestcor possède à leur sujet (le cas échéant) et comment ils sont utilisés et communiqués. La réponse de Vestcor à ces demandes est assujettie à certaines exceptions prévues par la loi.
Pour obtenir de plus amples renseignements sur les pratiques de Vestcor relatives à la protection des renseignements personnels, pour présenter une demande par écrit ou pour déposer une plainte sur une question liée à la protection des renseignements personnels, il faut communiquer par écrit avec l’administrateur de la protection des renseignements personnels à l’adresse suivante :
Administrateur de la protection des renseignements personnels
Vestcor Inc.
C.P. 6000
Fredericton (Nouveau-Brunswick) E3B 5H1
Adresse courriel : confidentiel@vestcor.org
Il se peut que l’administrateur de la protection des renseignements personnels ait besoin d’obtenir d’autres renseignements avant de traiter une demande ou une plainte.
Mises à jour ou corrections des renseignements personnels
Vestcor s’efforce de maintenir des renseignements personnels exacts et à jour. Les particuliers qui reçoivent des renseignements personnels par le biais des demandes écrites décrites ci-dessus, des relevés annuels ou de toute autre correspondance de Vestcor, et qui souhaitent mettre à jour ou corriger leurs renseignements personnels peuvent communiquer avec Vestcor. Vestcor, à son tour, appliquera la mise à jour/correction ou coordonnera la mise à jour/correction avec l’employeur, le cas échéant. Les demandes de mise à jour ou de correction des renseignements personnels peuvent être soumises par écrit à l’adresse suivante :
Équipe des services aux membres
Vestcor Inc.
C.P. 6000
Fredericton, Nouveau-Brunswick
E3B 5H1
Courriel : info@vestcor.org *
* Veuillez noter que les renseignements personnels de nature délicate (par exemple, le numéro d’assurance sociale) ne doivent pas être soumis à info@vestcor.org; si une mise à jour ou une correction de ce type de renseignement est nécessaire, veuillez fournir des détails généraux uniquement et un analyste des services aux membres vous contactera pour vous indiquer comment soumettre ces renseignements de manière sécurisée.