Confidentialité et sécurité des données
Nous nous engageons à maintenir la confidentialité et la sécurité de tous les renseignements personnels que nous pouvons recueillir, utiliser et divulguer conformément à la législation et à la réglementation applicables. La confidentialité et la sécurité des données sont de la plus haute importance pour la Société et nous avons adopté des politiques strictes pour assurer la protection des renseignements personnels qui nous sont confiés.
Engagement
Nous avons formalisé notre engagement relatif à la protection des renseignements que nous recueillons et générons dans les politiques régissant la manière dont nous menons nos activités. Dans ces politiques, nous avons établi des directives précises concernant la collecte, l’utilisation et la divulgation des renseignements personnels. Nous avons également des politiques et des procédures relatives à la protection des renseignements confidentiels contre le vol, la perte, la divulgation, l’accès ou la destruction non autorisé, ou contre toute autre utilisation abusive.
Notre Code de conduite et de déontologie et notre Code de conduite à l'intention des tiers décrivent nos attentes générales en ce qui concerne le traitement des renseignements personnels par notre personnel et les tiers avec lesquels nous collaborons. Ces attentes sont précisées dans nos politiques officielles visant les renseignements personnels recueillis auprès du public, les renseignements personnels des employés, la cybersécurité et la conservation des documents et registres.
Notre Politique sur la protection des renseignements personnels énonce des directives pour la collecte, l’utilisation et la divulgation des renseignements personnels du public, y compris les renseignements des utilisateurs de nos sites Web et des sites de réseaux sociaux de tierces parties, ou des renseignements des abonnés à notre service d’alertes courriel.
Nous avons également adopté une Politique sur la protection des renseignements personnels des employés. Cette politique distincte établit des directives pour la collecte, l’utilisation et la divulgation par la Société des renseignements personnels de nos employés afin d’établir, de maintenir ou de mettre fin à la relation de travail.
Notre Politique de sécurité de la technologie et de la propriété intellectuelle (la « Politique de cybersécurité ») énonce les attentes de la Société à l’égard de tous les employés, consultants et sous-traitants en ce qui concerne l’utilisation adéquate des technologies et de la propriété intellectuelle de la Société ainsi que la protection de la cybersécurité.
De plus, notre Politique en matière de conservation des documents et registres permet de conserver, traiter et détruire nos documents et registres, y compris les renseignements personnels, de manière appropriée et conformément aux lois applicables.
Mise en œuvre
Conformément aux lois applicables en matière de protection de la vie privée, nous recueillons les renseignements personnels qui sont nécessaires à nos activités, lorsque nous avons obtenu le consentement pour le faire, ou de la manière permise ou exigée par la loi. Tous les dirigeants et employés reçoivent un exemplaire de nos différentes politiques et procédures.
Dans le cadre de nos séances de formation annuelles sur les politiques d’entreprise, nous sensibilisons nos employés à la mise en application de nos politiques et procédures, y compris celles relatives à la confidentialité et à la sécurité des données ainsi qu'à la cybersécurité. Le processus de formation est facilité par une plateforme Web par l’entremise de laquelle le module de formation obligatoire visant le Code de conduite et de déontologie de Power Corporation et les principales politiques d’entreprise doit être complété. À la fin du module, conformément à nos exigences en matière d’attestation annuelle, nos employés sont tenus de confirmer leur conformité à notre Code de conduite et à nos politiques d’entreprise les plus importantes.
Nous avons mis en place un programme de formation et de sensibilisation en matière de cybersécurité, qui inclut des formations obligatoires et sur demande offertes à tous nos employés. De plus, de temps à autre, notre personnel reçoit de la formation sur des aspects plus précis, à mesure que de nouveaux risques sont cernés ou que de nouveaux systèmes sont mis en œuvre.
Nous avons mis en place un programme complet de renseignements et de cybersécurité, avons comparé nos capacités avec les bonnes pratiques de l’industrie et avons mis en œuvre des processus d’évaluation des menaces et des vulnérabilités ainsi que des capacités d’intervention, y compris l’adoption d’un protocole d’intervention en cas d’incident lié à la sécurité des technologies de l’information (TI), qui est géré et mis en œuvre à la fois par le vice-président et contrôleur et le directeur des TI. Par l’intermédiaire d’une firme externe spécialisée, nous évaluons régulièrement la robustesse de notre cybersécurité. Nos mesures de protection des TI sont surveillées et adaptées en permanence afin de prévenir et de détecter les cyberattaques et, si de telles attaques devaient se produire malgré tout, d’assurer la reprise et de prendre les mesures correctives qui s’imposent.
Il convient de noter qu’à titre de société de portefeuille, nous n’avons pas de clients. Les sociétés de notre groupe sont responsables de la mise en œuvre de leurs propres politiques et procédures afin de protéger la confidentialité des renseignements de leurs clients.
Dans le cadre de notre approche de participation active, nous sommes engagés à promouvoir le respect, par nos filiales, de la législation applicable en matière de confidentialité et sécurité des données.
Responsabilité
L’utilisation appropriée et la protection des renseignements relèvent de la responsabilité de l’ensemble de notre organisation et reposent sur la diligence de chaque membre de notre personnel. Le vice-président et chef du contentieux est responsable de la supervision des programmes de protection des données, ainsi que de la formation et de la conformité à nos politiques et procédures. Le vice-président et contrôleur est responsable de l’administration de notre Politique de cybersécurité. Au besoin, tous deux font rapport de leurs activités au comité d’audit du conseil d’administration.
Mécanismes de signalement des préoccupations
Pour signaler toute préoccupation, présenter toute demande de renseignements ou soumettre toute plainte concernant nos politiques de confidentialité, nos employés et le public devraient communiquer avec le responsable de la protection des renseignements personnels de la Société.
Surveillance et suivi
Nous surveillons et améliorons constamment nos systèmes et procédures de défense informatique pour prévenir, détecter, résoudre et gérer les menaces à la cybersécurité. Nous sommes conscients que ces menaces ne cessent d’évoluer. Nous recevons également et examinons de l'information issue du renseignement sur les menaces et les menaces graves pour la sécurité auxquelles fait face le secteur des services financiers à travers le monde entier afin d'être en mesure de réagir proactivement aux menaces émergentes.
Nous réalisons des audits périodiques de nos systèmes de sécurité des renseignements afin de permettre une mise en œuvre adéquate de nos politiques et d’assurer notre conformité aux réglementations en constante évolution, y compris au Règlement général sur la protection des données du Parlement européen et du Conseil de l’Union européenne. Nous apportons les améliorations nécessaires pour nous adapter aux réglementations.