Politique de confidentialité

Le présent Avis décrit la manière dont nous, Groupe M3 et nos sociétés affiliées¹, collectons, utilisons, communiquons et protégeons les renseignements personnels qui nous sont confiés.

Les renseignements personnels désignent toute information concernant une personne physique et permettant, directement ou indirectement, de l’identifier.

Le présent Avis est conçu pour se conformer aux lois canadiennes en matière de protection de la vie privée, notamment la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), ainsi qu’à toute autre loi provinciale ou territoriale applicable en matière de protection de la vie privée.

1. Portée et application

Le présent Avis s’applique à tous les renseignements personnels que nous collectons, utilisons ou communiquons dans le cadre de nos activités commerciales, qu’ils aient été recueillis de manière numérique, par écrit, verbalement ou par tout autre moyen, notamment les renseignements personnels provenant :

• des clients et clients potentiels;
• des utilisateurs de nos produits et services;
• des visiteurs de nos sites Web;
• des partenaires d’affaires, sous-traitants et fournisseurs de services;
• des candidats à un emploi.

2. Comment collectons-nous les renseignements personnels?

2.1 Auprès de qui collectons-nous les renseignements personnels?

Nous pouvons collecter des renseignements personnels directement auprès de la personne concernée. Nous pouvons également les collecter auprès d’autres sources, selon les circonstances et les produits ou services utilisés, notamment :

• nos sociétés de courtages hypothécaires, courtiers, agents, représentants et partenaires;
• institutions financières, prêteurs et compagnies d’assurance;
• une personne souhaitant que la personne concernée bénéficie d’un produit ou service (par exemple à titre de coemprunteur, coassuré ou bénéficiaire);
• agences et bureaux de crédit;
• bases de données de réclamations d’assurance et de fraude;
• références personnelles et professionnelles;
• organismes publics.

2.2 Par quels moyens collectons-nous les renseignements personnels?

Nous pouvons collecter des renseignements personnels en personne, par téléphone, courriel, formulaire papier ou en ligne, ou lors de la visite de nos sites Web ou de l’utilisation de nos applications, notamment lorsqu’une personne :

• crée un compte ou s’inscrit à nos services;
• interagit avec nos courtiers hypothécaires, agents, représentants ou partenaires;
• communique avec nous pour obtenir de l’aide ou des renseignements;
• s’abonne à nos info-lettres ou communications marketing;
• participe à des sondages, concours ou promotions;
• interagit sur les médias sociaux;
• pose sa candidature à un emploi chez nous;
• visite nos sites Web ou utilise nos applications, par l’intermédiaire de témoins, balises Web, pixels et technologies similaires (voir la section 7).

2.3 Quels renseignements personnels collectons-nous?

Nous ne collectons que les renseignements personnels nécessaires aux fins énoncées dans le présent Avis. Les renseignements personnels que nous collectons peuvent comprendre :

Catégories de renseignements	Exemples
Identification	Nom, date de naissance, genre ou non-binaire, identifiants gouvernementaux (par exemple un numéro de passeport ou de permis de conduire), état civil.
Coordonnées	Courriel, adresse postale, numéros de téléphone.
Authentification	Mots de passe et NIP, réponses aux questions d’authentification, codes d’authentification multifacteur, données biométriques2.
Communication avec nous	Détails de rendez-vous, messages, journaux, historique, enregistrements d’appels audio et vidéo, analyses et transcriptions, billets de soutien, courriels, clavardages, plaintes, réponses aux sondages, enregistrements vidéo de sécurité.
Renseignements techniques (via nos sites Web et applications)	Adresse IP, localisation, type de navigateur et préférences, identifiant et configurations de l’appareil, site Web référant et mots-clés recherchés, pages visitées, parcours de navigation, fonctionnalités utilisées, temps passé sur les services, publicités vues, notamment les renseignements collectés via des témoins, balises Web, pixels et technologies similaires (voir la section 7).
Produits et services	Renseignements sur les produits détenus (prêts hypothécaires, polices d’assurance, dates, montants, modalités, modes de paiement), utilisateurs de compte autorisés.
Financiers	Salaire, autres revenus, état financier, profil financier, actif et passif, loyer, hypothèque, compte bancaire, rapport et cote de crédit.
Assurance	Polices, historique des réclamations, véhicule, résidence, habitudes de vie.
Emploi	Statut d’emploi, employeurs actuels et antérieurs, références.
Préférences de communication	La façon dont nous communiquons avec les personnes et le type d’information que nous pouvons leur transmettre.
Conformité légale	Numéro d’assurance sociale, preuve de citoyenneté, pays de naissance, pays de résidence et numéros d’identification fiscale.
Autres	Nous pouvons également créer ou inférer des renseignements à partir des renseignements personnels que nous collectons, notamment des profils clients et des identifiants.

2.4 Quand obtenons-nous le consentement?

Nous obtenons le consentement avant de collecter, d’utiliser ou de communiquer des renseignements personnels à des tiers. Nous pouvons obtenir le consentement directement auprès de la personne concernée, ou par l’intermédiaire d’une autre personne, comme un courtier, un agent ou un représentant. Nous solliciterons à nouveau le consentement si nous souhaitons utiliser ou communiquer des renseignements personnels à des fins pour lesquelles la personne n’a pas encore consenti.

Dans certaines circonstances, le consentement n’est pas requis pour collecter, utiliser ou communiquer des renseignements personnels, notamment :

• lorsqu’ils sont communiqués à un fournisseur ou prestataire de services aux fins de la fourniture d’un produit ou service que nous offrons;
• pour détecter et prévenir la fraude ou améliorer les mesures de sécurité;
• lorsqu’il est clairement dans l’intérêt de la personne concernée;
• lorsque la loi, une ordonnance d’un tribunal ou une autorité réglementaire l’exige;
• lorsque les renseignements sont communiqués à un tiers dans le cadre d’une vente, d’une fusion, d’une réorganisation ou d’un financement de toute ou d’une partie de notre entreprise.

3. Comment utilisons-nous les renseignements personnels?

Nous n’utilisons les renseignements personnels qu’aux fins énoncées dans le présent Avis, ou à d’autres fins compatibles avec ces fins initiales. Ces fins sont communiquées à la personne avant la collecte des renseignements personnels.

Les fins ci-dessous peuvent être essentielles à la fourniture de produits et services à la personne :

Catégories	Fins
Connaître l’identité de la personne	Vérification de l’identité et authentification S’assurer que les renseignements personnels sont complets, exacts et à jour Identification au sein de nos sociétés affiliées
Établir une relation avec la personne	Communiquer avec la personne et répondre à ses questions Comprendre les besoins et conseiller Analyser les demandes de produits ou services Établir ou vérifier le crédit Déterminer l’admissibilité à un produit ou service Déterminer si un produit ou service convient à la personne Établir le coût d’un produit ou service
Maintenir la relation avec la personne	Gérer le dossier et traiter les demandes, pré-qualifications, transactions et autres requêtes liées au financement hypothécaire et à l’assurance Traiter les paiements Traiter les réclamations d’assurance Gérer les plaintes ou insatisfactions Transférer le dossier à un autre courtier, agent ou représentant, si nécessaire
Candidature à un emploi ou à un travail de consultation	Recevoir, traiter et analyser les candidatures
Gérer les risques	Détecter, prévenir et contenir les activités non autorisées et les cybermenaces Surveiller les pratiques commerciales aux fins d’assurance qualité Vérifier les transactions aux fins de conformité Respecter nos exigences contractuelles Former nos employés, courtiers, agents et représentants Assurer certains risques
Se conformer aux lois	Détecter, prévenir et contenir les activités illégales, notamment la fraude, le blanchiment d’argent et le financement du terrorisme Respecter nos obligations légales et les exigences des tribunaux Se conformer aux autorités et organismes réglementaires

Certaines fins sont facultatives. La personne peut y consentir pour bénéficier d’une expérience client améliorée et recevoir des offres adaptées à ses besoins. Nous devons obtenir le consentement pour collecter, utiliser et communiquer les renseignements personnels aux fins suivantes :

Catégories	Fins
Améliorer nos produits et services et offrir une expérience client personnalisée	Comprendre comment nos produits et services, y compris nos sites Web, sont utilisés afin de les améliorer Consulter les personnes pour en apprendre davantage sur leurs expériences et leurs interactions avec nous Consulter les personnes pour rendre nos produits et services plus utiles et efficaces Identifier les différences et similitudes entre la personne et nos autres clients
Tenir la personne informée de nos produits et services, promotions, concours et événements	Comprendre le portefeuille actuel de produits et services de la personne afin de lui proposer d’autres produits et services pertinents Communiquer avec la personne selon la fréquence et les moyens souhaités Tenir la personne informée des promotions, concours et événements pertinents

Pour retirer son consentement à l’une ou l’autre des fins ci-dessus, la personne peut cliquer sur un lien de désabonnement (par exemple au bas d’un courriel reçu), visiter un centre de préférences (par exemple via le lien de gestion des témoins sur nos sites Web) ou nous contacter en utilisant la procédure décrite à la section 10 ci-dessous.

3.1 Qui a accès aux renseignements personnels?

L’accès aux renseignements personnels est réduit au minimum et limité à nos employés, courtiers, agents et représentants qui doivent y accéder pour exercer leurs fonctions.

Ces personnes sont formées pour protéger la confidentialité des renseignements personnels et s’engagent à respecter nos politiques et le présent Avis. Nous revoyons régulièrement leurs droits d’accès en fonction de leurs rôles et responsabilités afin de nous assurer que l’accès aux renseignements personnels est toujours nécessaire.

4. À qui communiquons-nous les renseignements personnels?

Pour réaliser les fins énoncées dans le présent Avis, nous pouvons communiquer des renseignements personnels aux tiers identifiés ci-dessous. En toutes circonstances, seule la quantité minimale de renseignements personnels requise est communiquée pour atteindre la fin visée. Nous ne vendrons, louerons ni échangerons des renseignements personnels avec un tiers, en aucune circonstance.

Afin d’assurer la sécurité et la confidentialité des renseignements personnels, des vérifications préalables sont effectuées et des ententes contractuelles sont conclues avec les fournisseurs de services tiers.

Tiers	Fins
Fournisseurs de services de confiance pour soutenir nos activités	Infrastructure applicative, hébergement de données, technologies de l’information et télécommunications Services de sécurité informatique Plates-formes d’analyse et de marketing Processeurs de paiement Conseillers juridiques, comptables et autres professionnels
Institutions financières et autres prêteurs	Fournir et gérer les prêts hypothécaires et propositions
Agences et bureaux de crédit	Évaluer et rapporter le crédit de la personne
Assureurs	Fournir l’assurance prêt hypothécaire, l’assurance vie, l’assurance habitation et automobile, et les propositions
Évaluateurs	Fournir des évaluations et expertises de biens immobiliers
Agences de recouvrement	Recouvrer nos créances
Autorités	Lorsque requis par la loi, une ordonnance d’un tribunal, une assignation à comparaître, un mandat de perquisition, une enquête gouvernementale ou toute autre demande légale Lorsque requis par des autorités ou organismes réglementaires Aux forces de l’ordre ou aux services d’urgence pour toute activité que nous estimons illégale ou susceptible de présenter un risque pour la sécurité, les droits ou les biens de personnes ou d’organisations
Autres	À une personne qui détient un produit ou service chez nous dont la personne concernée bénéficie À une personne autorisée à agir au nom de la personne concernée, par exemple en vertu d’une procuration ou d’une autorisation légale similaire

4.1 Les renseignements personnels sont-ils communiqués à l’extérieur du Canada?

Nous conservons les renseignements personnels principalement au Canada. Dans certaines situations, nous pouvons communiquer des renseignements personnels à l’extérieur du Canada, à un fournisseur de services situé dans un autre pays.

Lorsque des renseignements personnels sont communiqués dans une autre juridiction, ils sont soumis aux lois locales applicables. En toutes circonstances, nous veillons à ce que notre contrat avec le fournisseur de services et la loi de la juridiction applicable protègent adéquatement les renseignements personnels. Lorsque requis, nous effectuons des évaluations des facteurs relatifs à la vie privée.Lorsque des renseignements personnels sont communiqués dans une autre juridiction, ils sont soumis aux lois locales applicables. En toutes circonstances, nous veillons à ce que notre contrat avec le fournisseur de services et la loi de la juridiction applicable protègent adéquatement les renseignements personnels. Lorsque requis, nous effectuons des évaluations des facteurs relatifs à la vie privée.

5. Pendant combien de temps conservons-nous les renseignements personnels?

Nous conservons les renseignements personnels uniquement le temps nécessaire à la réalisation des fins pour lesquelles ils ont été collectés et pour satisfaire à nos obligations légales. Nous avons établi des durées de conservation qui varient selon le type de renseignements personnels, les fins de la collecte, nos obligations légales et réglementaires ainsi que le délai nécessaire pour protéger nos droits en cas de litige.

Pour des fins sérieuses et légitimes, nous pouvons anonymiser certains renseignements personnels avant de les détruire et en conserver une copie. Une fois anonymisés, ces renseignements ne peuvent plus être utilisés pour identifier une personne, directement ou indirectement, et ne sont donc plus considérés comme des renseignements personnels. Ces renseignements peuvent ensuite être utilisés pour améliorer nos produits et services, identifier des tendances et établir des indicateurs de performance, entre autres.

Lorsque les renseignements personnels ne sont plus nécessaires, nous les détruisons ou les effaçons par des méthodes sécuritaires.

6. Comment protégeons-nous les renseignements personnels?

Nous mettons en œuvre des mesures de sécurité et de protection de la vie privée techniques, administratives et physiques appropriées pour protéger les renseignements personnels contre tout accès, utilisation, communication, modification ou destruction non autorisés, notamment :

Types	Mesures
Mesures techniques	Mots de passe et authentification multifacteur Chiffrement des données au repos et en transit Contrôles d’accès basés sur les rôles Surveillance des activités suspectes Journaux de sécurité Certificats numériques Détection et prévention des logiciels malveillants Tests et gestion des vulnérabilités Sécurité des réseaux (pare-feux, réseaux privés virtuels et gestion des appareils)
Mesures administratives	Code de conduite pour les personnes ayant accès aux renseignements personnels Accès aux renseignements personnels limité selon le principe du besoin de savoir et du moindre privilège Formation et sensibilisation pour les personnes ayant accès aux renseignements personnels Politiques et procédures en matière de sécurité de l’information et de protection de la vie privée Pratiques de codage sécurisé pour les développeurs Plan de gestion des incidents de sécurité et de confidentialité Évaluations des facteurs relatifs à la vie privée pour les nouveaux systèmes et processus Vérification au préalable et évaluation des fournisseurs de services Évaluations et audits de sécurité
Mesures physiques	Cartes d’accès pour les zones sensibles Serrures de classeurs Caméras de surveillance dans les immeubles de bureaux Destruction sécuritaire des documents et supports contenant des renseignements personnels Agents de sécurité

Malgré ces mesures, aucun système ne peut être sécurisé de façon absolue. En cas d’incident de confidentialité présentant un risque de préjudice sérieux, nous aviserons les personnes touchées et l’autorité réglementaire compétente en matière de protection des renseignements personnels, conformément aux exigences légales.

7. Comment utilisons-nous les témoins et autres technologies de suivi?

Nos sites Web et applications peuvent utiliser des témoins, des balises Web, des pixels et des technologies similaires pour assurer et améliorer leur fonctionnement, analyser l’utilisation et diffuser du contenu pertinent, y compris de la publicité. Voir la section 2.3 pour des exemples de renseignements collectés.

Les préférences relatives aux témoins peuvent être gérées par l’intermédiaire de notre outil de gestion des témoins sur nos sites Web et via les paramètres du navigateur de l’utilisateur. Veuillez noter que la désactivation de certains témoins peut affecter la fonctionnalité de nos services.

8. Quels sont les droits relatifs aux renseignements personnels?

Une personne dispose de plusieurs droits concernant les renseignements personnels que nous détenons à son sujet, notamment :

Droits	Description
Accès	Confirmer l’existence et obtenir une copie de ses renseignements personnels.
Rectification	Demander que nous corrigions des renseignements personnels inexacts, incomplets ou équivoques, ou si la collecte, la communication ou la conservation de ces renseignements personnels n’est pas autorisée par la loi.
Suppression	Demander que nous supprimions des renseignements personnels. Nous supprimerons les renseignements personnels si nous avons accompli les fins pour lesquelles ils ont été collectés. Si on nous demande de supprimer des renseignements personnels pour lesquels les fins de collecte n’ont pas encore été accomplies, nous ne serons plus en mesure de fournir les produits et services associés. Dans tous les cas, nous pouvons conserver des renseignements personnels afin de respecter nos obligations légales et réglementaires et protéger nos droits en cas de litige.
Retrait du consentement	Retirer son consentement à la collecte, l’utilisation et la communication de renseignements personnels, sous réserve des restrictions légales. Nous ne serons plus en mesure d’offrir des produits et services si le consentement est retiré pour une fin essentielle à la relation avec cette personne (voir la section 3). Pour les fins facultatives, le consentement peut être retiré en tout temps, sans que cela nuise à la relation (voir la section 3).
Désindexation	Demander que nous cessions de diffuser des renseignements personnels, ou que nous procédions à la désindexation de tout hyperlien y donnant accès, si cette diffusion est illégale ou cause un préjudice sérieux à la personne.
Portabilité des données	Demander certains renseignements personnels informatisés, collectés directement auprès de la personne, dans un format technologique structuré et couramment utilisé.
Décisions automatisées	Demander des informations et soumettre des observations lorsqu’une décision importante concernant la personne est fondée exclusivement sur un traitement automatisé de ses renseignements personnels, et que cette décision lui a été communiquée.
Déposer une plainte	Une personne peut déposer une plainte si elle estime que nous avons mal géré ses renseignements personnels. Nous prendrons le temps d’analyser la plainte et travaillerons avec elle pour résoudre la situation. Une plainte peut également être déposée auprès de l’autorité réglementaire compétente en matière de protection de la vie privée.

Pour exercer l’un ou l’autre des droits mentionnés ci-dessus, la personne peut soumettre une demande écrite en utilisant la procédure décrite à la section 10 ci-dessous.

Dans tous les cas, nous devrons valider l’identité de la personne faisant la demande.

9. Notre Avis de confidentialité peut-il changer?

Nous pouvons réviser le présent Avis de confidentialité de temps à autre, selon les besoins, afin de demeurer en conformité avec les lois et règlements applicables, les normes, les nouvelles technologies et les préoccupations des clients.

Tout changement entre en vigueur à la date indiquée sur l’Avis de confidentialité et sera communiqué par la publication de l’Avis révisé sur nos sites Web. Si les changements sont importants, nous fournirons un avis plus éminent et en informerons directement nos clients par d’autres moyens.

L’utilisation continue de nos produits et services, incluant nos sites Web, après la date d’entrée en vigueur de tout changement vaut acceptation de l’Avis révisé.

10. Questions ou demandes

Nous avons désigné un Responsable de la protection des renseignements personnels chargé de superviser la conformité au présent Avis et aux lois applicables en matière de protection de la vie privée.

Pour toute question, préoccupation ou demande concernant le présent Avis de confidentialité ou nos pratiques en matière de protection de la vie privée, les personnes concernées peuvent utiliser ce formulaire ou contacter notre Responsable de la protection des renseignements personnels à :

Groupe M3
Responsable de la protection des renseignements personnels
525, Avenue Viger Ouest,
Montréal (Québec) H2Z 1G6
Courriel : privacy@m3-grp.com

Nous accuserons réception de toute demande rapidement et visons à y répondre dans un délai de 30 jours, ou tel que requis par la loi.

---

¹ Le Groupe M3 est principalement composé des entités suivantes : Invis Inc., The Mortgage Alliance Company of Canada Inc., Mortgage Intelligence Inc., Multi-Prêts Hypothèques, Verico, Simplassur et M3 Tech. La liste à jour est disponible sur notre site Web à l’adresse https://www.m3-grp.com/fr#Brands

² La collecte de données biométriques est strictement encadrée par la loi et, en plus de mesures de protection spécifiques, requiert le consentement explicite de la personne concernée.