Assurances collectives

La sécurité ainsi que la protection et la confidentialité des données sont des priorités chez AGA assurances collectives. Nous ne nous contentons pas d’observer les principaux standards, nous sommes à l’avant-garde des normes de l’industrie pour protéger notre clientèle au maximum. 

Nous améliorons donc sans cesse nos pratiques et notre cadre de sécurité, que ce soit en vertu de projets comme la Loi C25 visant la modernisation des dispositions législatives en matière de protection des renseignements personnels, ou par l’adoption des meilleures pratiques de cybersécurité du marché.

Vous trouverez ci-dessous la philosophie ainsi que les lignes directrices en sécurité régissant, nos systèmes,  vos données et les actions de nos employés.

Confidentialité de l'information

Le respect, une valeur fondamentale chez AGA

La collecte et la prise en charge des renseignements personnels

Par souci de transparence, notre politique de confidentialité décrit en détail les situations pour lesquelles nous devons collecter des renseignements personnels, et dans quelles circonstances ces données sont utilisées.

À partir de cette page, il est possible d’entrer en contact avec notre Chef de la confidentialité pour poser une question ou formuler une plainte face à une situation jugée non acceptable. Également, via le Portail de confidentialité AGA (https://privacy.aga.ca), vous pouvez demander :

• d’obtenir un accès aux renseignements sensibles détenus sur vous,
• de supprimer vos données lorsque la situation le permet,
• ou de corriger une donnée précise.

Combien de temps gardons-nous vos renseignements personnels ?

Les renseignements personnels recueillis sur vous sont nécessaires à l’exercice des services qui vous sont rendus tels que l’adhésion au régime d’assurance, l’administration de votre régime ou l’obtention de soutien durant la période d’effectivité de vos plans.

Un calendrier de rétention permet de préciser les délais de rétention pour chacune des informations recueillies en fonction des différentes lois régissant AGA assurances collectives.

En résumé :

• Les données sur les employés d’une entreprise, utilisées dans les processus de ventes et d’adhésion, sont conservées pour une période de 2 ans après l’exécution du service.
• Les données sur les courtiers sont conservées pour une période de 5 ans suivant la fin de l’année financière à laquelle la donnée est reliée.
• Les dossiers d’assurance et de planification financière sont conservés pour une période de 7 ans suivant l’exécution de la dernière transaction de l’adhérent, à la suite de la fermeture de son dossier.
• Pour les réclamations de médicaments seulement, toutes les données décrivant ou découlant de la réclamation doivent être conservées pour une période de 10 ans suivant l’exécution de la transaction.

Quels moyens utilisons-nous pour contrôler la confidentialité des données ?

AGA assurances collectives utilise une plateforme nommée Lightbeam.ai pour identifier, contrôler et agir sur toutes formes de données sensibles. Cette solution permet d’inventorier les données sensibles, de les catégoriser, de les classer ainsi que de les surveiller pour en assurer une utilisation saine et sécuritaire.

Cette même plateforme est à la base du Portail confidentialité AGA (https://privacy.aga.ca).

En plus du contrôle des données sensibles, AGA adopte les meilleures pratiques en sécurité afin de protéger et stocker l’information. Plus de détails sont disponibles à cet effet dans les sections Sécurité de nos opérations et Sécurité de nos plateformes.

Enfin, nos employés sont formés en continu sur la cybersécurité et sur les bonnes pratiques en matière de gestion des données et des accès. Des formations obligatoires ainsi que des simulations d’hameçonnage sont réalisées pour sensibiliser nos employés en continu.

Le stockage des données

Les données constituant le dossier de l’adhérent et de l’entreprise sont stockées sur des serveurs situés au Canada. Certaines données de soutien à l’exécution des processus d’affaires d’AGA peuvent être stockées sur des serveurs situés en Amérique du Nord, plus précisément au Canada ou aux États-Unis.

La sécurité des opérations quotidiennes

AGA a mis en place une série de mesures pour assurer la sécurité de ses opérations quotidiennes.

• Vérification des antécédents de tous les employés à l’embauche.
• Signature annuelle d’un code d’éthique et d’une politique d’utilisation des TI décrivant les meilleures pratiques à adopter lors de l’utilisation des technologies et de la consommation de données sensibles.
• Gouvernance des opérations via différentes politiques, toutes disponibles sur notre site web, soit :
  • politique sur les conditions d’utilisation des services,
  • politique d’abus et fraude,
  • politique de confidentialité,
  • politique de traitement des différends,
  • politique de rémunération.
• Gestion, par un système de sécurité, des accès aux locaux d’AGA ainsi qu’à certaines salles névralgiques.
• Formation obligatoire sur la cybersécurité à l’embauche des employés, en plus de sessions de rafraîchissement 4 fois l’an.  
• Simulations d’hameçonnage tout au long de l’année, afin d’outiller nos employés pour qu’ils réagissent adéquatement à ce type de menace.
• Sélection soignée de nos produits et fournisseurs. AGA utilise des fournisseurs de services connus du marché, et jouissant d’une bonne réputation.
• Mise en place d’une politique et d’une procédure de réponse à un incident de sécurité, qu’il soit mineur ou majeur.

La sécurité des plateformes technologiques

De la même façon, AGA protège l’utilisation de ses plateformes technologiques grâce aux initiatives suivantes :

• Politique de gestion des TI qui encadre les pratiques à adopter afin d’assurer la sécurité des environnements et des données.
• Pour tous les employés, connexion aux différents systèmes auxquels ils ont accès à l’aide de comptes uniques leur appartenant (comptes nommés), protégés par mot de passe suivant les meilleures pratiques de l’industrie.
• Connexion à l’aide de compte nommé pour tracer les actions prises à l’intérieur de chacune des plateformes.
• Connexion à 2 facteurs exigée sur les principaux systèmes de l’entreprise.
• Voute sécurisée à la disposition de chaque employé pour gérer les comptes système et pour encourager la génération de mots de passe complexes.
• Cryptage lors du repos et du transit des données, pour toutes les situations le permettant.
• Solutions de gestion de la détection et de réponse (connues sous l’acronyme MDR) utilisées pour sécuriser la messagerie, les fichiers et le réseau de l’entreprise.
• Filtrage des courriels et des fichiers pour surveiller toute activité en temps réel.
• Équipe de réponse (aussi connue sous l’acronyme SOC) qui surveille la sécurité de l’environnement 24 heures par jour, 7 jours par semaine.
• Outil de surveillance du Dark Web, l’internet des pirates, qui examine les publications en continu afin de détecter proactivement toute fuite de données.
• Mise en œuvre des meilleures pratiques de développement logiciel et de configuration des environnements par nos équipes technologiques.
• Mise à jour périodique de nos logiciels, plateformes et actifs technologiques.
• Tests périodiques de pénétration externes et internes.

Disponibilité des services et continuité d’affaires

Nous maintenons et testons périodiquement des plans de relève des affaires et de relève des technologies afin d’assurer la faisabilité d’exécution et les délais de relève. Également, nous effectuons des prises de copies selon les meilleures pratiques du marché.