Politique de confidentialité

Avant-propos

La CDC est ci-après utilisée pour remplacer Corporation de développement communautaire de la MRC de Bécancour aux seules fins d’alléger le texte.

La présente politique traite de la gestion et de la protection des informations jugées confidentielles au sein de la CDC. Elle traite notamment des renseignements personnels concernant ses membres, ses donateurs et ses données, des informations liées aux activités de l’organisme et des informations concernant les usagers, les membres du conseil d’administration, les membres du personnel, les membres individuels et les bénévoles.

Elle s’applique aux relations entre toutes personnes : administratrices, membres du personnel, bénévoles et partenaires ainsi qu’à toutes personnes qui fréquentent dans les locaux de la CDC.

La CDC désigne par la présente politique sa direction générale comme Responsable de la protection des renseignements personnels (ci-après « RPRP »). À défaut de cette personne pouvant assumer ce rôle, c’est la personne qui a la plus haute autorité au sein de l’organisation qui sera la RPRP (par exemple, la présidence du conseil d’administration). L’identification du RPRP sur le site internet de l’organisme est reconnue comme étant effectuée, entre autres, grâce à la publication de la présente politique.

La RPRP est globalement responsable de l’ensemble des dispositions de la présente politique, ce qui inclut entre autres, sans toutefois s’y restreindre, les rôles suivants :

·        Est responsable, en collaboration avec le conseil d’administration de la CDC, de s’assurer que les dispositions de la présente politique soient respectées;

·        Soutien la mise en place des mesures pour prévenir ou limiter les conséquences d’un incident de confidentialité ou d’une plainte impliquant un renseignement personnel;

·        Assure l’évaluation des risques globaux relatifs à la protection de la vie privée (annuelle ou au besoin);

·        Est responsable d’assurer la formation et la sensibilisation des parties prenantes de l’organisme (personnel, bénévoles, etc.);

·        Tenir le registre des incidents de confidentialité et des plaintes.

La présente politique poursuit les objectifs suivants :

       Assurer le respect de la vie privée des personnes et la sécurité des renseignements personnels pouvant les identifier ainsi que des informations confidentielles détenues par la CDC;

       Se donner des balises concernant le traitement et les échanges d’informations tant à l’intérieur qu’à l’extérieur de l’organisme;

       Présenter l’encadrement applicable à la conservation et à la destruction de ces renseignements, prévoir les rôles et les responsabilités des membres de son personnel tout au long du cycle de vie de ces renseignements ainsi qu’un processus de traitement des plaintes relatives à la protection de ceux-ci, proportionnées à la nature et à l’importance des activités de l’organisme, tel que prévu à l’article 3.2 de la LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS DANS LE SECTEUR PRIVÉ.

1. Définitions

 

Discrétion : L’aptitude à garder secrètes les confidences et les informations privées obtenues en dehors du cadre de travail afin de préserver le respect, l’amitié et la confiance.

Confidentialité : Le fait de limiter ou d’interdire à d’autres personnes l’accès à des informations privées obtenues dans l’exercice de ses fonctions.

Renseignement personnel : Tout renseignement permettant d’identifier directement ou indirectement un individu ou une organisation. En exemple, un rapport formel consigné au dossier qui témoigne du processus d’intervention concernant la situation de l’individu ou de l’organisation à qui la CDC dispense du soutien ou des services est considéré un renseignement personnel.

Information confidentielle : Tout autre information devant être traitée avec discrétion et confidentialité mais ne permettant pas d’identifier explicitement un individu ou une organisation, ni de relater des faits ou interventions concrètes. En exemple, les notes ou outils de travail, tels que stipulé à l’article 8.3 Pratiques à respecter concernant la tenue de dossier de la présente politique.

 

2. Cadre législatif

 

En matière de collecte et d’utilisation des données, la CDC respecte les lois en vigueur, notamment les dispositions prévues aux articles 37 à 41 du Code civil du Québec, lesquelles portent tant sur les personnes physiques que morales.

 

C.c.Q. 37. Toute personne qui constitue un dossier sur une autre personne doit avoir un intérêt sérieux et légitime à le faire. Elle ne peut recueillir que les renseignements pertinents à l’objet déclaré du dossier et elle ne peut, sans le consentement de l’intéressé ou l’autorisation de la loi, les communiquer à des tiers ou les utiliser à des fins incompatibles avec celles de sa constitution; elle ne peut non plus, dans la constitution ou l’utilisation du dossier, porter autrement atteinte à la vie privée de l’intéressé ni à sa réputation.

 

C.c.Q. 38. Sous réserve des autres dispositions de la loi, toute personne peut, gratuitement, consulter et faire rectifier un dossier qu’une autre personne détient sur elle soit pour prendre une décision à son égard, soit pour informer un tiers; elle peut aussi le faire reproduire, moyennant des frais raisonnables. Les renseignements contenus dans le dossier doivent être accessibles dans une transcription intelligible.

 

C.c.Q. 39. Celui qui détient un dossier sur une personne ne peut lui refuser l’accès aux renseignements qui y sont contenus à moins qu’il ne justifie d’un intérêt sérieux et légitime à le faire ou que ces renseignements ne soient susceptibles de nuire sérieusement à un tiers.

 

C.c.Q. 40. Toute personne peut faire corriger, dans un dossier qui la concerne, des renseignements inexacts, incomplets ou équivoques; elle peut aussi faire supprimer un renseignement périmé ou non justifié par l’objet du dossier, ou formuler par écrit des commentaires et les verser au dossier. La rectification est notifiée, sans délai, à toute personne qui a reçu les renseignements dans les six mois précédents et, le cas échéant, à la personne de qui elle les tient. Il en est de même de la demande de rectification, si elle est contestée.

 

C.c.Q. 41. Lorsque la loi ne prévoit pas les conditions et les modalités d’exercice du droit de consultation ou de rectification d’un dossier, le tribunal les détermine sur demande. De même, s’il survient une difficulté dans l’exercice de ces droits, le tribunal la tranche sur demande.

 

À défaut d’identifier toutes les lois susceptibles de définir les obligations en la matière, la CDC s’engage à respecter toutes dispositions légales qui pourraient être portées à son attention ultérieurement.

 

3. Engagements

 

La CDC s’engage à :

       Assurer la sécurité et la confidentialité des renseignements obtenus;

       Mettre en place des mécanismes afin de protéger les informations confidentielles;

       Assurer le traitement confidentiel des plaintes;

       Recueillir seulement les données nécessaires ou utiles;

       Effectuer annuellement (et/ou au besoin) une évaluation des risques globaux relatifs à la protection de la vie privée, dont le rapport sera déposé au conseil d’administration de la CDC par le RPRP;

       Appliquer la présente politique dans le respect des valeurs organisationnelles de la CDC;

       Agir avec respect et transparence lors de l’application de cette politique et dans le respect des lois en vigueur.

 

4. Collecte, utilisation et partage des données

 

4.1 Collecte

 

Les données ou renseignements recueillis par la CDC sont de deux ordres :

·        Sont considérées comme privées, les données obtenues auprès d’individus ou d’organisations, transmises de façon volontaire et qui seraient autrement introuvables.

·        Sont considérées comme publiques les données qui sont facilement accessibles, notamment sur un site internet, des réseaux sociaux ou un répertoire public (ex.: listes d’entreprises).

 

4.2 Utilisation

 

Les données recueillies, qu’elles soient privées ou publiques, sont utilisées par les personnes salariées de la CDC, ses représentants, ou les personnes nécessaires à la réalisation des fins pour lesquelles les renseignements ont été recueillis, entre autres, sans toutefois s’y restreindre, pour les fins suivantes :

 

·        Bases de données diverses (membership, répertoire, tenue de dossiers, etc.) ;

·        Inscriptions à des activités de la CDC ;

·        Participation à des programmes spécifiques (projets spéciaux ou entente spécifiques) ;

·        Communications spécifiques (infolettre, prises de contact, sollicitations).

 

4.3 Partage

 

La CDC s’engage à assurer la confidentialité des renseignements ou données privées recueillies, tel que défini au point 4.1. Toutefois, il lui sera possible de diffuser ou publier uniquement des données pour lesquelles il a obtenu l’autorisation et que pour les fins pour lesquelles cette autorisation a été donnée ou qui n’identifient pas, directement ou indirectement, une personne, une entreprise ou un organisme. Ce pourrait être le cas lors d’un rapport d’activités, ou une étude sur un programme spécifique, où seules les données agrégées pourrait être divulguées (comme la situation géographique des membres dans un rapport d’activités).

 

En ce qui concerne les données publiques, tel que défini à l’article 4.1, la CDC s’engage à analyser la pertinence de toute demande au regard des principes et valeurs de l’organisation et à ne partager les données de nature publiques dont il dispose que pour des fins jugées utiles par la CDC.

5. Discrétion

 

Toute personne qui, au sein de la CDC, a des échanges qui ne sont pas liés à l’exercice de leurs fonctions doit agir avec discrétion. De ce fait, elle doit:

       Respecter la vie privée des personnes;

       Ne pas divulguer ni renseignement personnel, ni information confidentielle obtenue au sein de l’organisme;

       Savoir garder les informations sensibles des personnes qui se confient;

       Agir selon les valeurs de l’organisme.

 

6. Confidentialité

 

Toute personne à l’intérieur de la CDC, qui obtient des renseignements personnels ou des informations confidentielles dans l’exercice de ses fonctions est tenue de respecter la confidentialité de ces informations en conformité avec le code de valeur et d’éthique de la CDC.

 

Exception est faite dans certains cas, où il est essentiel que les intervenants puissent échanger certaines informations pour une intervention considérée incontournable. Dans ce cas, les personnes concernées doivent être reconnues comme étant des partenaires de confiance et crédibles, afin d’assurer la transparence et le consentement.

 

7. Consentement

 

La transparence et clarté du consentement sont importantes pour la CDC, qui cible obtenir, lorsque nécessaire, des renseignements personnels et confidentiels dans l’exercice de sa mission et de ses activités. De ce fait, la CDC obtiendra consentement entre autres, sans toutefois s’y restreindre, à l’aide des méthodes suivantes :

       Formulaires (adhésion, consentement écrit à des fins spécifiques (ANNEXE A-1 et A-2));

Avertissements automatisés (site internet, infolettre, « déclaration internet » (ANNEXE B), etc.);

       Diffusion et la publication sur le site internet de la présente politique (également disponible sur demande en version imprimée, moyennant certains frais).

 

 

 

8. Échange d’information, tenue de dossier et mesures de sécurité

 

Pour les membres du conseil d’administration, le personnel et les bénévoles de l’organisme

8.1 Échanges d’informations à l’extérieur de la CDC

 

Le conseil d’administration, la direction et les personnes salariées ne doivent pas discuter de dossiers, de personnes ou de décisions propres à la CDC, avec des personnes extérieures ou non concernées, sauf si cela est nécessaire pour réaliser une intervention dans le cadre régulier de la mission de l’organisme.

 

Dans une telle situation, les personnes doivent :

       S’assurer de l’identité de la personne qui demande l’information si celle-ci n’est pas connue;

       Limiter les échanges d’informations au strict minimum;

       S’assurer d’avoir un consentement écrit à des fins spécifiques lorsque la situation l’exige.

8.2 Échanges d’informations au sein de la CDC

 

       Limiter les échanges d’informations entre individu hors des réunions d’équipe ou le faire dans un endroit sécurisé;

       Éviter de discuter des dossiers, des personnes ou des décisions en dehors de ces moments. Si cela est impossible, s’assurer de ne pas identifier la personne concernée et échanger dans un lieu propice à la confidentialité;

       S’assurer que les conversations téléphoniques ou messages numériques (ex. : textos) traitant d’informations confidentielles ne sont pas entendues par d’autres personnes ou partagés avec elles.

 

8.3 Pratiques à respecter concernant la tenue de dossier

 

À défaut d’identifier toutes les pratiques susceptibles de définir les obligations en la matière, la CDC s’engage à respecter, entre autres, sans toutefois s’y restreindre, les dispositions suivantes :

 

       N’inscrire au dossier que des informations vraies, pertinentes et nécessaires;

       Agir avec bienveillance et diligence à l’égard des actions en respect des valeurs organisationnelles et l’esprit de la présente politique;

       Éviter de noter des commentaires personnels, des réflexions ou perceptions dans les rapports formels et s’en tenir aux faits des interventions, aux faits rapportés par la personne concernée ou observés par la personne intervenante elle-même;

       Tel qu’inspiré par le code de déontologie de l’Ordre des travailleurs sociaux et des thérapeutes conjugaux et familiaux du Québec (OTSTCFQ), les notes ou autres outils de travail, à eux seuls, sont des outils ou des documents (sur support papier ou support informatique) qui servent aux travailleurs de la CDC comme moyen de soutien au processus d’intervention, d’aide-mémoire pour leurs propres réflexions, hypothèses et/ou le suivi de leurs interventions. Ces notes ou outils de travail ne sont pas destinés à être transmis à d’autres personnes et peuvent servir à appuyer la rédaction de rapports formels consignés au dossier qui, eux, deviennent des éléments de renseignements personnels. Ces notes et outils de travail doivent tout de même respecter les valeurs de la CDC entre autres en limitant les renseignements personnels associés aux notes et leur utilisation au strict minimum. Elles doivent être considérées comme étant des informations confidentielles, respectant les dispositions de la présente politique, mais ne sont pas considérées formellement comme des renseignements personnels.

8.4 Mesures de sécurité pour limiter l’accès à l’information

 

À défaut d’identifier toutes les mesures susceptibles de définir les obligations en la matière, la CDC s’engage à respecter entre autres, sans toutefois s’y restreindre, les mesures de sécurité suivantes :

 

       Verrouiller les portes des bureaux ou empêcher l’accès aux ordinateurs, cellulaires ou dossiers lors de pauses ou de période de repas, particulièrement lors des périodes de télétravail.

       Nul n’est autorisé à utiliser les outils d’un autre en son absence et sans son autorisation.

       Verrouiller avec mot de passe l’accès aux ordinateurs ou tout autre outil numérique (ex. : cellulaires), particulièrement à l’heure de repas ou en cas d’absence ou d’inutilisation;

 

8.5 Procédures de conservation et de destruction des dossiers confidentiels

 

       Conserver les renseignements personnels aussi longtemps que l’exige la loi ou jusqu’à 6 ans après la fin de l’année financière où les fins pour lesquelles ils ont été recueillis sont terminées. Lorsqu’il n’y aura plus de besoin, la CDC prendra des mesures raisonnables pour les supprimer.

       Conserver les dossiers fermés en un lieu sûr et dans le respect des normes et de l’esprit de la présente politique;

       Toutes impartitions (transfert de renseignements personnels à des fournisseurs de services, par exemple, des plateformes de gestion de dons, de bases de données ou comptable professionnel agréé), s’il y a lieu, sera effectué par la CDC auprès d’organisations ou de services reconnus ou ayant démontré un niveau de sécurité adéquat, au meilleur des connaissances du RPRP;

       S’assurer que les dossiers désuets ou inactifs sont supprimés ou déchiquetés par une personne désignée à cette tâche par le RPRP à la fin de la période de conservation;

       Détruire tous les autres documents confidentiels de la même manière.

 

8.6 Réunions et procès-verbaux (conseil d’administration, assemblée générale)

 

       Les résolutions adoptées en réunion doivent rester confidentielles à la CDC lorsqu’une telle mention se retrouve sur le document (par exemple, lorsqu’un huis clos est demandé).

       Par ailleurs, les procès-verbaux ne sont accessibles qu’à ceux qui ont assisté ou avaient le droit d’assister à une assemblée ou une réunion. Toutefois, les membres de la CDC peuvent adresser une demande d’accès au RPRP.

 

9. Modalités d’application

 

Le RPRP, en collaboration avec le conseil d’administration de la CDC, est responsable de la mise en œuvre et de l’application de la politique de confidentialité.

Les membres du conseil d’administration, la direction générale, les personnes salariées et les bénévoles doivent, dès l’entrée en vigueur de cette politique, recevoir une copie et en prendre connaissance. Par la suite, la présente politique fera partie intégrante des documents institutionnels de la CDC.

En cas de non-respect de la politique de confidentialité par la direction générale, c’est le conseil d’administration qui doit intervenir.

Si un membre du conseil d’administration, une personne salariée ou une personne bénévole a divulgué une information confidentielle, l’autorité compétente lui impose une sanction ou mesure disciplinaire conforme aux politiques, règlements ou procédures en vigueur au sein de la CDC. La sanction peut aller, selon la situation, de la réprimande à l’exclusion ou au renvoi.

 

10. Incidents de confidentialité et plaintes

 

La CDC souscrit à une assurance responsabilité civile à l’égard des dispositions de la présente politique de protection des renseignements personnels.

Le RPRP, en collaboration avec le conseil d’administration de la CDC, est responsable de la conservation d’un registre formel ainsi que de la mise en œuvre des procédures et obligations suivantes en cas d’incidents ou de plaintes formulées par écrit par une personne portant atteintes à la confidentialité des renseignements personnels :

       Dans tous les cas, le registre, mis à jour à chaque événement, doit contenir pour chaque cas les éléments suivants :

o   Date à laquelle l’organisme a pris connaissance de l’incident ou de la plainte;

o   Date à laquelle a eu lieu l’incident ou la plainte;

o   Nombre de personnes concernées par l’incident ou la plainte;

o   Type(s) de renseignements personnels concernés par l’incident;

o   Niveau de préjudice, réel ou potentiel : Faible, Moyen ou Sérieux;

o   Circonstances de l’incident ou de la plainte;

o   Mesures prises par l’organisme après l’incident ou la plainte;

 

       Prendre connaissance de l’étendue de l’incident de confidentialité ou de la plainte formulée par écrit par une personne et déterminer le niveau de « risques de préjudices sérieux », tel que défini ci-dessous :

o   Pour évaluer la gravité du risque de préjudice pour les personnes concernées, il faut considérer, notamment :

§  La sensibilité des renseignements concernés;

§  Les conséquences appréhendées de leur utilisation;

§  La probabilité qu’ils soient utilisés à des fins préjudiciables.

o   Si l’analyse fait ressortir ou est perçue comme un risque de préjudice sérieux, l’organisation doit aviser la Commission et les personnes concernées de l’incident.

o   Dans le cas contraire, elle doit tout de même poursuivre ses travaux pour réduire les risques et éviter qu’un incident de même nature se produise à nouveau dans le futur, tout en documentant la situation dans un registre et en informant les personnes concernées;

 

       Si nécessaire, procéder à la déclaration de l’incident auprès de la Commission d’accès à l’information du Québec à l’aide du Formulaire de déclaration d’un incident de confidentialité;

o   Ce dernier énumère les responsabilités et obligations inhérentes à un incident, de ce fait, la présente politique se réfère au formulaire : le RPRP doit suivre les procédures et directives présentées dans le formulaire de la Commission d’accès à l’information du Québec;

       En cas de doutes ou d’incertitude, la Commission d’accès à l’information du Québec sera contactée par le RPRP pour obtenir des directives spécifiques la situation.

 

11. Consultation des données, portabilité et désindexation

 

Un individu ou un organisme peut demander par écrit d’avoir accès aux renseignements personnels que détient la CDC sur lui. La CDC répondra dans un délai raisonnable en lui donnant accès à ces données. La CDC peut refuser si les circonstances l’obligent ou lui donnent le droit de refuser cet accès. Les renseignements à fournir sur demande sont les informations suivantes :

         Les renseignements personnels qui sont recueillis auprès d’elle et officiellement consignés à son dossier;

L’individu ou l’organisme qui croit qu’un ou plusieurs de ses renseignements personnels sont inexacts ou incomplets, peut demander par écrit à la CDC de les modifier. La CDC fera les corrections appropriées. Cependant, s’il est raisonnablement d’avis que la modification est inexacte ou incomplète, dans ce cas la CDC peut la refuser et il inscrira la demande de modification dans ses dossiers.

Le RPRP, en collaboration avec le conseil d’administration de la CDC, est responsable d’assurer la portabilité des renseignements personnels que l’organisme détient. Ainsi, la CDC devra être capable de communiquer à la personne concernée ses renseignements personnels, dans un délai raisonnable, dans un format technologique ou imprimé structuré et couramment utilisé, ou pour répondre à une demande de transfert de ses renseignements personnels à tout organisme / personne autorisée par la loi.

Ces moyens de portabilités sont entre autres, sans toutefois s’y restreindre :

       Des versions numériques des données personnelles tirées des bases de données internes de la CDC;

       Des photocopies (moyennant certains frais) ou la numérisation de documents ou dossiers.

La CDC verra également à fournir les moyens à ce qu’un individu ou une organisation puisse demander de cesser de diffuser ou d’utiliser ses renseignements personnels ou de désindexer tout hyperlien rattaché à son nom ou donnant accès à des renseignements.

12. Procédures internes

 

Afin de répondre aux diverses obligations qu’exige la Loi, une série de procédures sont incluses en annexes à savoir :

·        Procédure de conservation, de destruction et d’anonymisation des renseignements personnels (Annexe C);

·        Procédure de demande d’accès aux renseignements personnels et de traitement des plaintes (Annexe D);

·        Procédure de demande de désindexation et de suppression des renseignements personnels (Annexe E);

·        Procédure de gestion des incidents de sécurité et violations des renseignements personnels (Annexe F);

·        Procédure de gestion du roulement de personnel (Annexe G).

13. Entrée en vigueur

 

La présente politique entre en vigueur le 8 février 2024 à la suite de son adoption par le conseil d’administration. Elle pourra être modifiée au moment opportun après analyse. La modification doit respecter les valeurs et les règlements de la CDC.

ANNEXE A-1 – Formulaire type de consentement spécifique

 

Consentement à la communication de renseignements personnels à des fins spécifiques

Ce formulaire s’adresse à la personne qui désire donner ou annuler son consentement à la communication de renseignements personnels contenus dans son dossier au sein de la Corporation de développement communautaire de la MRC de Bécancour.

 

Section 1 – Identité de la personne qui donne ou annule son consentement

Prénom et nom :                                                                                                    

Coordonnées :                                                                                                                                                                                                                                                                                                                      

 

Section 2 – Identité de la personne ou organisation à qui les renseignements pourront être communiqués

Nom :

Coordonnées :

 

Section 3 – Consentement et signature

 

Je sousigné.e,                                                (en lettre moulées), consens à ce que les renseignements personnels me concernant et qui sont contenus dans mon dossier au sein de la Corporation de développement communautaire de la MRC de Bécancour soient communiqués de manière responsable et confidentielle lorsque les interventions ciblées nécessitent un tel partage.

 

D’établir une prestation de service payant (création de la fiche membre de la CDC, facturation, inscriptions aux activités, etc.);

De permettre à l’organisme de remplir ses obligations financières, fiscales et/ou légales (émission de relevés fiscaux et de relevés d’emplois, émission de la paie, remboursement et/ou autres transactions bancaires, antécédents judiciaires, etc);

De répondre à un besoin nommé par l’organisme (conseil d’administration ou direction) relativement à une prestation de service externe (référencement, plan de service, etc.);

De communiquer avec la personne désignée (par défaut la direction ou la présidence) via courriel, téléphone, textos, réseaux sociaux et/ou par l’envoi de l’infolettre de l’organisme.

 

Date d’effet (vous devez indiquer une date) : ____________________

Date de fin de validité (vous devez indiquer une date) : _____________________

Il vous sera possible d’annuler ce consentement avant cette date en remplissant à nouveau le formulaire (sections 1 et 4).

 

La présente atteste que ____________________________________________ comprend que la CDC est un organisme communautaire dûment reconnu par le Secrétariat à l’action communautaire et aux initiatives sociales (SACAIS) et assujetti aux lois.

Selon ces obligations légales, la CDC peut partager des informations personnelles sans consentement pour :

       Se conformer à une décision de justice ou à toute autre demande contraignante;

       Faire valoir une créance;

       Enquêter sur une rupture de contrat ou une infraction à la loi;

       Prévenir, arrêter ou détecter une fraude;

 

Signature : ________________________________________ Date : ____________________

 

Section 4 – Annulation du consentement

Je sousigné.e, _________________ (en lettre moulées), annule mon consentement à ce que les renseignements personnels me concernant et qui sont contenus dans mon dossier au sein de la Corporation de développement communautaire de la MRC de Bécancour soient communiqués à la personne désignée à la section 2.

 

Signature : _________________________________________ Date : ____________________

 

ANNEXE A-2 – Formulation de consentement général

(Ajout au formulaire d’adhésion ou de renouvellement d’adhésion)

 

Le présent consentement réfère aux pratiques et valeurs de la Politique de confidentialité et de protection des renseignements personnels de la Corporation de développement communautaire de la MRC de Bécancour  (CDC). Celle-ci présente l’encadrement applicable à la conservation et à la destruction de ces renseignements, prévoit les rôles et les responsabilités des membres de son personnel tout au long du cycle de vie de ces renseignements ainsi qu’un processus de traitement des plaintes relatives à la protection de ceux-ci, proportionnées à la nature et à l’importance des activités de l’organisme, tel que prévu à l’article 3.2 de la LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS DANS LE SECTEUR PRIVÉ.

 

Consentement

Dans le cadre de sa mission et ses actions, la CDC cible des actions et des interventions faisant la promotion, la reconnaissance et la sensibilisation publique, tant auprès de ses membres que de ses partenaires et du public. Ainsi, la personne qui donne son consentement à titre de représentant de son organisation en remplissant le présent formulaire accepte que la CDC utilise certains renseignements personnels pour communiquer avec elle aux fins de sa mission et de ses actions. De plus, la personne et son organisation autorisent l’utilisation de photos dans lesquelles elle ou toutes autres représentants de l’organisme apparaît avec au moins une autre personne, pourvu que cette utilisation soit faite de manière généraliste, sans identification directe personnalisée, pour promouvoir sa mission et ses actions.

 

Par ailleurs, la CDC collabore avec des partenaires (organisations ou services complémentaires) en vue d’intervenir le plus adéquatement possible en réponse aux besoins de la personne ou de l’organisme. Ces interventions nécessitent parfois le partage de certains renseignements personnels (tel que votre nom ou celui de votre organisme). Ainsi, la CDC s’engage avec vigilance, de manière responsable et confidentielle, à n’utiliser et à ne partager que les renseignements personnels minimaux et nécessaires à une intervention au bénéfice de la personne qui donne son consentement.

 

De plus, la personne reconnaît en remplissant le présent formulaire que la CDC utilise des services externes pour s’outiller et répondre à sa mission et ses responsabilités qui peuvent avoir accès à certains renseignements de l’organisme. Par exemple, l’utilisation de services d’hébergement infonuagiques, qui peuvent héberger des renseignements sur des serveurs à l’extérieur du Québec, ou auprès de professionnels spécifiques, comme des Comptables professionnels agréés (CPA) pour des audits de comptabilité externes. Dans tous les cas, les pratiques et l’utilisation des renseignements personnels de la CDC demeureront empreintes de ses valeurs organisationnelles et des principes directeurs de sa mission et de sa Politique de confidentialité et de protection des renseignements personnels.

 

Considérant que l’adhésion à la CDC se fait sur une base volontaire, si la personne n’accorde pas son consentement aux dispositions énumérées ci-dessus, la CDC s’engage à déléguer sa direction générale, à titre de Responsable de la protection des renseignements personnels, pour discuter des accommodements à l’égard du soutien, des actions et des interventions possibles.

ANNEXE B – Déclaration de confidentialité pour site internet

Renseignements transmis par courriel ou par formulaire

La CDC s’engage à assurer la protection des renseignements confidentiels que vous lui confiez. Si vous communiquez volontairement des renseignements personnels ou autrement confidentielle, par courriel ou par formulaire pour vous inscrire à l’infolettre ou pour une demande, nous n’utilisons que l’information requise pour permettre à notre équipe de répondre à votre message ou de donner suite à votre demande. La correspondance électronique est traitée avec les mêmes mesures de confidentialité que les autres documents écrits.

Liens vers d’autres sites

Le site de la CDC propose des hyperliens vers d’autres sites et vers des documents externes qui appartiennent à ces sites. Les renseignements échangés sur ces sites ne sont pas assujettis à la présente politique de confidentialité, mais à celle du site externe, s’il en existe une.

Responsable de l’accès aux documents ou de la protection des renseignements personnels

La personne responsable de l’application de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels est, à ce titre, également chargée de veiller au respect de cette politique. Pour formuler des commentaires ou une plainte au sujet du non-respect de cette politique, vous pouvez communiquer avec la direction générale qui assume le rôle de Responsable de la protection des renseignements personnels (RPRP) de la CDC.

Sources :

https://www2.gouv.qc.ca/entreprises/portail/quebec/infosite?lang=fr&x=296172503

https://www.cai.gouv.qc.ca/politique-de-confidentialite/       

ANNEXE C – Procédure de conservation, de destruction et d’anonymisation des renseignements personnels

 

1. Aperçu

 

Il est important de mettre en place une procédure de conservation, de destruction et d’anonymisation des renseignements personnels pour garantir la protection de la vie privée des individus, se conformer aux lois sur la protection des renseignements personnels, prévenir les incidents de confidentialité impliquant des renseignements personnels et les atteintes à la sécurité, maintenir la confiance des clients et protéger la réputation de l’organisation.

 

2. Objectif

Le but de cette procédure est de garantir la protection de la vie privée des individus et de se conformer aux obligations légales en matière de protection des renseignements personnels.

 

3. Portée

La portée de cette procédure devrait couvrir l’ensemble du cycle de vie des renseignements personnels, depuis leur collecte jusqu’à leur destruction. Elle concerne toutes les personnes salariées et parties prenantes impliquées dans la collecte, le traitement, la conservation, la destruction et l’anonymisation des renseignements personnels conformément aux exigences légales et aux bonnes pratiques en matière de protection de la vie privée.

 

4. Définitions

Renseignements personnels : toute information permettant d’identifier, directement ou indirectement, une personne physique.

 

Conservation : stockage sécurisé des renseignements personnels pendant la durée requise.

 

Destruction : suppression, élimination ou effacement définitif des renseignements personnels.

 

Anonymisation : processus de modification des renseignements personnels de manière à ne plus permettre en tout temps et de façon irréversible l’identification, directe ou indirecte, des individus concernés.

 

 

5. Procédure

 

5.1 Durée de conservation

5.1.1 Les renseignements personnels ont été catégorisés de la façon suivante :

– renseignements concernant les personnes salariées de l’entreprise,

– renseignements concernant les membres du conseil d’administration,

– renseignements concernant les membres de l’organisation,

– renseignements concernant les clients.

 

5.1.2 La durée de conservation pour chacune de ces catégories a été établit de la façon suivante :

·        Personnes salariées de l’entreprise : 7 ans après la fin d’emploi à l’exception de certaines informations conformément au calendrier de conservation qui seront conservées jusqu’au 75e anniversaire de la personne.

·        Membres du C.A. : 7 ans après la fin du mandat.

·        Membres : variable en fonction du type de renseignement personnel.

·        Clients : variable en fonction du type de renseignement personnel.

** Des délais de conservation spécifiques peuvent s’appliquer.

 

5.2 Méthodes de stockage sécurisé

5.2.1 Les renseignements personnels se trouvent aux endroits suivants : bureaux verrouillés de la direction. D’autres renseignements se trouvent sur le réseau informatique dont chacun des ordinateurs sont accessibles avec des mots de passe, en plus deux mots de passe supplémentaires (logiciel et section de la paie) pour le logiciel comptable.

5.2.2 Le degré de sensibilité de chacun de ces lieux de stockage a été établi.

5.2.3 Ces lieux de stockage, qu’ils soient papier ou numérique, sont adéquatement sécurisés.

5.2.4 L’accès à ces lieux de stockage a été restreint aux seules personnes autorisées.

 

5.3 Destruction des renseignements personnels

5.3.1 Pour les renseignements personnels sur papier, ils devront être totalement déchiquetés.

5.3.2 Pour les renseignements personnels numériques, ils devront être totalement supprimés des appareils (ordinateurs, téléphone, tablette, disque dur externe), des serveurs et des outils infonuagiques.

5.3.3 Le calendrier de destruction en fonction de la durée de conservation établie pour chaque catégorie de renseignements personnels a été réalisé. Il est impératif de documenter les dates de destruction prévues.

5.3.4 Il faudra s’assurer que la destruction est réalisée de manière que les renseignements personnels ne puissent pas être récupérés ou reconstitués.

 

5.4 Anonymisation des renseignements personnels

5.4.1 L’anonymisation des renseignements personnels ne devrait se faire que si l’organisation souhaite les conserver et les utiliser à des fins sérieuses et légitimes, si un tel règlement de la loi entre en vigueur pour le permettre.

5.4.2 La méthode d’anonymisation des renseignements personnels choisit est la suivante : supprimer ou caviarder, s’il est possible de le faire, les renseignements personnels permettant d’identifier des personnes, dépersonnaliser les dossiers des membres documentant les interventions réalisées par la CDC.

5.4.3 Il faudra s’assurer que l’information restante ne permettre plus de façon irréversible l’identification directe ou indirecte des individus concernés et s’assurer d’évaluer régulièrement le risque de réidentification des données anonymisées en effectuant des tests et des analyses pour garantir leur efficacité.

 

5.5 Formation et sensibilisation du personnel

5.5.2 Cela inclut également la sensibilisation du personnel aux bonnes pratiques de sécurité des données et à l’importance du respect des procédures établies.

ANNEXE D – Procédure de demande d’accès aux renseignements personnels et de traitement des plaintes

1. Aperçu

Puisqu’une personne peut demander à accéder aux renseignements personnels qu’une organisation détient sur elle, ou pourrait également formuler des plaintes, il est important d’avoir des balises prédéfinies pour répondre à ce type de demande.

2. Objectif

Le but de cette procédure est de garantir que toutes les demandes d’accès sont traitées de manière confidentielle, rapide et précise, tout en respectant les droits des individus concernés. 

3. Portée

La portée de cette procédure concerne les acteurs internes responsables du traitement des demandes d’accès et du traitement des plaintes, ainsi que les individus souhaitant accéder à leurs propres renseignements personnels.

4. Procédure de demande d’accès

4.1 Soumission de la demande

4.1.1 L’individu qui souhaite accéder à ses renseignements personnels doit soumettre une demande écrite au responsable de la protection des renseignements personnels de l’organisation. La demande peut être envoyée par courriel ou par courrier postal.

4.1.2 La demande doit clairement indiquer qu’il s’agit d’une demande d’accès aux renseignements personnels, et fournir des informations suffisantes pour identifier l’individu et les renseignements recherchés.

4.1.3 Ces informations peuvent inclure le nom, l’adresse ainsi que toute autre information pertinente pour identifier de manière fiable l’individu qui effectue la demande.

4.2 Réception de la demande

4.2.1 Une fois la demande reçue, un accusé de réception est envoyé à l’individu pour confirmer que sa demande a été prise en compte.

4.2.2 La demande devra être traitée dans les trente (30) jours suivant sa réception.

4.3 Vérification de l’identité

4.3.1 Avant de traiter la demande, l’identité de l’individu doit être vérifiée de manière raisonnable. Cela peut être fait en demandant des informations supplémentaires ou en vérifiant l’identité de l’individu en personne.

4.3.2 Si l’identité ne peut pas être vérifiée de manière satisfaisante, l’organisation peut refuser de divulguer les renseignements personnels demandés.

4.4 Réponse aux demandes incomplètes ou excessives

4.4.1 Si une demande d’accès aux renseignements personnels est incomplète ou excessive, le responsable de la protection des renseignements personnels communique avec l’individu pour demander des informations supplémentaires ou clarifications.

4.4.2 L’organisation se réserve le droit de refuser une demande si elle est manifestement abusive, excessive ou non justifiée.

4.5 Traitement de la demande

4.5.1 Une fois l’identité vérifiée, le responsable de la protection des renseignements personnels pour traiter les demandes d’accès aux renseignements personnels procède à la collecte des renseignements demandés.

4.5.2 Le responsable consulte les dossiers pertinents pour recueillir les renseignements personnels demandés, en veillant à respecter les restrictions légales éventuelles.

4.6 Examen des renseignements

4.6.1 Avant de communiquer les renseignements personnels à l’individu, le responsable examine attentivement les informations pour s’assurer qu’elles ne contiennent pas de renseignements tiers confidentiels ou susceptibles de porter atteinte à d’autres droits.

4.6.2 Si des renseignements de tiers sont présents, le responsable évalue s’ils peuvent être dissociés ou s’ils doivent être exclus de la divulgation.

4.7 Communication des renseignements

4.7.1 Une fois les vérifications terminées, les renseignements personnels sont communiqués à l’individu dans un délai raisonnable, conformément aux exigences légales en vigueur.

4.7.2 Les renseignements personnels peuvent être communiqués à l’individu par voie électronique, par courrier postal sécurisé ou en personne, selon les préférences de l’individu et les mesures de sécurité appropriées.

4.8 Suivi et documentation

4.8.1 Toutes les étapes du processus de traitement de la demande d’accès aux renseignements personnels doivent être consignées de manière précise et complète.

4.8.2 Les détails de la demande, les actions entreprises, les décisions prises et les dates correspondantes doivent être enregistrés dans un registre de suivi des demandes d’accès.

·        Date de réception de la demande ;

·        Date de l’accusé de réception ;

·        Date de la vérification de l’identité ;

·        Méthode de vérification de l’identité ;

·        Décision – demande d’accès acceptée ou refusée ;

·        Date de la communication des renseignements (si applicable).

4.9 Protection de la confidentialité

4.9.1 Tout le personnel impliqué dans le traitement des demandes d’accès aux renseignements personnels doit respecter la confidentialité et la protection des données.

4.10 Gestion des plaintes et des recours

4.10.1 Si un individu est insatisfait de la réponse à sa demande d’accès aux renseignements personnels, il doit être informé des procédures de réclamation et des recours disponibles devant la Commission d’accès à l’information.

4.10.2 Les plaintes doivent être traitées conformément aux politiques et procédures internes en matière de gestion des plaintes (section suivante).

5. Procédure de traitement des plaintes

5.1 Réception des plaintes

5.1.1 Les plaintes peuvent être déposées par écrit, par téléphone, par courrier électronique ou via tout autre canal de communication officiel. Elles doivent être enregistrées dans un registre centralisé, accessible uniquement au personnel désigné.

5.1.2 La personne salariée doit informer immédiatement le responsable de la réception des plaintes.

5.2 Évaluation préliminaire

5.2.1 La personne responsable désignée examine chaque plainte pour évaluer sa pertinence et sa gravité.

5.2.2 Les plaintes frivoles, diffamatoires ou sans fondement évident peuvent être rejetées. Toutefois, une justification doit être fournie au plaignant.

5.3 Enquête et analyse

5.3.1 La personne responsable chargée de la plainte mène une enquête en collectant des preuves, en interrogeant les parties concernées et en recueillant tous les documents pertinents.

5.3.2 La personne responsable doit être impartiale et avoir l’autorité nécessaire pour résoudre la plainte.

5.3.3 La personne responsable doit maintenir la confidentialité des informations liées à la plainte et veiller à ce que toutes les parties impliquées soient traitées équitablement.

5.4 Résolution de la plainte

5.4.1 Le responsable de la plainte propose des solutions appropriées pour résoudre la plainte dans les meilleurs délais.

5.4.2 Les solutions peuvent inclure des mesures correctives, des compensations financières ou toute autre action nécessaire pour résoudre la plainte de manière satisfaisante.

5.5 Communication avec le plaignant

5.5.1 La personne responsable de la plainte communique régulièrement avec le plaignant pour le tenir informé de l’avancement de l’enquête et de la résolution de la plainte.

5.5.2 Toutes les communications doivent être professionnelles, empathiques et respectueuses.

5.6 Clôture de la plainte

5.6.1 Une fois la plainte résolue, le responsable de la plainte doit fournir une réponse écrite au plaignant, résumant les mesures prises et les solutions proposées.

5.6.2 Toutes les informations et documents relatifs à la plainte doivent être conservés dans un dossier confidentiel.

ANNEXE E – Procédure de demande de désindexation et de suppression des renseignements personnels

1. Aperçu

Cette procédure vise à répondre aux craintes et aux préoccupations de confidentialité et de protection des renseignements personnels de nos membres et partenaires.

2. Objectif

Le but de cette procédure est de fournir un mécanisme structuré pour gérer les demandes de désindexation et de suppression des renseignements personnels émanant de nos membres et partenaires.

3. Portée

Cette procédure s’applique à notre équipe interne chargée de la gestion des demandes de désindexation et de suppression des renseignements personnels. Elle couvre toutes les informations publiées sur nos plateformes en ligne, y compris notre site web, nos applications mobiles, nos bases de données ou tout autre support numérique utilisé par nos membres et partenaires.

4. Définitions

Suppression des renseignements personnels : action d’effacer complètement les données, les rendant indisponibles et irrécupérables.

Désindexation des renseignements personnels : retrait des informations des moteurs de recherche, les rendant moins visibles, mais toujours accessibles directement.

La suppression élimine définitivement les données, tandis que la désindexation limite leur visibilité en ligne.

5. Procédure

5.1 Réception des demandes

5.1.1 Les demandes de désindexation et de suppression des renseignements personnels doivent être reçues par l’équipe responsable désignée.

5.1.2 Les clients peuvent soumettre leurs demandes par le biais de canaux spécifiques tels que le formulaire en ligne, l’adresse courriel dédiée ou le numéro de téléphone.

5.2 Vérification de l’identité

5.2.1 Avant de traiter la demande, l’identité de l’individu doit être vérifiée de manière raisonnable.

5.2.2 Cela peut être fait en demandant des informations supplémentaires ou en vérifiant l’identité de l’individu en personne.

5.2.3 Si l’identité ne peut pas être vérifiée de manière satisfaisante, l’organisation peut refuser de donner suite à la demande.

5.3 Évaluation des demandes

5.3.1 L’équipe responsable doit examiner attentivement les demandes et les renseignements personnels concernés pour déterminer leur admissibilité à la désindexation ou à la suppression.

5.3.2 Les demandes doivent être traitées de manière confidentielle et dans le respect des délais prévus.

5.4 Raisons d’un refus

5.4.1 Il existe aussi des raisons parfaitement valables pour lesquelles nous pourrions refuser de supprimer ou de désindexer des renseignements personnels :

·        Pour continuer à fournir des biens et des services au membre et partenaire ;

·        Pour des raisons d’exigence du droit du travail ;

·        Pour des raisons juridiques en cas de litige.

5.5 Désindexation ou suppression des renseignements personnels

5.5.1 L’équipe responsable doit prendre les mesures nécessaires pour désindexer ou supprimer les renseignements personnels conformément aux demandes admissibles.

5.6 Communication du suivi

5.6.1 L’équipe responsable est chargée de communiquer avec les demandeurs tout au long du processus, en fournissant des confirmations d’accusé de réception et des mises à jour régulières sur l’état d’avancement de leur demande.

5.6.2 Tout retard ou problème rencontré lors du traitement des demandes doit être communiqué aux demandeurs avec des explications claires.

5.7 Suivi et documentation

5.7.1 Toutes les demandes de désindexation et de suppression des renseignements personnels, ainsi que les actions entreprises pour y répondre, doivent être consignées dans un système de suivi dédié.

5.7.2 Les enregistrements doivent inclure les détails des demandes, les mesures prises, les dates et les résultats des actions effectuées.


ANNEXE F – Procédure de gestion des incidents de sécurité et violations des renseignements personnels

1. Aperçu

Un plan d’intervention est essentiel pour gérer des cyberincidents de manière efficace. Dans ces moments de crise, on ne sait pas toujours comment agir et prioriser les actions. Un plan d’intervention vient réduire le stress d’oublier des aspects importants.

2. Objectif

Le but de cette procédure est de s’assurer que l’organisation est prête à intervenir en cas de cyberincident de manière à pouvoir reprendre rapidement ses activités.

3. Portée

La portée de cette procédure inclut tous les réseaux et systèmes, ainsi que les parties prenantes (membres, partenaires, personnes salariées, sous-traitants, fournisseurs, contractuels) qui accèdent à ces systèmes.

4. Reconnaître un cyberincident

Un incident de cybersécurité peut ne pas être reconnu ou détecté immédiatement. Toutefois, certains indicateurs peuvent être les signes d’une atteinte à la sécurité, qu’un système a été compromis, d’une activité non autorisée, etc. Il faut toujours être à l’affût de tout signe indiquant qu’un incident de sécurité s’est produit ou est en cours.

Certains de ces indicateurs sont décrits ci-dessous :

1.       Activité excessive ou inhabituelle de la connexion et du système, notamment à partir de tout identifiant d’utilisateur (compte d’utilisateur) inactif.

2.      Accès distant excessif ou inhabituel dans votre organisation. Cela peut concerner le personnel ou des fournisseurs tiers.

3.      L’apparition de tout nouveau réseau sans fil (Wi-Fi) visible ou accessible.

4.      Une activité inhabituelle liée à la présence de logiciels malveillants, de fichiers suspects ou de fichiers et programmes exécutables nouveaux ou non approuvés.

5.      Ordinateurs ou appareils perdus, volés ou égarés qui contiennent des données de cartes de paiement, renseignements personnels ou d’autres données sensibles.

 

5. Coordonnées des personnes-ressources

Rôle

Nom

Téléphone

Adresse de courriel

Responsable du traitement des incidents

Anthony Deshaies

819-222-5316, poste 4

Direction@cdcbecancour.ca

Direction

IDEM

IDEM

IDEM

Responsables des TI

Sylvain Guimond

(Zanicom – Site web)

 

David Francoeur

(Logesco informatique – Serveur, téléphonie et matériel)

 

Grégory Jeanne (ADN communication – Microsoft 365)

819-415-1963, poste 1540

 

 

(819) 519‑5643 Poste 102

 

 

 

 

 

819-840-2757, poste 238

sylvain@zani.ca

 

 

 

david@logesco.ca

 

 

 

 

 

 

gregory@adncomm.com

Responsable des communications

Marie-Ève Boisvert

819-222-5316, poste 3

mobilisation@cdcbecancour.ca

Avocat-conseil

À déterminer selon les besoins

 

 

Assureur en cybersécurité

BFL Canada

 

1-800-465-2842

osbl@bflcanada.ca

 

6. Atteinte à la protection des renseignements personnels – Intervention spécifique

S’il a été confirmé qu’un incident de sécurité lié à une atteinte à la protection des renseignements personnels s’est produit, il faudra effectuer les étapes suivantes :

Compléter le registre d’incidents de confidentialité pour documenter l’incident. Pour ce faire, utiliser le registre dans le même dossier que la présente politique.

Examiner l’atteinte à la protection des renseignements personnels pour déterminer si des renseignements personnels ont été perdus en raison d’un accès ou utilisation non autorisés, d’une divulgation non autorisée ou de toute atteinte la protection de ces renseignements personnels et qu’il existe un risque de préjudice sérieux pour les personnes concernées.

o   Dans un tel cas, le signaler à la Commission de l’accès à l’information au Québec.

o   Et, le signaler également aux personnes dont les renseignements personnels sont visés par l’incident.

 

7. Rançongiciel – Intervention spécifique

S’il a été confirmé qu’un incident de sécurité de rançongiciel s’est produit, il faudra effectuer les étapes suivantes :

Déconnecter immédiatement du réseau les appareils visés par un rançongiciel.

  Ne RIEN EFFACER sur vos appareils (ordinateurs, serveurs, etc.).

Examiner le rançongiciel et déterminer comment il a infecté l’appareil. Cela aidera à comprendre comment l’éliminer.

Communiquer avec les autorités locales pour signaler l’incident et coopérer à l’enquête.

Une fois le rançongiciel supprimé, une analyse complète du système doit être effectuée à l’aide d’un antivirus, d’un anti-maliciel et de tout autre logiciel de sécurité le plus récent disponible afin de confirmer qu’il a été supprimé de l’appareil.

Si le rançongiciel ne peut pas être supprimé de l’appareil (souvent le cas avec les programmes malveillants furtifs), l’appareil doit être réinitialisé au moyen des supports ou des images d’installation d’origine.

Avant de procéder à la réinitialisation à partir de supports/images de sauvegarde, vérifier qu’ils ne sont pas infectés par des maliciels.

Si les données sont critiques et doivent être restaurées, mais ne peuvent être récupérées à partir de sauvegardes non affectées, rechercher les outils de déchiffrement disponibles sur nomoreransom.org.

La politique est de ne pas payer la rançon, sous réserve des enjeux en cause. Il est également fortement recommandé de faire appel aux services d’un chef de projet expert en cyberattaques.

Protéger les systèmes pour éviter toute nouvelle infection en mettant en œuvre des correctifs ou des rustines pour empêcher toute nouvelle attaque.

8. Piratage de compte – Intervention spécifique

S’il a été confirmé qu’un piratage de compte s’est produit, il faudra effectuer les étapes suivantes :

Aviser nos clients et fournisseurs qu’ils pourraient recevoir des courriels frauduleux de notre part, et spécifier de ne pas répondre ou cliquer sur les liens de ces courriels.

Vérifier si on a encore accès au compte en ligne.

o   Sinon, communiquer avec le support de la plateforme pour tenter de récupérer l’accès.

Changer le mot de passe utilisé pour se connecter à la plateforme.

Si le mot de passe est réutilisé ailleurs, changer également tous ces mots de passe.

Activer le double facteur d’authentification pour la plateforme.

Supprimer les connexions et les appareils non légitimes de l’historique de connexion.


9. Perte ou vol d’un appareil – Intervention spécifique

S’il a été confirmé qu’une perte d’équipement s’est produite, il faudra effectuer les étapes suivantes :

Le vol ou la perte d’un bien, tel qu’un ordinateur, un ordinateur portatif ou un appareil mobile, doit être signalé immédiatement aux autorités policières locales. Cela inclut les pertes/vols en dehors des heures d’ouverture normale et pendant les week-ends.

Si l’appareil perdu ou volé contenait des données sensibles et qu’il n’est pas crypté, effectuer une analyse de sensibilité, du type et du volume des données volées, y compris les numéros de cartes de paiement potentiellement concernés.

Dans la mesure du possible, verrouiller/désactiver les appareils mobiles perdus ou volés (p. ex. : téléphones intelligents, tablettes, ordinateurs portatifs, etc.) et procéder à un effacement des données à distance.

 

 

 


ANNEXE G – Procédure de gestion du roulement du personnel et de changement au conseil d’administration

 

1. Aperçu

Le départ d’un membre du personnel peut entraîner des dommages intentionnels, accidentels ou une perte de données. Avec une liste de rôles et de leurs accès ainsi que d’une politique à appliquer avant un départ, nous pourrons éviter la plupart de ces pertes.

2. Objectif

Le but de cette procédure est d’établir une liste de contrôle au sein de l’organisation pour encadrer le départ d’un membre de l’équipe ou un changement au conseil d’administration.

3. Portée

La portée de cette procédure inclut tous les individus qui quittent l’organisation et qui possédaient des accès physiques aux appareils et systèmes de l’organisation, ou aux comptes et différentes plateformes de l’organisation et/ou aux documents relatifs au conseil d’administration.

4. Procédure

4.1 Entrevue de départ ou mise à pied

4.1.1 Éteindre les ordinateurs et appareils professionnels de la personne salariée.

4.1.2 Désactiver l’accès de la personne salariée à tous les systèmes.

4.1.3 Supprimer les données professionnelles des appareils appartenant aux personnes salariées :

·        Observer l’utilisateur supprimer les comptes de messagerie de son téléphone.

·        Une personne de l’équipe informatique peut le faire par effacement à distance, ce qui peut potentiellement supprimer des données personnelles (à utiliser avec prudence).

4.1.4 S’assurer que la personne salariée retourne tout équipement appartenant à l’organisation : ordinateurs portables, tablettes, clés USB, etc.

 

4.2 Téléphone

4.2.1 S’assurer que le numéro de téléphone de la personne salariée n’est pas transféré à un numéro externe, tel qu’un téléphone portable personnel.

4.2.2 Changer le mot de passe de la messagerie vocale.

4.2.3 Modifier le message vocal sortant conformément à nos directives de communication.

4.2.4 Désigner une personne pour surveiller la messagerie vocale jusqu’à ce que le poste téléphonique puisse être supprimé ou réaffecté.

4.3 Accès aux courriels

4.3.1 Idéalement, ne jamais supprimer le compte courriel d’une personne salariée. La bonne pratique serait de créer une boîte courriel partagée et de bloquer les accès tel que mentionné plus bas.

4.3.2 Modifier le mot de passe du compte dans le système de courriels de l’organisation. Passer en revue la section 4.4 avant de réactiver le compte.

4.3.3 Si la personne salariée a utilisé un téléphone mobile personnel ou une tablette pour accéder à sa messagerie professionnelle, effacer ou supprimer le compte de messagerie si ce n’est déjà fait.

4.3.4 Créer un message d’absence pour le compte de messagerie conformément aux directives de communication de notre organisation.

4.3.5 Supprimer la personne salariée des listes de diffusion de courriels internes.

4.3.6 Supprimer la personne salariée des listes de diffusion de courriels spécialisées. S’assurer que quelqu’un d’autre est membre pour ne pas manquer ces communications.

4.3.7 Contacter les fournisseurs avec lesquels la personne salariée a travaillé pour les informer du départ et leur fournir un nouveau contact.

4.3.8 Désigner quelqu’un et lui donner les accès pour surveiller le courrier électronique de la personne salariée. Déterminer combien de temps la boîte de courriels restera disponible – 30 jours – après quoi le compte sera supprimé ou réaffecté. S’assurer de faire un suivi après la période établie.

4.4 Accès au réseau et/ou au serveur

4.4.1 Supprimer la personne salariée de tous les groupes de contrôle d’accès pour la connexion au domaine de l’organisation, VPN, bureau à distance, système d’organisation et autres systèmes.

4.4.2 Déplacer tous les fichiers de travail qui ont pu être stockés en dehors des dossiers de sauvegarde principaux de l’organisation vers un emplacement central.

4.4.3 Révoquer l’accès de la personne salariée au compte infonuagique d’organisation.

4.4.4 Supprimer les fichiers de travail de tout compte de stockage personnel.

4.4.5 Passer en revue les règles d’accès au pare-feu pour confirmer que l’utilisateur ne dispose d’aucun autre accès, tel qu’un VPN direct depuis son pare-feu personnel à la maison.

4.4.6 Confirmer qu’aucun logiciel d’accès à distance n’est installé sur les appareils (LogMeIn ou TeamViewer), que la personne salariée pourrait utiliser pour accéder à l’ordinateur ou au réseau.

 

4.5 Conseil d’administration

4.5.1 Les administratrices sortantes doivent remettre l’ensemble des documents physiques obtenus dans l’exercice de leurs fonctions à la Corporation dans les 90 jours suivant la fin des fonctions.

4.5.2 Les administratrices sortantes doivent détruire, de manière définitive et à l’intérieur des 90 jours suivant la fin de leur fonction, tous les documents obtenus dans l’exercice de leurs fonctions à la Corporation.

4.5.3 Les documents en possession des administratrices sortantes concernant les ressources humaines, qu’ils soient physiques ou virtuels, doivent être remis à la dernière rencontre du conseil d’administration précédent l’assemblée générale annuelle.

 

 

 


ANNEXE H – Liste de bonnes pratiques et outils en ligne pour la protection des renseignements personnels

 

Utilisez des mots de passe forts : Utilisez des mots de passe comportant entre 8 et 20 caractères, composé d’une combinaison de lettres, de chiffres et de caractères spéciaux dans vos mots de passe. Évitez d’utiliser des informations personnelles évidentes et utilisez des mots de passe différents pour chaque compte.

 

Gestionnaires de mots de passe : Utilisez un gestionnaire de mots de passe tel que Dashlane, Bitwarden, NordPass, Keepass ou 1Password pour générer, stocker et gérer vos mots de passe.

 

Activez l’authentification à deux facteurs : Utilisez des méthodes d’authentification à deux facteurs (2FA) lorsque cela est possible. Cela ajoute une couche de sécurité supplémentaire en demandant une deuxième preuve d’identité lors de la connexion.

 

Méfiez-vous des messages suspects : Soyez vigilant avec les courriels, les messages instantanés et les appels téléphoniques non sollicités demandant des informations personnelles. Ne cliquez pas sur les liens suspects et n’ouvrez pas les pièces jointes sources inconnues.

 

Mettez à jour régulièrement vos logiciels : Maintenez vos systèmes d’exploitation, vos applications et vos antivirus à jour en installant les dernières mises à jour et correctifs de sécurité. Les mises à jour contiennent souvent des correctifs pour les vulnérabilités connues. Une gestion proactive des mises à jour OS et matérielles limitent de beaucoup les risques de sécurité.

 

Limitez les informations personnelles partagées en ligne : Évitez de publier des informations personnelles sensibles, telles que votre adresse, votre numéro de téléphone ou vos détails financiers, sur les réseaux sociaux ou d’autres plateformes en ligne.

 

Utilisez des réseaux Wi-Fi sécurisés : Évitez de vous connecter à des réseaux Wi-Fi publics pour effectuer des transactions sensibles ou accéder à des informations confidentielles. Privilégiez les réseaux Wi-Fi protégés par mot de passe ou utilisez un VPN en (presque) tout temps.

Suppression des cookies : Utilisez les outils de nettoyage du système d’exploitation pour supprimer les cookies de suivi et les données de navigation stockées sur vos appareils.

 

VPN (Virtual Private Network) : Utilisez un VPN pour chiffrer votre connexion Internet et protéger votre vie privée en ligne. Des services populaires tels que NordVPN, NordLayer, ExpressVPN ou CyberGhost offrent des fonctionnalités de protection de la vie privée.

 

Soyez prudent avec les informations de paiement en ligne : Lorsque vous effectuez des achats en ligne, assurez-vous de le faire sur des sites sécurisés et fiables. Vérifiez la présence d’un cadenas dans la barre d’adresse et utilisez des méthodes de paiement sécurisées, telles que PayPal ou les cartes de crédit protégées.

 

Navigation privée : Utilisez le mode de navigation privée ou incognito de votre navigateur pour limiter la collecte de données et de cookies pendant vos sessions de navigation. Cela empêche également l’enregistrement de votre historique de navigation.

 

Vérification des paramètres de confidentialité : Passez en revue et ajustez les paramètres de confidentialité de vos comptes en ligne, tels que les réseaux sociaux, les services de messagerie et les applications, pour limiter la quantité d’informations personnelles partagées et restreindre l’accès à vos données.

 

Suppression des données personnelles : Supprimez régulièrement les données personnelles inutiles ou sensibles stockées sur vos appareils, tels que les anciens courriels, les fichiers temporaires, les caches de navigateur et les historiques de recherche.

 

Formation à la sensibilisation à la cybersécurité : Familiarisez-vous avec les meilleures pratiques de cybersécurité en suivant des cours en ligne, en lisant des ressources fiables et en restant informé des dernières menaces et techniques d’attaque.

Il est important de noter que la protection des renseignements personnels est un processus continu et qu’il est essentiel de rester vigilant et de se tenir au courant des dernières pratiques et outils de sécurité en ligne.