Politique de confidentialité
Avant-propos
La CDC est ci-après utilisée pour remplacer Corporation de
développement communautaire de la MRC de Bécancour aux seules fins d’alléger le
texte.
La présente politique traite de la gestion et de la protection des
informations jugées confidentielles au sein de la CDC. Elle traite notamment
des renseignements personnels concernant ses membres, ses donateurs et ses
données, des informations liées aux activités de l’organisme et des
informations concernant les usagers, les membres du conseil d’administration,
les membres du personnel, les membres individuels et les bénévoles.
Elle s’applique aux relations entre toutes personnes : administratrices,
membres du personnel, bénévoles et partenaires ainsi qu’à toutes personnes qui
fréquentent dans les locaux de la CDC.
La CDC désigne par la présente politique sa direction générale comme Responsable
de la protection des renseignements personnels (ci-après
« RPRP »). À défaut de cette personne pouvant assumer ce rôle, c’est
la personne qui a la plus haute autorité au sein de l’organisation qui sera la
RPRP (par exemple, la présidence du conseil d’administration). L’identification
du RPRP sur le site internet de l’organisme est reconnue comme étant effectuée,
entre autres, grâce à la publication de la présente politique.
La RPRP est globalement responsable de
l’ensemble des dispositions de la présente politique, ce qui inclut entre
autres, sans toutefois s’y restreindre, les rôles suivants :
·
Est responsable, en collaboration avec le conseil
d’administration de la CDC, de s’assurer que les dispositions de la présente
politique soient respectées;
·
Soutien la mise en place des mesures pour prévenir ou
limiter les conséquences d’un incident de confidentialité ou d’une plainte
impliquant un renseignement personnel;
·
Assure l’évaluation des risques globaux relatifs à la
protection de la vie privée (annuelle ou au besoin);
·
Est responsable d’assurer la formation et la
sensibilisation des parties prenantes de l’organisme (personnel, bénévoles,
etc.);
·
Tenir le registre des incidents de confidentialité et des
plaintes.
La présente politique poursuit les
objectifs suivants :
• Assurer le
respect de la vie privée des personnes et la sécurité des renseignements
personnels pouvant les identifier ainsi que des informations confidentielles
détenues par la CDC;
• Se donner des
balises concernant le traitement et les échanges d’informations tant à
l’intérieur qu’à l’extérieur de l’organisme;
• Présenter l’encadrement applicable à la conservation et à la destruction de ces renseignements, prévoir les rôles et les responsabilités des membres de son personnel tout au long du cycle de vie de ces renseignements ainsi qu’un processus de traitement des plaintes relatives à la protection de ceux-ci, proportionnées à la nature et à l’importance des activités de l’organisme, tel que prévu à l’article 3.2 de la LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS DANS LE SECTEUR PRIVÉ.
1.
Définitions
Discrétion : L’aptitude à
garder secrètes les confidences et les informations privées obtenues en dehors
du cadre de travail afin de préserver le respect, l’amitié et la confiance.
Confidentialité : Le fait de
limiter ou d’interdire à d’autres personnes l’accès à des informations privées
obtenues dans l’exercice de ses fonctions.
Renseignement
personnel : Tout renseignement permettant d’identifier directement ou
indirectement un individu ou une organisation. En exemple, un rapport formel
consigné au dossier qui témoigne du processus d’intervention concernant la
situation de l’individu ou de l’organisation à qui la CDC dispense du soutien
ou des services est considéré un renseignement personnel.
Information
confidentielle : Tout autre information devant être traitée avec
discrétion et confidentialité mais ne permettant pas d’identifier explicitement
un individu ou une organisation, ni de relater des faits ou interventions
concrètes. En exemple, les notes ou outils de travail, tels que stipulé à
l’article 8.3 Pratiques à respecter
concernant la tenue de dossier de la présente politique.
2.
Cadre législatif
En matière de collecte et d’utilisation des
données, la CDC respecte les lois en vigueur, notamment les dispositions
prévues aux articles 37 à 41 du Code civil du Québec, lesquelles portent tant
sur les personnes physiques que morales.
C.c.Q. 37. Toute personne qui
constitue un dossier sur une autre personne doit avoir un intérêt sérieux et
légitime à le faire. Elle ne peut recueillir que les renseignements pertinents
à l’objet déclaré du dossier et elle ne peut, sans le consentement de l’intéressé
ou l’autorisation de la loi, les communiquer à des tiers ou les utiliser à des
fins incompatibles avec celles de sa constitution; elle ne peut non plus, dans
la constitution ou l’utilisation du dossier, porter autrement atteinte à la vie
privée de l’intéressé ni à sa réputation.
C.c.Q. 38. Sous réserve des
autres dispositions de la loi, toute personne peut, gratuitement, consulter et
faire rectifier un dossier qu’une autre personne détient sur elle soit pour
prendre une décision à son égard, soit pour informer un tiers; elle peut aussi
le faire reproduire, moyennant des frais raisonnables. Les renseignements
contenus dans le dossier doivent être accessibles dans une transcription
intelligible.
C.c.Q. 39. Celui qui détient
un dossier sur une personne ne peut lui refuser l’accès aux renseignements qui
y sont contenus à moins qu’il ne justifie d’un intérêt sérieux et légitime à le
faire ou que ces renseignements ne soient susceptibles de nuire sérieusement à
un tiers.
C.c.Q. 40. Toute personne peut
faire corriger, dans un dossier qui la concerne, des renseignements inexacts,
incomplets ou équivoques; elle peut aussi faire supprimer un renseignement
périmé ou non justifié par l’objet du dossier, ou formuler par écrit des commentaires
et les verser au dossier. La rectification est notifiée, sans délai, à toute
personne qui a reçu les renseignements dans les six mois précédents et, le cas
échéant, à la personne de qui elle les tient. Il en est de même de la demande
de rectification, si elle est contestée.
C.c.Q. 41. Lorsque la loi ne
prévoit pas les conditions et les modalités d’exercice du droit de consultation
ou de rectification d’un dossier, le tribunal les détermine sur demande. De
même, s’il survient une difficulté dans l’exercice de ces droits, le tribunal
la tranche sur demande.
3.
Engagements
La CDC s’engage à :
• Assurer la
sécurité et la confidentialité des renseignements obtenus;
• Mettre en place
des mécanismes afin de protéger les informations confidentielles;
• Assurer le
traitement confidentiel des plaintes;
• Recueillir
seulement les données nécessaires ou utiles;
• Effectuer
annuellement (et/ou au besoin) une évaluation des risques globaux relatifs à la
protection de la vie privée, dont le rapport sera déposé au conseil
d’administration de la CDC par le RPRP;
• Appliquer la
présente politique dans le respect des valeurs organisationnelles de la CDC;
• Agir avec respect
et transparence lors de l’application de cette politique et dans le respect des
lois en vigueur.
4.
Collecte, utilisation et partage des données
4.1
Collecte
Les données
ou renseignements recueillis par la CDC sont de deux ordres :
·
Sont considérées comme privées, les données obtenues auprès
d’individus ou d’organisations, transmises de façon volontaire et qui seraient
autrement introuvables.
·
Sont considérées comme publiques les données qui sont
facilement accessibles, notamment sur un site internet, des réseaux sociaux ou
un répertoire public (ex.: listes d’entreprises).
4.2
Utilisation
Les données recueillies, qu’elles soient privées
ou publiques, sont utilisées par les personnes salariées de la CDC, ses
représentants, ou les personnes nécessaires à la réalisation des fins pour
lesquelles les renseignements ont été recueillis, entre autres, sans toutefois
s’y restreindre, pour les fins suivantes :
·
Bases de données diverses (membership, répertoire, tenue de
dossiers, etc.) ;
·
Inscriptions à des activités de la CDC ;
·
Participation à des programmes spécifiques (projets spéciaux
ou entente spécifiques) ;
·
Communications spécifiques (infolettre, prises de contact,
sollicitations).
4.3
Partage
La CDC s’engage à assurer la confidentialité des
renseignements ou données privées recueillies, tel que défini au point 4.1.
Toutefois, il lui sera possible de diffuser ou publier uniquement des données
pour lesquelles il a obtenu l’autorisation et que pour les fins pour lesquelles
cette autorisation a été donnée ou qui n’identifient pas, directement ou
indirectement, une personne, une entreprise ou un organisme. Ce pourrait être
le cas lors d’un rapport d’activités, ou une étude sur un programme spécifique,
où seules les données agrégées pourrait être divulguées (comme la situation
géographique des membres dans un rapport d’activités).
En ce qui concerne les données publiques, tel que défini à l’article
4.1, la CDC s’engage à analyser la pertinence de toute demande au regard des
principes et valeurs de l’organisation et à ne partager les données de nature
publiques dont il dispose que pour des fins jugées utiles par la CDC.
5.
Discrétion
Toute personne qui, au sein de la CDC, a
des échanges qui ne sont pas liés à l’exercice de leurs fonctions doit agir
avec discrétion. De ce fait, elle doit:
• Respecter la vie
privée des personnes;
• Ne pas divulguer
ni renseignement personnel, ni information confidentielle obtenue au sein de
l’organisme;
• Savoir garder les
informations sensibles des personnes qui se confient;
•
Agir selon les valeurs de l’organisme.
6.
Confidentialité
Toute personne à l’intérieur de la CDC,
qui obtient des renseignements personnels ou des informations confidentielles
dans l’exercice de ses fonctions est tenue de respecter la confidentialité de
ces informations en conformité avec le code de valeur et d’éthique de la CDC.
Exception est faite dans certains cas, où il est essentiel que les
intervenants puissent échanger certaines informations pour une intervention
considérée incontournable. Dans ce cas, les personnes concernées doivent être
reconnues comme étant des partenaires de confiance et crédibles, afin d’assurer
la transparence et le consentement.
7.
Consentement
La transparence et clarté du consentement
sont importantes pour la CDC, qui cible obtenir, lorsque nécessaire, des
renseignements personnels et confidentiels dans l’exercice de sa mission et de
ses activités. De ce fait, la CDC obtiendra consentement entre autres, sans
toutefois s’y restreindre, à l’aide des méthodes suivantes :
• Formulaires
(adhésion, consentement écrit à des fins spécifiques (ANNEXE A-1 et A-2));
Avertissements
automatisés (site internet, infolettre, « déclaration internet »
(ANNEXE B), etc.);
• Diffusion et la
publication sur le site internet de la présente politique (également disponible
sur demande en version imprimée, moyennant certains frais).
8.
Échange d’information, tenue de dossier et mesures de sécurité
Pour les membres
du conseil d’administration, le personnel et les bénévoles de l’organisme
8.1
Échanges d’informations à l’extérieur de la CDC
Le conseil d’administration, la direction
et les personnes salariées ne doivent pas discuter de dossiers, de personnes ou
de décisions propres à la CDC, avec des personnes extérieures ou non
concernées, sauf si cela est nécessaire pour réaliser une intervention dans le
cadre régulier de la mission de l’organisme.
Dans une telle situation, les personnes
doivent :
• S’assurer de
l’identité de la personne qui demande l’information si celle-ci n’est pas
connue;
• Limiter les
échanges d’informations au strict minimum;
• S’assurer d’avoir
un consentement écrit à des fins spécifiques lorsque la situation l’exige.
8.2
Échanges d’informations au sein de la CDC
• Limiter les
échanges d’informations entre individu hors des réunions d’équipe ou le faire
dans un endroit sécurisé;
• Éviter de
discuter des dossiers, des personnes ou des décisions en dehors de ces moments.
Si cela est impossible, s’assurer de ne pas identifier la personne concernée et
échanger dans un lieu propice à la confidentialité;
•
S’assurer que les conversations téléphoniques ou messages
numériques (ex. : textos) traitant d’informations confidentielles ne sont
pas entendues par d’autres personnes ou partagés avec elles.
8.3
Pratiques à respecter concernant la tenue de dossier
À défaut d’identifier toutes les
pratiques susceptibles de définir les obligations en la matière, la CDC s’engage
à respecter, entre autres, sans toutefois s’y restreindre, les dispositions
suivantes :
• N’inscrire au
dossier que des informations vraies, pertinentes et nécessaires;
• Agir avec
bienveillance et diligence à l’égard des actions en respect des valeurs
organisationnelles et l’esprit de la présente politique;
• Éviter de noter
des commentaires personnels, des réflexions ou perceptions dans les rapports
formels et s’en tenir aux faits des interventions, aux faits rapportés par la
personne concernée ou observés par la personne intervenante elle-même;
• Tel qu’inspiré
par le code de déontologie de l’Ordre des
travailleurs sociaux et des thérapeutes conjugaux et familiaux du Québec
(OTSTCFQ), les notes ou autres outils de travail, à eux seuls, sont des
outils ou des documents (sur support papier ou support informatique) qui
servent aux travailleurs de la CDC comme moyen de soutien au processus
d’intervention, d’aide-mémoire pour leurs propres réflexions, hypothèses et/ou
le suivi de leurs interventions. Ces notes ou outils de travail ne sont pas
destinés à être transmis à d’autres personnes et peuvent servir à appuyer la
rédaction de rapports formels consignés au dossier qui, eux, deviennent des
éléments de renseignements personnels. Ces notes et outils de travail doivent
tout de même respecter les valeurs de la CDC entre autres en limitant les
renseignements personnels associés aux notes et leur utilisation au strict
minimum. Elles doivent être considérées comme étant des informations
confidentielles, respectant les dispositions de la présente politique, mais ne
sont pas considérées formellement comme des renseignements personnels.
8.4
Mesures de sécurité pour limiter l’accès à l’information
À défaut d’identifier toutes les mesures
susceptibles de définir les obligations en la matière, la CDC s’engage à
respecter entre autres, sans toutefois s’y restreindre, les mesures de sécurité
suivantes :
•
Verrouiller les portes des bureaux ou empêcher l’accès aux
ordinateurs, cellulaires ou dossiers lors de pauses ou de période de repas,
particulièrement lors des périodes de télétravail.
•
Nul n’est autorisé à utiliser les outils d’un autre en son
absence et sans son autorisation.
•
Verrouiller avec mot de passe l’accès aux ordinateurs ou
tout autre outil numérique (ex. : cellulaires), particulièrement à l’heure
de repas ou en cas d’absence ou d’inutilisation;
8.5
Procédures de conservation et de destruction des dossiers confidentiels
• Conserver les
renseignements personnels aussi longtemps que l’exige la loi ou jusqu’à 6 ans
après la fin de l’année financière où les fins pour lesquelles ils ont été
recueillis sont terminées. Lorsqu’il n’y aura plus de besoin, la CDC prendra
des mesures raisonnables pour les supprimer.
• Conserver les
dossiers fermés en un lieu sûr et dans le respect des normes et de l’esprit de
la présente politique;
• Toutes
impartitions (transfert de renseignements personnels à des fournisseurs de
services, par exemple, des plateformes de gestion de dons, de bases de données
ou comptable professionnel agréé), s’il y a lieu, sera effectué par la CDC
auprès d’organisations ou de services reconnus ou ayant démontré un niveau de
sécurité adéquat, au meilleur des connaissances du RPRP;
• S’assurer que les
dossiers désuets ou inactifs sont supprimés ou déchiquetés par une personne
désignée à cette tâche par le RPRP à la fin de la période de conservation;
•
Détruire tous les autres documents confidentiels de la
même manière.
8.6
Réunions et procès-verbaux (conseil d’administration, assemblée générale)
• Les résolutions
adoptées en réunion doivent rester confidentielles à la CDC lorsqu’une telle
mention se retrouve sur le document (par exemple, lorsqu’un huis clos est
demandé).
• Par ailleurs, les
procès-verbaux ne sont accessibles qu’à ceux qui ont assisté ou avaient le
droit d’assister à une assemblée ou une réunion. Toutefois, les membres de la
CDC peuvent adresser une demande d’accès au RPRP.
9.
Modalités d’application
Le RPRP, en collaboration avec le conseil d’administration de la CDC,
est responsable de la mise en œuvre et de l’application de la politique de
confidentialité.
Les membres du conseil d’administration, la direction générale, les personnes
salariées et les bénévoles doivent, dès l’entrée en vigueur de cette politique,
recevoir une copie et en prendre connaissance. Par la suite, la présente
politique fera partie intégrante des documents institutionnels de la CDC.
En cas de non-respect de la politique de confidentialité par la
direction générale, c’est le conseil d’administration qui doit intervenir.
Si un membre du conseil d’administration, une personne salariée ou une
personne bénévole a divulgué une information confidentielle, l’autorité
compétente lui impose une sanction ou mesure disciplinaire conforme aux
politiques, règlements ou procédures en vigueur au sein de la CDC. La sanction
peut aller, selon la situation, de la réprimande à l’exclusion ou au renvoi.
10.
Incidents de confidentialité et plaintes
La CDC souscrit à une assurance responsabilité civile à l’égard des
dispositions de la présente politique de protection des renseignements
personnels.
Le RPRP, en collaboration avec le conseil
d’administration de la CDC, est responsable de la conservation d’un registre
formel ainsi que de la mise en œuvre des procédures et obligations suivantes en
cas d’incidents ou de plaintes formulées par écrit par une personne portant
atteintes à la confidentialité des renseignements personnels :
• Dans tous les
cas, le registre, mis à jour à chaque événement, doit contenir pour chaque cas
les éléments suivants :
o
Date à laquelle l’organisme a pris connaissance de
l’incident ou de la plainte;
o
Date à laquelle a eu lieu l’incident ou la plainte;
o
Nombre de personnes concernées par l’incident ou la
plainte;
o
Type(s) de renseignements personnels concernés par
l’incident;
o
Niveau de préjudice, réel ou potentiel : Faible,
Moyen ou Sérieux;
o
Circonstances de l’incident ou de la plainte;
o
Mesures prises par l’organisme après l’incident ou la
plainte;
• Prendre
connaissance de l’étendue de l’incident de confidentialité ou de la plainte
formulée par écrit par une personne et déterminer le niveau de « risques
de préjudices sérieux », tel que défini ci-dessous :
o
Pour évaluer la gravité du risque de préjudice pour les
personnes concernées, il faut considérer, notamment :
§ La sensibilité
des renseignements concernés;
§ Les conséquences
appréhendées de leur utilisation;
§ La probabilité
qu’ils soient utilisés à des fins préjudiciables.
o
Si l’analyse fait ressortir ou est perçue comme un risque
de préjudice sérieux, l’organisation doit aviser la Commission et les personnes
concernées de l’incident.
o
Dans le cas contraire, elle doit tout de même poursuivre
ses travaux pour réduire les risques et éviter qu’un incident de même nature se
produise à nouveau dans le futur, tout en documentant la situation dans un
registre et en informant les personnes concernées;
• Si nécessaire,
procéder à la déclaration de l’incident auprès de la Commission d’accès à
l’information du Québec à l’aide du Formulaire
de déclaration d’un incident de confidentialité;
o
Ce dernier énumère les responsabilités et obligations
inhérentes à un incident, de ce fait, la présente politique se réfère au
formulaire : le RPRP doit suivre les procédures et directives présentées
dans le formulaire de la Commission d’accès à l’information du Québec;
•
En cas de doutes ou d’incertitude, la Commission d’accès à
l’information du Québec sera contactée par le RPRP pour obtenir des directives spécifiques
la situation.
11.
Consultation des données, portabilité et désindexation
Un individu ou un organisme peut demander
par écrit d’avoir accès aux renseignements personnels que détient la CDC sur
lui. La CDC répondra dans un délai raisonnable en lui donnant accès à ces
données. La CDC peut refuser si les circonstances l’obligent ou lui donnent le
droit de refuser cet accès. Les renseignements à fournir sur demande sont les
informations suivantes :
–
Les renseignements personnels qui sont recueillis auprès
d’elle et officiellement consignés à son dossier;
L’individu ou l’organisme qui croit qu’un ou plusieurs de ses
renseignements personnels sont inexacts ou incomplets, peut demander par écrit
à la CDC de les modifier. La CDC fera les corrections appropriées. Cependant,
s’il est raisonnablement d’avis que la modification est inexacte ou incomplète,
dans ce cas la CDC peut la refuser et il inscrira la demande de modification
dans ses dossiers.
Le RPRP, en collaboration avec le conseil d’administration de la CDC,
est responsable d’assurer la portabilité des renseignements personnels que
l’organisme détient. Ainsi, la CDC devra être capable de communiquer à la
personne concernée ses renseignements personnels, dans un délai raisonnable,
dans un format technologique ou imprimé structuré et couramment utilisé, ou
pour répondre à une demande de transfert de ses renseignements personnels à
tout organisme / personne autorisée par la loi.
Ces moyens de portabilités sont entre
autres, sans toutefois s’y restreindre :
• Des versions
numériques des données personnelles tirées des bases de données internes de la
CDC;
• Des photocopies
(moyennant certains frais) ou la numérisation de documents ou dossiers.
La CDC verra également à fournir les moyens à ce qu’un individu ou une organisation puisse demander de cesser de diffuser ou d’utiliser ses renseignements personnels ou de désindexer tout hyperlien rattaché à son nom ou donnant accès à des renseignements.
12. Procédures internes
Afin de répondre aux diverses obligations qu’exige la Loi,
une série de procédures sont incluses en annexes à savoir :
·
Procédure
de conservation, de destruction et d’anonymisation des renseignements
personnels (Annexe C);
·
Procédure
de demande d’accès aux renseignements personnels et de traitement des plaintes
(Annexe D);
·
Procédure
de demande de désindexation et de suppression des renseignements personnels
(Annexe E);
·
Procédure
de gestion des incidents de sécurité et violations des renseignements
personnels (Annexe F);
· Procédure de gestion du roulement de personnel (Annexe G).
13.
Entrée en vigueur
La présente politique entre en vigueur le 8 février 2024 à la suite de son adoption par le conseil d’administration. Elle pourra être modifiée au moment opportun après analyse. La modification doit respecter les valeurs et les règlements de la CDC.
ANNEXE A-1 –
Formulaire type de consentement spécifique
Consentement à la communication de renseignements
personnels à des fins spécifiques
Ce formulaire
s’adresse à la personne qui désire donner ou annuler son consentement à la
communication de renseignements personnels contenus dans son dossier au sein de
la Corporation de développement communautaire de la MRC de Bécancour.
Section 1
– Identité de la personne qui donne ou annule son consentement
Prénom et nom :
Coordonnées :
Section 2
– Identité de la personne ou organisation à qui les renseignements pourront
être communiqués
Nom :
Coordonnées :
Section 3
– Consentement et signature
Je sousigné.e, (en lettre moulées), consens à ce que les
renseignements personnels me concernant et qui sont contenus dans mon dossier
au sein de la Corporation de développement communautaire de la MRC de Bécancour
soient communiqués de manière responsable et confidentielle lorsque les
interventions ciblées nécessitent un tel partage.
Date d’effet (vous
devez indiquer une date) : ____________________
Date de fin de
validité (vous devez indiquer une date) : _____________________
Il vous sera possible d’annuler ce consentement
avant cette date en remplissant à nouveau le formulaire (sections 1 et 4).
La présente atteste que
____________________________________________ comprend que la CDC est un
organisme communautaire dûment reconnu par le Secrétariat à l’action
communautaire et aux initiatives sociales (SACAIS) et assujetti aux lois.
Selon ces obligations légales, la CDC
peut partager des informations personnelles sans consentement pour :
● Se conformer à une décision de justice ou à toute
autre demande contraignante;
● Faire valoir une créance;
● Enquêter sur une rupture de contrat ou une infraction
à la loi;
● Prévenir, arrêter ou détecter une fraude;
Signature :
________________________________________ Date : ____________________
Section 4
– Annulation du consentement
Je sousigné.e,
_________________ (en lettre moulées), annule mon consentement à ce que les
renseignements personnels me concernant et qui sont contenus dans mon dossier
au sein de la Corporation de développement communautaire de la MRC de Bécancour
soient communiqués à la personne désignée à la section 2.
Signature :
_________________________________________ Date : ____________________
ANNEXE
A-2 – Formulation de consentement général
(Ajout au formulaire d’adhésion ou de
renouvellement d’adhésion)
Le présent
consentement réfère aux pratiques et valeurs de la Politique de confidentialité
et de protection des renseignements personnels de la Corporation de
développement communautaire de la MRC de Bécancour (CDC). Celle-ci présente l’encadrement
applicable à la conservation et à la destruction de ces renseignements, prévoit
les rôles et les responsabilités des membres de son personnel tout au long du
cycle de vie de ces renseignements ainsi qu’un processus de traitement des
plaintes relatives à la protection de ceux-ci, proportionnées à la nature et à
l’importance des activités de l’organisme, tel que prévu à l’article 3.2 de la
LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS DANS LE SECTEUR PRIVÉ.
Consentement
Dans le cadre de sa
mission et ses actions, la CDC cible des actions et des interventions faisant
la promotion, la reconnaissance et la sensibilisation publique, tant auprès de
ses membres que de ses partenaires et du public. Ainsi, la personne qui donne
son consentement à titre de représentant de son organisation en remplissant le
présent formulaire accepte que la CDC utilise certains renseignements
personnels pour communiquer avec elle aux fins de sa mission et de ses actions.
De plus, la personne et son organisation autorisent l’utilisation de photos
dans lesquelles elle ou toutes autres représentants de l’organisme apparaît
avec au moins une autre personne, pourvu que cette utilisation soit faite de
manière généraliste, sans identification directe personnalisée, pour promouvoir
sa mission et ses actions.
Par ailleurs, la CDC
collabore avec des partenaires (organisations ou services complémentaires) en
vue d’intervenir le plus adéquatement possible en réponse aux besoins de la
personne ou de l’organisme. Ces interventions nécessitent parfois le partage de
certains renseignements personnels (tel que votre nom ou celui de votre
organisme). Ainsi, la CDC s’engage avec vigilance, de manière responsable et
confidentielle, à n’utiliser et à ne partager que les renseignements personnels
minimaux et nécessaires à une intervention au bénéfice de la personne qui donne
son consentement.
De plus, la personne
reconnaît en remplissant le présent formulaire que la CDC utilise des services
externes pour s’outiller et répondre à sa mission et ses responsabilités qui
peuvent avoir accès à certains renseignements de l’organisme. Par exemple, l’utilisation
de services d’hébergement infonuagiques, qui peuvent héberger des
renseignements sur des serveurs à l’extérieur du Québec, ou auprès de
professionnels spécifiques, comme des Comptables professionnels agréés (CPA)
pour des audits de comptabilité externes. Dans tous les cas, les pratiques et
l’utilisation des renseignements personnels de la CDC demeureront empreintes de
ses valeurs organisationnelles et des principes directeurs de sa mission et de
sa Politique de confidentialité et de protection des renseignements personnels.
Considérant que l’adhésion à la CDC se fait sur une base volontaire, si la personne n’accorde pas son consentement aux dispositions énumérées ci-dessus, la CDC s’engage à déléguer sa direction générale, à titre de Responsable de la protection des renseignements personnels, pour discuter des accommodements à l’égard du soutien, des actions et des interventions possibles.
ANNEXE B – Déclaration de confidentialité pour site internet
Renseignements
transmis par courriel ou par formulaire
La CDC s’engage à assurer la protection des renseignements confidentiels que vous lui confiez. Si vous communiquez volontairement des renseignements personnels ou autrement confidentielle, par courriel ou par formulaire pour vous inscrire à l’infolettre ou pour une demande, nous n’utilisons que l’information requise pour permettre à notre équipe de répondre à votre message ou de donner suite à votre demande. La correspondance électronique est traitée avec les mêmes mesures de confidentialité que les autres documents écrits.
Liens vers
d’autres sites
Le site de la CDC propose des hyperliens vers d’autres sites et vers des documents externes qui appartiennent à ces sites. Les renseignements échangés sur ces sites ne sont pas assujettis à la présente politique de confidentialité, mais à celle du site externe, s’il en existe une.
Responsable de
l’accès aux documents ou de la protection des renseignements personnels
La personne responsable de l’application de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels est, à ce titre, également chargée de veiller au respect de cette politique. Pour formuler des commentaires ou une plainte au sujet du non-respect de cette politique, vous pouvez communiquer avec la direction générale qui assume le rôle de Responsable de la protection des renseignements personnels (RPRP) de la CDC.
Sources :
https://www2.gouv.qc.ca/entreprises/portail/quebec/infosite?lang=fr&x=296172503
ANNEXE C – Procédure de conservation, de destruction
et d’anonymisation des renseignements personnels
1. Aperçu
Il est important de mettre en place une
procédure de conservation, de destruction et d’anonymisation des renseignements
personnels pour garantir la protection de la vie privée des individus, se
conformer aux lois sur la protection des renseignements personnels, prévenir
les incidents de confidentialité impliquant des renseignements personnels et
les atteintes à la sécurité, maintenir la confiance des clients et protéger la
réputation de l’organisation.
2. Objectif
Le but de cette procédure est de garantir
la protection de la vie privée des individus et de se conformer aux obligations
légales en matière de protection des renseignements personnels.
3. Portée
La portée de cette procédure devrait
couvrir l’ensemble du cycle de vie des renseignements personnels, depuis leur
collecte jusqu’à leur destruction. Elle concerne toutes les personnes salariées
et parties prenantes impliquées dans la collecte, le traitement, la
conservation, la destruction et l’anonymisation des renseignements personnels
conformément aux exigences légales et aux bonnes pratiques en matière de
protection de la vie privée.
4. Définitions
Renseignements personnels : toute information permettant
d’identifier, directement ou indirectement, une personne physique.
Conservation : stockage sécurisé des
renseignements personnels pendant la durée requise.
Destruction : suppression, élimination ou
effacement définitif des renseignements personnels.
Anonymisation : processus de modification des
renseignements personnels de manière à ne plus permettre en tout temps et de
façon irréversible l’identification, directe ou indirecte, des individus
concernés.
5. Procédure
5.1 Durée de conservation
5.1.1 Les renseignements personnels ont
été catégorisés de la façon suivante :
– renseignements concernant les personnes
salariées de l’entreprise,
– renseignements
concernant les membres du conseil d’administration,
– renseignements
concernant les membres de l’organisation,
– renseignements
concernant les clients.
5.1.2 La durée de conservation pour
chacune de ces catégories a été établit de la façon suivante :
·
Personnes salariées de l’entreprise : 7 ans après la
fin d’emploi à l’exception de certaines informations conformément au calendrier
de conservation qui seront conservées jusqu’au 75e anniversaire de
la personne.
·
Membres du C.A. : 7 ans après la fin du mandat.
·
Membres : variable en fonction du type de
renseignement personnel.
·
Clients : variable en fonction du type de
renseignement personnel.
** Des délais de
conservation spécifiques peuvent s’appliquer.
5.2 Méthodes de stockage sécurisé
5.2.1 Les renseignements personnels se
trouvent aux endroits suivants : bureaux verrouillés de la direction.
D’autres renseignements se trouvent sur le réseau informatique dont chacun des
ordinateurs sont accessibles avec des mots de passe, en plus deux mots de passe
supplémentaires (logiciel et section de la paie) pour le logiciel comptable.
5.2.2 Le degré de sensibilité de chacun
de ces lieux de stockage a été établi.
5.2.3 Ces lieux de stockage, qu’ils
soient papier ou numérique, sont adéquatement sécurisés.
5.2.4 L’accès à ces lieux de stockage a
été restreint aux seules personnes autorisées.
5.3 Destruction des renseignements
personnels
5.3.1 Pour les renseignements personnels
sur papier, ils devront être totalement déchiquetés.
5.3.2 Pour les renseignements personnels
numériques, ils devront être totalement supprimés des appareils (ordinateurs,
téléphone, tablette, disque dur externe), des serveurs et des outils
infonuagiques.
5.3.3 Le calendrier de destruction en
fonction de la durée de conservation établie pour chaque catégorie de
renseignements personnels a été réalisé. Il est impératif de documenter les
dates de destruction prévues.
5.3.4 Il faudra s’assurer que la
destruction est réalisée de manière que les renseignements personnels ne
puissent pas être récupérés ou reconstitués.
5.4 Anonymisation des renseignements
personnels
5.4.1 L’anonymisation des renseignements
personnels ne devrait se faire que si l’organisation souhaite les conserver et
les utiliser à des fins sérieuses et légitimes, si un tel règlement de la loi
entre en vigueur pour le permettre.
5.4.2 La méthode d’anonymisation des
renseignements personnels choisit est la suivante : supprimer ou caviarder,
s’il est possible de le faire, les renseignements personnels permettant
d’identifier des personnes, dépersonnaliser les dossiers des membres
documentant les interventions réalisées par la CDC.
5.4.3 Il faudra s’assurer que
l’information restante ne permettre plus de façon irréversible l’identification
directe ou indirecte des individus concernés et s’assurer d’évaluer
régulièrement le risque de réidentification des données anonymisées en effectuant
des tests et des analyses pour garantir leur efficacité.
5.5 Formation et sensibilisation
du personnel
5.5.2 Cela inclut également la sensibilisation du personnel aux bonnes pratiques de sécurité des données et à l’importance du respect des procédures établies.
ANNEXE D – Procédure de demande d’accès aux renseignements personnels et de traitement des plaintes
1. Aperçu
Puisqu’une personne peut demander à accéder aux renseignements
personnels qu’une organisation détient sur elle, ou pourrait également formuler
des plaintes, il est important d’avoir des balises prédéfinies pour répondre à
ce type de demande.
2. Objectif
Le but de cette procédure est de garantir que toutes les demandes
d’accès sont traitées de manière confidentielle, rapide et précise, tout en
respectant les droits des individus concernés.
3. Portée
La portée de cette procédure concerne les acteurs internes
responsables du traitement des demandes d’accès et du traitement des plaintes,
ainsi que les individus souhaitant accéder à leurs propres renseignements
personnels.
4. Procédure de demande d’accès
4.1 Soumission de la demande
4.1.1 L’individu qui souhaite accéder à
ses renseignements personnels doit soumettre une demande écrite au responsable
de la protection des renseignements personnels de l’organisation. La demande
peut être envoyée par courriel ou par courrier postal.
4.1.2 La demande doit clairement indiquer
qu’il s’agit d’une demande d’accès aux renseignements personnels, et fournir
des informations suffisantes pour identifier l’individu et les renseignements
recherchés.
4.1.3 Ces informations peuvent inclure le
nom, l’adresse ainsi que toute autre information pertinente pour identifier de
manière fiable l’individu qui effectue la demande.
4.2 Réception de la demande
4.2.1 Une fois la demande reçue, un
accusé de réception est envoyé à l’individu pour confirmer que sa demande a été
prise en compte.
4.2.2 La demande devra être traitée dans
les trente (30) jours suivant sa réception.
4.3 Vérification de l’identité
4.3.1 Avant de traiter la demande,
l’identité de l’individu doit être vérifiée de manière raisonnable. Cela peut
être fait en demandant des informations supplémentaires ou en vérifiant
l’identité de l’individu en personne.
4.3.2 Si l’identité ne peut pas être
vérifiée de manière satisfaisante, l’organisation peut refuser de divulguer les
renseignements personnels demandés.
4.4 Réponse aux demandes
incomplètes ou excessives
4.4.1 Si une demande d’accès aux
renseignements personnels est incomplète ou excessive, le responsable de la
protection des renseignements personnels communique avec l’individu pour
demander des informations supplémentaires ou clarifications.
4.4.2 L’organisation se réserve le droit
de refuser une demande si elle est manifestement abusive, excessive ou non
justifiée.
4.5 Traitement de la demande
4.5.1 Une fois l’identité vérifiée, le
responsable de la protection des renseignements personnels pour traiter les
demandes d’accès aux renseignements personnels procède à la collecte des
renseignements demandés.
4.5.2 Le responsable consulte les
dossiers pertinents pour recueillir les renseignements personnels demandés, en
veillant à respecter les restrictions légales éventuelles.
4.6 Examen des renseignements
4.6.1 Avant de communiquer les
renseignements personnels à l’individu, le responsable examine attentivement
les informations pour s’assurer qu’elles ne contiennent pas de renseignements
tiers confidentiels ou susceptibles de porter atteinte à d’autres droits.
4.6.2 Si des renseignements de tiers sont
présents, le responsable évalue s’ils peuvent être dissociés ou s’ils doivent
être exclus de la divulgation.
4.7 Communication des
renseignements
4.7.1 Une fois les vérifications
terminées, les renseignements personnels sont communiqués à l’individu dans un
délai raisonnable, conformément aux exigences légales en vigueur.
4.7.2 Les renseignements personnels
peuvent être communiqués à l’individu par voie électronique, par courrier
postal sécurisé ou en personne, selon les préférences de l’individu et les
mesures de sécurité appropriées.
4.8 Suivi et documentation
4.8.1 Toutes les étapes du processus de
traitement de la demande d’accès aux renseignements personnels doivent être
consignées de manière précise et complète.
4.8.2 Les détails de la demande, les
actions entreprises, les décisions prises et les dates correspondantes doivent
être enregistrés dans un registre de suivi des demandes d’accès.
·
Date de réception de la demande ;
·
Date de l’accusé de réception ;
·
Date de la vérification de l’identité ;
·
Méthode de vérification de l’identité ;
·
Décision – demande d’accès acceptée ou refusée ;
·
Date de la communication des renseignements (si
applicable).
4.9 Protection de la
confidentialité
4.9.1 Tout le personnel impliqué dans le
traitement des demandes d’accès aux renseignements personnels doit respecter la
confidentialité et la protection des données.
4.10 Gestion des plaintes et des
recours
4.10.1 Si un individu est insatisfait de
la réponse à sa demande d’accès aux renseignements personnels, il doit être
informé des procédures de réclamation et des recours disponibles devant la
Commission d’accès à l’information.
4.10.2 Les plaintes doivent être traitées conformément aux politiques et procédures internes en matière de gestion des plaintes (section suivante).
5. Procédure de traitement des
plaintes
5.1 Réception des plaintes
5.1.1 Les plaintes peuvent être déposées
par écrit, par téléphone, par courrier électronique ou via tout autre canal de
communication officiel. Elles doivent être enregistrées dans un registre
centralisé, accessible uniquement au personnel désigné.
5.1.2 La personne salariée doit informer
immédiatement le responsable de la réception des plaintes.
5.2 Évaluation préliminaire
5.2.1 La personne responsable désignée
examine chaque plainte pour évaluer sa pertinence et sa gravité.
5.2.2 Les plaintes frivoles,
diffamatoires ou sans fondement évident peuvent être rejetées. Toutefois, une
justification doit être fournie au plaignant.
5.3 Enquête et analyse
5.3.1 La personne responsable chargée de
la plainte mène une enquête en collectant des preuves, en interrogeant les
parties concernées et en recueillant tous les documents pertinents.
5.3.2 La personne responsable doit être
impartiale et avoir l’autorité nécessaire pour résoudre la plainte.
5.3.3 La personne responsable doit
maintenir la confidentialité des informations liées à la plainte et veiller à
ce que toutes les parties impliquées soient traitées équitablement.
5.4 Résolution de la plainte
5.4.1 Le responsable de la plainte
propose des solutions appropriées pour résoudre la plainte dans les meilleurs
délais.
5.4.2 Les solutions peuvent inclure des
mesures correctives, des compensations financières ou toute autre action
nécessaire pour résoudre la plainte de manière satisfaisante.
5.5 Communication avec le plaignant
5.5.1 La personne responsable de la
plainte communique régulièrement avec le plaignant pour le tenir informé de
l’avancement de l’enquête et de la résolution de la plainte.
5.5.2 Toutes les communications doivent
être professionnelles, empathiques et respectueuses.
5.6 Clôture de la plainte
5.6.1 Une fois la plainte résolue, le
responsable de la plainte doit fournir une réponse écrite au plaignant,
résumant les mesures prises et les solutions proposées.
5.6.2 Toutes les informations et documents relatifs à la plainte doivent être conservés dans un dossier confidentiel.
ANNEXE E – Procédure de demande de désindexation et de suppression des renseignements personnels
1. Aperçu
Cette procédure vise à répondre aux craintes et aux préoccupations de
confidentialité et de protection des renseignements personnels de nos membres
et partenaires.
2. Objectif
Le but de cette procédure est de fournir un mécanisme structuré pour
gérer les demandes de désindexation et de suppression des renseignements
personnels émanant de nos membres et partenaires.
3. Portée
Cette procédure s’applique à notre équipe interne chargée de la
gestion des demandes de désindexation et de suppression des renseignements
personnels. Elle couvre toutes les informations publiées sur nos plateformes en
ligne, y compris notre site web, nos applications mobiles, nos bases de données
ou tout autre support numérique utilisé par nos membres et partenaires.
4. Définitions
Suppression des renseignements personnels : action d’effacer
complètement les données, les rendant indisponibles et irrécupérables.
Désindexation des renseignements personnels : retrait des
informations des moteurs de recherche, les rendant moins visibles, mais
toujours accessibles directement.
La suppression élimine définitivement les données, tandis que la
désindexation limite leur visibilité en ligne.
5. Procédure
5.1 Réception des demandes
5.1.1 Les demandes de désindexation et de
suppression des renseignements personnels doivent être reçues par l’équipe
responsable désignée.
5.1.2 Les clients peuvent soumettre leurs
demandes par le biais de canaux spécifiques tels que le formulaire en ligne,
l’adresse courriel dédiée ou le numéro de téléphone.
5.2 Vérification de l’identité
5.2.1 Avant de traiter la demande,
l’identité de l’individu doit être vérifiée de manière raisonnable.
5.2.2 Cela peut être fait en demandant
des informations supplémentaires ou en vérifiant l’identité de l’individu en
personne.
5.2.3 Si l’identité ne peut pas être
vérifiée de manière satisfaisante, l’organisation peut refuser de donner suite
à la demande.
5.3 Évaluation des demandes
5.3.1 L’équipe responsable doit examiner
attentivement les demandes et les renseignements personnels concernés pour
déterminer leur admissibilité à la désindexation ou à la suppression.
5.3.2 Les demandes doivent être traitées
de manière confidentielle et dans le respect des délais prévus.
5.4 Raisons d’un refus
5.4.1 Il existe aussi des raisons parfaitement valables pour lesquelles nous
pourrions refuser de supprimer ou de désindexer des renseignements
personnels :
·
Pour continuer à
fournir des biens et des services au membre et partenaire ;
·
Pour des raisons
d’exigence du droit du travail ;
·
Pour des raisons
juridiques en cas de litige.
5.5 Désindexation ou suppression
des renseignements personnels
5.5.1 L’équipe responsable doit prendre
les mesures nécessaires pour désindexer ou supprimer les renseignements
personnels conformément aux demandes admissibles.
5.6 Communication du suivi
5.6.1 L’équipe responsable est chargée de
communiquer avec les demandeurs tout au long du processus, en fournissant des
confirmations d’accusé de réception et des mises à jour régulières sur l’état
d’avancement de leur demande.
5.6.2 Tout retard ou problème rencontré
lors du traitement des demandes doit être communiqué aux demandeurs avec des
explications claires.
5.7 Suivi et documentation
5.7.1 Toutes les demandes de
désindexation et de suppression des renseignements personnels, ainsi que les
actions entreprises pour y répondre, doivent être consignées dans un système de
suivi dédié.
5.7.2 Les enregistrements doivent inclure
les détails des demandes, les mesures prises, les dates et les résultats des
actions effectuées.
ANNEXE F – Procédure de gestion des incidents de sécurité et violations des renseignements personnels
1. Aperçu
Un plan d’intervention est essentiel pour gérer des cyberincidents de
manière efficace. Dans ces moments de crise, on ne sait pas toujours comment
agir et prioriser les actions. Un plan d’intervention vient réduire le stress
d’oublier des aspects importants.
2. Objectif
Le but de cette procédure est de s’assurer que l’organisation est
prête à intervenir en cas de cyberincident de manière à pouvoir reprendre
rapidement ses activités.
3. Portée
La portée de cette procédure inclut tous les réseaux et systèmes,
ainsi que les parties prenantes (membres, partenaires, personnes salariées,
sous-traitants, fournisseurs, contractuels) qui accèdent à ces systèmes.
4. Reconnaître un cyberincident
Un incident de cybersécurité peut ne pas être reconnu ou détecté
immédiatement. Toutefois, certains indicateurs peuvent être les signes d’une
atteinte à la sécurité, qu’un système a été compromis, d’une activité non
autorisée, etc. Il faut toujours être à l’affût de tout signe indiquant qu’un
incident de sécurité s’est produit ou est en cours.
Certains de ces indicateurs sont décrits ci-dessous :
1. Activité
excessive ou inhabituelle de la connexion et du système, notamment à partir de
tout identifiant d’utilisateur (compte d’utilisateur) inactif.
2. Accès distant
excessif ou inhabituel dans votre organisation. Cela peut concerner le
personnel ou des fournisseurs tiers.
3. L’apparition de
tout nouveau réseau sans fil (Wi-Fi) visible ou accessible.
4. Une activité
inhabituelle liée à la présence de logiciels malveillants, de fichiers suspects
ou de fichiers et programmes exécutables nouveaux ou non approuvés.
5. Ordinateurs ou
appareils perdus, volés ou égarés qui contiennent des données de cartes de
paiement, renseignements personnels ou d’autres données sensibles.
5. Coordonnées des
personnes-ressources
Rôle |
Nom |
Téléphone |
Adresse de courriel |
Responsable
du traitement des incidents |
Anthony
Deshaies |
819-222-5316,
poste 4 |
Direction@cdcbecancour.ca |
Direction |
IDEM |
IDEM |
IDEM |
Responsables
des TI |
Sylvain Guimond (Zanicom – Site web)
David
Francoeur (Logesco
informatique – Serveur, téléphonie et matériel)
Grégory
Jeanne (ADN communication – Microsoft 365) |
819-415-1963,
poste 1540
(819) 519‑5643 Poste 102
819-840-2757,
poste 238 |
|
Responsable
des communications |
Marie-Ève
Boisvert |
819-222-5316,
poste 3 |
mobilisation@cdcbecancour.ca |
Avocat-conseil |
À
déterminer selon les besoins |
|
|
Assureur
en cybersécurité |
BFL
Canada
|
1-800-465-2842 |
osbl@bflcanada.ca |
6. Atteinte à la protection des
renseignements personnels – Intervention spécifique
S’il a été confirmé qu’un incident de sécurité lié à une atteinte à la
protection des renseignements personnels s’est produit, il faudra effectuer les
étapes suivantes :
o
Dans
un tel cas, le signaler à la Commission de l’accès à l’information au Québec.
o
Et,
le signaler également aux personnes dont les renseignements personnels sont
visés par l’incident.
7. Rançongiciel – Intervention
spécifique
S’il a été confirmé qu’un incident de sécurité de rançongiciel s’est
produit, il faudra effectuer les étapes suivantes :
8. Piratage de compte –
Intervention spécifique
S’il a été confirmé qu’un piratage de compte s’est produit, il faudra
effectuer les étapes suivantes :
o
Sinon,
communiquer avec le support de la plateforme pour tenter de récupérer l’accès.
9. Perte ou vol d’un appareil –
Intervention spécifique
S’il a été confirmé qu’une perte d’équipement s’est produite, il
faudra effectuer les étapes suivantes :
ANNEXE G – Procédure de gestion du roulement du
personnel et de changement au conseil d’administration
1. Aperçu
2. Objectif
Le but de cette procédure est d’établir une liste de contrôle au sein
de l’organisation pour encadrer le départ d’un membre de l’équipe ou un
changement au conseil d’administration.
3. Portée
La portée de cette procédure inclut tous les individus qui quittent
l’organisation et qui possédaient des accès physiques aux appareils et systèmes
de l’organisation, ou aux comptes et différentes plateformes de l’organisation
et/ou aux documents relatifs au conseil d’administration.
4. Procédure
4.1 Entrevue de départ ou mise à
pied
4.1.1 Éteindre les ordinateurs et
appareils professionnels de la personne salariée.
4.1.2 Désactiver l’accès de la personne
salariée à tous les systèmes.
4.1.3 Supprimer les données
professionnelles des appareils appartenant aux personnes salariées :
·
Observer l’utilisateur supprimer les comptes de messagerie
de son téléphone.
·
Une personne de l’équipe informatique peut le faire par
effacement à distance, ce qui peut potentiellement supprimer des données
personnelles (à utiliser avec prudence).
4.1.4 S’assurer que la personne salariée
retourne tout équipement appartenant à l’organisation : ordinateurs portables,
tablettes, clés USB, etc.
4.2 Téléphone
4.2.1 S’assurer que le numéro de
téléphone de la personne salariée n’est pas transféré à un numéro externe, tel
qu’un téléphone portable personnel.
4.2.2 Changer le mot de passe de la
messagerie vocale.
4.2.3 Modifier le message vocal sortant
conformément à nos directives de communication.
4.2.4 Désigner une personne pour
surveiller la messagerie vocale jusqu’à ce que le poste téléphonique puisse
être supprimé ou réaffecté.
4.3 Accès aux courriels
4.3.1 Idéalement, ne jamais supprimer le
compte courriel d’une personne salariée. La bonne pratique serait de créer une
boîte courriel partagée et de bloquer les accès tel que mentionné plus bas.
4.3.2 Modifier le mot de passe du compte
dans le système de courriels de l’organisation. Passer en revue la section 4.4
avant de réactiver le compte.
4.3.3 Si la personne salariée a utilisé
un téléphone mobile personnel ou une tablette pour accéder à sa messagerie
professionnelle, effacer ou supprimer le compte de messagerie si ce n’est déjà
fait.
4.3.4 Créer un message d’absence pour le
compte de messagerie conformément aux directives de communication de notre
organisation.
4.3.5 Supprimer la personne salariée des
listes de diffusion de courriels internes.
4.3.6 Supprimer la personne salariée des
listes de diffusion de courriels spécialisées. S’assurer que quelqu’un d’autre
est membre pour ne pas manquer ces communications.
4.3.7 Contacter les fournisseurs avec
lesquels la personne salariée a travaillé pour les informer du départ et leur
fournir un nouveau contact.
4.3.8 Désigner quelqu’un et lui donner
les accès pour surveiller le courrier électronique de la personne salariée.
Déterminer combien de temps la boîte de courriels restera disponible – 30 jours
– après quoi le compte sera supprimé ou réaffecté. S’assurer de faire un suivi
après la période établie.
4.4 Accès au réseau et/ou au serveur
4.4.1 Supprimer la personne salariée de
tous les groupes de contrôle d’accès pour la connexion au domaine de
l’organisation, VPN, bureau à distance, système d’organisation et autres
systèmes.
4.4.2 Déplacer tous les fichiers de
travail qui ont pu être stockés en dehors des dossiers de sauvegarde principaux
de l’organisation vers un emplacement central.
4.4.3 Révoquer l’accès de la personne
salariée au compte infonuagique d’organisation.
4.4.4 Supprimer les fichiers de travail
de tout compte de stockage personnel.
4.4.5 Passer en revue les règles d’accès
au pare-feu pour confirmer que l’utilisateur ne dispose d’aucun autre accès,
tel qu’un VPN direct depuis son pare-feu personnel à la maison.
4.4.6 Confirmer qu’aucun logiciel d’accès
à distance n’est installé sur les appareils (LogMeIn ou TeamViewer), que la
personne salariée pourrait utiliser pour accéder à l’ordinateur ou au réseau.
4.5 Conseil d’administration
4.5.1 Les
administratrices sortantes doivent remettre l’ensemble des documents physiques
obtenus dans l’exercice de leurs fonctions à la Corporation dans les 90 jours
suivant la fin des fonctions.
4.5.2 Les
administratrices sortantes doivent détruire, de manière définitive et à
l’intérieur des 90 jours suivant la fin de leur fonction, tous les documents
obtenus dans l’exercice de leurs fonctions à la Corporation.
4.5.3 Les
documents en possession des administratrices sortantes concernant les
ressources humaines, qu’ils soient physiques ou virtuels, doivent être remis à
la dernière rencontre du conseil d’administration précédent l’assemblée
générale annuelle.
ANNEXE H – Liste de bonnes
pratiques et outils en ligne pour la protection des renseignements personnels
Utilisez des mots de passe forts : Utilisez
des mots de passe comportant entre 8 et 20 caractères, composé d’une
combinaison de lettres, de chiffres et de caractères spéciaux dans vos mots de
passe. Évitez d’utiliser des informations personnelles évidentes et utilisez
des mots de passe différents pour chaque compte.
Gestionnaires de mots de passe : Utilisez
un gestionnaire de mots de passe tel que Dashlane, Bitwarden, NordPass, Keepass
ou 1Password pour générer, stocker et gérer vos mots de passe.
Activez l’authentification à deux facteurs : Utilisez des méthodes d’authentification à deux facteurs (2FA) lorsque
cela est possible. Cela ajoute une couche de sécurité supplémentaire en
demandant une deuxième preuve d’identité lors de la connexion.
Méfiez-vous des messages suspects : Soyez
vigilant avec les courriels, les messages instantanés et les appels
téléphoniques non sollicités demandant des informations personnelles. Ne
cliquez pas sur les liens suspects et n’ouvrez pas les pièces jointes sources
inconnues.
Mettez à jour régulièrement vos logiciels : Maintenez vos systèmes d’exploitation, vos applications et vos antivirus
à jour en installant les dernières mises à jour et correctifs de sécurité. Les
mises à jour contiennent souvent des correctifs pour les vulnérabilités
connues. Une gestion proactive des mises à jour OS et matérielles
limitent de beaucoup les risques de sécurité.
Limitez les informations personnelles partagées en ligne : Évitez de publier des informations personnelles
sensibles, telles que votre adresse, votre numéro de téléphone ou vos détails
financiers, sur les réseaux sociaux ou d’autres plateformes en ligne.
Utilisez des réseaux Wi-Fi sécurisés : Évitez de vous connecter à des réseaux Wi-Fi publics pour effectuer des
transactions sensibles ou accéder à des informations confidentielles.
Privilégiez les réseaux Wi-Fi protégés par mot de passe ou utilisez un VPN en
(presque) tout temps.
Suppression des cookies : Utilisez les
outils de nettoyage du système d’exploitation pour supprimer les cookies de
suivi et les données de navigation stockées sur vos appareils.
VPN (Virtual Private Network) : Utilisez
un VPN pour chiffrer votre connexion Internet et protéger votre vie privée en
ligne. Des services populaires tels que NordVPN, NordLayer, ExpressVPN ou
CyberGhost offrent des fonctionnalités de protection de la vie privée.
Soyez prudent avec les informations de paiement en ligne : Lorsque vous effectuez des achats en ligne,
assurez-vous de le faire sur des sites sécurisés et fiables. Vérifiez la
présence d’un cadenas dans la barre d’adresse et utilisez des méthodes de
paiement sécurisées, telles que PayPal ou les cartes de crédit protégées.
Navigation privée : Utilisez le mode
de navigation privée ou incognito de votre navigateur pour limiter la collecte
de données et de cookies pendant vos sessions de navigation. Cela empêche
également l’enregistrement de votre historique de navigation.
Vérification des paramètres de confidentialité : Passez en revue et ajustez les paramètres de confidentialité de vos
comptes en ligne, tels que les réseaux sociaux, les services de messagerie et
les applications, pour limiter la quantité d’informations personnelles
partagées et restreindre l’accès à vos données.
Suppression des données personnelles : Supprimez régulièrement les données personnelles inutiles ou sensibles
stockées sur vos appareils, tels que les anciens courriels, les fichiers
temporaires, les caches de navigateur et les historiques de recherche.
Formation à la sensibilisation à la cybersécurité : Familiarisez-vous avec les meilleures pratiques de cybersécurité en
suivant des cours en ligne, en lisant des ressources fiables et en restant
informé des dernières menaces et techniques d’attaque.
Il est important de noter que la protection des renseignements personnels
est un processus continu et qu’il est essentiel de rester vigilant et de se
tenir au courant des dernières pratiques et outils de sécurité en ligne.