Politique sur la protection des renseignements personnels et la cybersécurité
Dernière mise à jour : 19 septembre 2022
Préambule
Dans le cadre de ses activités, KROME SERVICES INC. (ci-après : la « Société ») recueille et traite des Renseignements personnels concernant diverses catégories de personnes. La Société a le devoir et la responsabilité d’assurer la protection de ces Renseignements personnels acquis dans le cadre de ses activités. L’évolution de la technologie, l’arrivée du télétravail, ainsi que divers autres facteurs ont pour effet d’augmenter les risques liés à la Cybersécurité. Ainsi, nous devons adapter nos mesures de prévention en conséquence.
La présente politique sert de cadre de référence aux activités de l’entreprise et constitue le fondement des règles de gouvernance qui s’appliquent en la matière. Elle doit s’interpréter conjointement avec le Code d’éthique de l’entreprise ainsi qu’avec l’ensemble des autres politiques déjà en vigueur ou à venir au sein de la Société et ayant un quelconque lien direct ou indirect avec la présente politique.
Objectifs et application
La Société, ainsi que ses sociétés affiliées, accordent une très grande importance à la protection des Renseignements personnels qu’elle détient ainsi qu’à la Cybersécurité de l’entreprise. La présente politique fait partie des mesures prises afin d’assurer, autant pour les employés que pour l’entreprise, la meilleure protection possible.
La présente politique poursuit les objectifs suivants :
- Respecter les obligations légales en matière de protection des Renseignements personnels ;
- Établir les principes directeurs qui guident les pratiques de la Société dans sa gestion des Renseignements personnels ;
- Sensibiliser chacun des employés et des différents intervenants à la Cybersécurité ;
- Préciser les rôles et les responsabilités des acteurs concernés par cette politique.
La Société requiert et s’attend à ce que l’ensemble de ses employés, administrateurs, gestionnaires, dirigeants, représentants, clients, partenaires d’affaires, fournisseurs ainsi que toute autre personne agissant en son nom, respecte et applique la totalité des énoncés de la présente politique et qu’ils agissent, en tout temps, d’une manière conforme au Code, aux lois et Règlements en vigueur, de façon à respecter les normes d’éthique les plus rigoureuses.
Définitions
Les définitions ci-dessous visent à servir de guide afin de s’assurer que lorsque certains termes pourraient laisser place à l’interprétation, tous en aient la même compréhension.
Cybersécurité
« Capacité, pour un système en réseau, de se protéger et de résister à des événements issus du cyberespace et susceptibles de porter atteinte à la confidentialité, à l’intégrité et à la disponibilité de l’information qu’il contient. »
Incident de confidentialité
« La consultation, l’utilisation ou la communication non autorisée par la loi d’un Renseignement personnel ou la perte d’un Renseignement personnel ou toute autre atteinte à la protection d’un tel Renseignement.
Un incident de confidentialité peut donc prendre plusieurs formes : intrusions par un tiers dans le système informatique d’une organisation, attaque par rançongiciel, perte de données provoquée par un virus ou par une faille informatique, extraction de données par un employé ou une personne non autorisée, etc. »
Profilage
« La collecte et l’utilisation de Renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne. »
Renseignement personnel
« Tout renseignement qui concerne un individu et permet, directement ou indirectement, de l’identifier, tel qu’un nom, des données de géolocalisation, un identifiant de traçage en ligne ou une ou plusieurs caractéristiques particulières relatives à l’identité physique, physiologique, mentale, économique, culturelle ou sociale de cet individu. »
Risques
La Société croit que le meilleur moyen d’assurer la sécurité informatique et la protection des Renseignements personnels au sein de l’entreprise débute par la conscientisation de chacun des employés quant à la gravité des conséquences qui pourraient découler d’une attaque ou d’une fuite de Renseignements personnels et données confidentielles. Par exemple, la Société pourrait être confrontée aux situations suivantes :
- Vol de données et demande de rançon en argent ou autre ;
- Mise en péril de nos relations d’affaires avec certains partenaires et/ou clients ;
- Atteinte à la réputation ;
- Vol de propriété intellectuelle ou Renseignements personnels ;
- Augmentation de nos coûts de gestion et d’opérations ;
- Divers dossiers litigieux.
Indépendamment de toutes les mesures prises par la Société, la sécurité informatique et la protection des Renseignements personnels demeurent la responsabilité de tous et chacun des employés, gestionnaires et des membres de la direction doivent en tout temps user d’une grande vigilance.
Comportements à adopter afin d’optimiser la protection
Afin de minimiser les risques liés à la Cybersécurité, voici quelques exemples de comportements à adopter :
- Utiliser exclusivement le matériel informatique fourni par la Société ;
- Ne jamais enregistrer des Renseignements personnels ou toute information concernant la Société sur des dispositifs personnels ;
- Ne jamais configurer votre boîte de courriel professionnelle sur un de vos appareils personnels, à l’exception des appareils personnels préalablement approuvés par la Société ;
- Ne jamais partager le matériel avec d’autres personnes et verrouiller les appareils dès qu’ils ne sont pas en usage ;
- Consulter uniquement des sites de confiance et éviter toute navigation personnelle non nécessaire sur le réseau organisationnel (Facebook, courriel personnel, etc.) ;
- Faire preuve d’une vigilance en tout temps lors de consultation de courriel ou en visitant des sites Internet;
- Ne pas utiliser des services, des logiciels ou des applications qui ne sont pas approuvés par la Société ;
- Utiliser uniquement l’adresse courriel professionnelle et le réseau de l’organisation pour communiquer toutes informations ;
- Vérifier que le destinataire des courriels est le bon afin d’éviter que des Renseignements personnels soient transmis à la mauvaise personne ;
- Signaler immédiatement tout risque à la Cybersécurité ou tout soupçon d’Incident de confidentialité.
Principes directeurs
Responsabilité
La Société est responsable des Renseignements personnels qu’elle détient, y compris ceux dont la conservation est assurée par un tiers. En plus de la présente politique, la Société met en œuvre des politiques et des pratiques pour assurer leur protection.
Détermination des fins de la collecte de Renseignements personnels
La Société détermine les fins pour lesquelles elle recueille des Renseignements personnels avant de les recueillir.
Consentement
La Société informe toute personne de la collecte de Renseignements personnels qui la concernent et obtient son consentement pour les recueillir, utiliser ou pour les communiquer, selon ce que la loi autorise ou exige.
Limitation de la collecte
La Société ne recueille que les Renseignements personnels nécessaires aux fins déterminées.
Limitation de l’utilisation, de la communication et de la conservation des renseignements
La Société limite l’utilisation et la communication des Renseignements personnels aux fins auxquelles la personne concernée a consenti, à moins que la loi l’autorise à faire autrement. La Société conserve les Renseignements personnels uniquement pendant la période nécessaire pour accomplir les fins déterminées, sous réserve des exigences des lois applicables, par exemple, en matière fiscale, et des règles prévues à son calendrier de conservation.
Exactitude
La Société s’assure que les Renseignements personnels qu’elle détient sont à jour, exacts et complets.
Mesures de sécurité
La Société prend les mesures de sécurité nécessaires pour assurer la protection des Renseignements personnels qu’elle recueille, utilise, communique, conserve ou détruit. Les mesures qu’elle prend doivent être raisonnables compte tenu, notamment, de la sensibilité des renseignements, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.
Transparence
Au moment de la collecte de Renseignements personnels, la Société informera la personne concernée :
- des fins auxquelles ils sont recueillis ;
- des moyens par lesquels ils sont recueillis ;
- des droits d’accès et de rectification prévus par la loi ;
- de son droit de retirer son consentement à leur communication ou à leur utilisation ;
- le cas échéant, du nom du tiers pour qui la collecte est faite, du nom des tiers ou des catégories de tiers à qui il est nécessaire de communiquer les renseignements aux fins déterminées et de la possibilité que les renseignements soient communiqués à l’extérieur du Québec ;
- Sur demande, la personne concernée est également informée des Renseignements personnels recueillis auprès d’elle, des catégories de personnes qui ont accès à ces renseignements au sein de l’entreprise, de la durée de conservation de ces renseignements ainsi que des coordonnées du Responsable de la protection des Renseignements personnels.
Avant d’utiliser une technologie comprenant des fonctions permettant d’identifier, de localiser ou d’effectuer du Profilage, la Société informera la personne concernée :
- du recours à une telle technologie ;
- des moyens offerts pour activer les fonctions permettant d’identifier, de localiser ou d’effectuer du Profilage.
La Société publie sur son site Internet des informations détaillées au sujet de ses politiques et pratiques de gouvernance en matière de protection des Renseignements personnels dans une politique de confidentialité rédigée en termes simples et clairs.
Accès aux Renseignements personnels
La Société informe toute personne qui en fait la demande de l’existence de Renseignements personnels qui la concernent. Elle permet à toute personne de consulter ou d’obtenir copie de ses Renseignements personnels et de les faire rectifier, le cas échéant, sous réserve des exceptions prévues par la loi.
Traitement des plaintes
La Société s’engage à faire enquête sur toutes les plaintes par l’entremise du Responsable de la protection des Renseignements personnels qui sont liées à la protection des Renseignements personnels, au respect de la confidentialité ou à ses pratiques de gestion de l’information et à les régler en toute confidentialité, de la manière la plus prompte et exhaustive possible.
Mécanismes de contrôle et de surveillance
Mesures instaurées
Parmi les mesures mises en place afin d’assurer la sécurité informatique de l’entreprise ainsi que la protection des Renseignements personnels qu’elle détient, La Société déploie notamment :
- Le logiciel SIEM, lequel recueille divers événements en temps réel, assure la surveillance, la corrélation et l’analyse de ces événements à travers différentes sources ;
- Un filtre antipourriel ayant pour but de filtrer les logiciels malveillants, les messages publicitaires indésirables et les rançongiciels reçus par courriel ;
- Un filtre Internet consistant en un logiciel de sécurité contre toute attaque web pouvant survenir ;
- Une connexion VPN assurant une connexion sécurisée à son réseau ;
- Un anti-virus installé sur chaque poste de travail ;
- Un système de sauvegarde permettant une récupération rapide des données en cas de cyberattaque ;
- Un pare-feu permettant de bloquer les cyberattaques et de sécuriser le réseau ;
- L’authentification multifacteur, laquelle permet de protéger les comptes utilisateurs contre les menaces courantes telles que les attaques par hameçonnage, le bourrage d’identifiants et les prises de contrôle de compte.
Responsabilités du Responsable de la protection des Renseignements personnels
Le Responsable de la protection des Renseignements personnels a notamment les fonctions et responsabilités suivantes :
- Veiller à assurer le respect et la mise en œuvre de la loi et de la présente politique ;
- Approuver les règles de gouvernance telles que les politiques et les directives en matière de protection des Renseignements personnels ;
- S’assurer que ces politiques et pratiques prévoient l’encadrement applicable en matière de conservation et destruction de Renseignements personnels et qu’elles sont proportionnées à la nature et à l’importance des activités de la Société ;
- Prévoir les rôles et responsabilités des membres de son personnel ;
- Établir un processus de traitement de plaintes relatives à la protection des Renseignements personnels ;
- Approuver un programme de sensibilisation et de formation sur la protection des Renseignements personnels ;
- Déterminer les orientations institutionnelles en matière de protection des Renseignements personnels ;
- Participer à l’évaluation des facteurs relatifs à la vie privée avant la communication de Renseignements personnels à des fins d’étude, de recherche ou de production de statistiques ;
- Prendre part à la gestion d’un Incident de confidentialité, notamment en suivant le plan de réponse aux incidents de LA SOCIÉTÉ et prendre part à l’évaluation du préjudice causé par un Incident de confidentialité ;
- Signaler les Incidents de confidentialité présentant des risques de préjudice sérieux à la Commission d’accès à l’information (CAI) ainsi qu’aux personnes concernées conformément au plan de réponse aux incidents ;
- Enregistrer tout Incident de confidentialité dans le registre des incidents ;
- Autoriser la collecte de Renseignements personnels effectuée pour un tiers ;
- Répondre aux demandes d’accès ou de rectification dans les 30 jours de la date de réception de la demande ;
- Motiver tout refus d’acquiescer à une demande et prêter assistance à un demandeur lorsque celle-ci n’est pas suffisamment précise ;
- Lorsqu’il acquiesce à une demande de rectification, il doit, outre les obligations prévues à l’art. 40 al. 2 du Code civil du Québec, délivrer sans frais à la personne qui l’a faite une copie de tout Renseignement personnel modifié ou ajouté ou, selon le cas, une attestation de la suppression d’un tel renseignement.
Responsabilités des gestionnaires
Les gestionnaires veillent à la protection des Renseignements personnels détenus par leur département. Ils doivent notamment :
- Veiller à ce que leur personnel utilise des moyens sécuritaires pour recueillir, utiliser, conserver, communiquer ou détruire des Renseignements personnels et les sensibiliser à leurs responsabilités prévues dans la présente politique ;
- Informer le Responsable de la protection des Renseignements personnels de tout manquement d’un membre du personnel jugé sérieux ou répétitif et appliquer les mesures administratives ou disciplinaires appropriées ;
- Informer et collaborer avec le Responsable de la protection des Renseignements personnels dans le cadre de toute évaluation des facteurs relatifs à la vie privée concernant son département, notamment s’il implique un fournisseur ou un prestataire de services afin d’évaluer et d’établir des mesures visant la protection des Renseignements personnels ;
- Informer le Responsable de la protection des Renseignements personnels de son intention d’utiliser une technologie de vidéosurveillance ou de mesures biométriques.
Responsabilités des employés
Les membres du personnel ont l’obligation de prendre les mesures nécessaires pour assurer la protection des Renseignements personnels auxquels ils ont accès. Ils doivent notamment :
- Recueillir uniquement les renseignements autorisés par leur gestionnaire ;
- Utiliser les Renseignements personnels uniquement s’ils y sont autorisés et pour les fins prévues lors de leur collecte ;
- S’assurer d’y être autorisés avant de communiquer des Renseignements personnels ;
- Obtenir l’autorisation de leur gestionnaire avant de détruire des Renseignements personnels ;
- Utiliser des moyens sécuritaires pour recueillir, utiliser, conserver, communiquer ou détruire des Renseignements personnels ;
- Informer leur gestionnaire de toute situation qui pourrait compromettre la protection des Renseignements personnels détenus par la Société.
Signalement d’un incident et Personne ressource
La Société compte sur la collaboration de tous les employés et leur demande de bien vouloir signaler, sans attendre, tout Incident de confidentialité au Responsable de la protection des Renseignements personnels, qui est Chef de la direction (CEO) :
- Courriel : [email protected]
- Adresse postale : 276 rue St-Jacques #805, Montréal, QC H2Y 1N3, à l’attention du Responsable de la protection des Renseignements personnels, Chef de la direction (CEO)
- Téléphone : 438.386.4581
Vous trouverez également quelques exemples de courriels frauduleux que vous pourriez recevoir en ANNEXE 1.
ANNEXE I
Exemples de courriels frauduleux
Exemple no.1
Exemple no.2