Pour nous joindre

819 367-3737
Contact

Politique de confidentialité

POLITIQUES ET PROCÉDURES – Loi 25

Objectif

La présente politique vise à assurer la protection des renseignements personnels et à encadrer la manière dont J.I.T. Laser Inc. les collecte, les utilise, les communique, les conserve et les détruit ou qu’on les gère. Cette politique vise à informer les membres de J.I.T. Laser Inc. sur sa façon dont elle traite les renseignements personnels et la manière dont ses employés doivent traiter les renseignements personnels.

Définitions

  • Renseignement personnel : Est un renseignement qui concerne un individu et permet de l’identifier ou de confirmer son identité. Cependant, les données utilisées dans le cadre professionnel sont exclues, telles que l’adresse courriel ou le téléphone de bureau;
  • Renseignement sensible : Est un renseignement envers lequel il y a un haut degré d’atteinte raisonnable en matière de vie privée. Par exemple, les renseignements sur la santé, bancaire, biométrique, orientation sexuelle, origine ethnique, opinions politiques, religion, etc.;
  • Incident de confidentialité : Correspond à tout accès, utilisation ou communication non autorisés par la loi d’un renseignement personnel, de même qu’à la perte d’un renseignement personnel ou à toute autre atteinte à sa protection.

Collecte, utilisation et communication

Dans le cadre de ses activités, J.I.T. Laser Inc. doit collecter différents types de renseignements. Les renseignements recueillis servent à communiquer avec ses employés, à la rémunération et à la gestion des avantages sociaux. Les renseignements sur la santé des travailleurs permettent d’assurer la sécurité de ceux-ci.

J.I.T. Laser Inc. récolte des renseignements personnels seulement lorsqu’il est dans l’obligation de le faire, par le biais de curriculum vitae, formulaire de demande d’emploi, formulaire d’embauche, etc.

De façon générale, J.I.T. Laser Inc. ne collecte pas de renseignements personnels concernant des mineurs de 14 ans et moins. Si c’est le cas, l’employeur s’assurera d’obtenir le consentement du titulaire de l’autorité parentale ou du tuteur.

Politique de conservation et destruction des données

Introduction

La politique de conservation et destruction des données explique les principes et les procédures que notre organisation applique pour gérer les données de manière responsable. Cette politique vise à garantir la confidentialité, l'intégrité et la disponibilité des informations tout en respectant les exigences légales et réglementaires en matière de conservation des données.

Objectifs de conservation des données

Notre entreprise s’engage à assurer sa conformité sur le plan légale en respectant les lois et réglementations applicables à la conservation des données et de la protection des renseignements personnels, notamment en lien avec le LPRPSP[1] et le LPRPDE[2]. Pour ce faire, nous mettons en place des mesures éclairées afin de gérer de manières efficaces la conservation des données. Ces données sont ainsi conservées de manière à préserver leur intégrité tout au long de leur durée de conservation et s’assure de la non-répudiation en cas d’accès consenti à ces données

Classification des données

Nous classifions les données en fonction de leur sensibilité et de leur importance au sein de l’entreprise. Cette classification nous permet de déterminer les délais de conservation appropriés pour chaque type de données. Les catégories de classification peuvent inclure, mais ne sont pas limitées à des :

  • Données personnelles identifiantes (PII);
  • Données financières et bancaires;
  • Données confidentielles et secrets de l'entreprise;
  • Données opérationnelles et de rendements.

Durée de conservation des données

Nous conservons les données uniquement pendant la durée nécessaire pour atteindre les objectifs pour lesquels elles ont été collectées, conformément aux exigences légales et réglementaires. Les délais de conservation peuvent varier en fonction du type de données et des obligations légales spécifiques qui s'appliquent à notre organisation et aux renseignements prévus.

J.I.T. Laser Inc. conserve les formulaires de demande d’emploi et les curriculums vitae de ses clients pendant au minimum 3 ans.

J.I.T. Laser Inc. conserve les renseignements personnels de ses anciens employés pendant au minimum 6 ans.

Méthodes de conservation des données

Nous mettons en place des mesures techniques et organisationnelles appropriées pour protéger les données pendant leur durée de conservation. Cela peut inclure des mesures de sécurité telles que le chiffrement, l’anonymisation, la sauvegarde régulière des données et l'accès restreint aux personnes autorisées. Nous documentons et tenons à jour un inventaire des données conservées, y compris leur emplacement et les mesures de sécurité qui leur sont associées.

Destruction des données

Une fois que les données ont atteint la fin de leur durée maximale de conservation, prévue par la loi ou par une politique interne, nous les détruisons de manière sécurisée pour éviter tout accès non autorisé (voir la cartographie des données.) La destruction, documentée pour assurer la traçabilité, peut être effectuée mais non restreint à

  • La suppression électronique, puis retrait des sauvegardes en place;
  • Déchiqueter les fichiers papiers;
  • Réinitialisation du périphérique cible suivi d’une destruction physique;
  • Anonymisation complète des données.

Accès, révision et mise à jour

L’accès aux données conservées est strictement réservé aux membres de l’organisation qui ont les autorisations adéquates.

Nous révisons annuellement notre politique de conservation et destruction des données pour nous assurer qu'elle reste conforme aux exigences légales, réglementaires et techniques en évolution. En cas de modifications importantes, nous communiquons ces changements à tous les partis concernés et leur fournissons la formation nécessaire pour se conformer à la politique mise à jour.

Conclusion

La politique de conservation et destruction des données est un élément essentiel de notre engagement envers la protection des informations. En suivant cette politique, nous sommes en mesure de gérer de manière responsable les données que nous recueillons ainsi que les attentes de nos employés.

Politique de gestion des demandes d’accès, modification et suppression des renseignements personnels

Introduction

L’entreprise s'efforce de garder un environnement sain et sécuritaire pour le traitement et la conservation des renseignements personnels de ses clients, de ses employés et de ses fournisseurs. Dans un cadre légal, l’entreprise offre ainsi à ces parties la possibilité de demander un accès, une rectification ou une suppression d’un ou plusieurs renseignements personnels.

Dépôt d’une demande 

Dans un premier temps, la demande doit être déposée par formulaire, soit par voie postale ou courriel auprès du responsable de la protection des renseignements personnels de l’entreprise, dont les détails sont affichés à la fin du présent document. Sans quoi, celle-ci sera invalide, dès sa réception et ce, sans préavis ou suivi auprès du demandeur.

Gestion de la demande

La demande, d’abord reçue par le responsable de la protection des renseignements personnels, sera évaluée afin de déterminer sa véracité et son bienfondé. Dans le cas d’une demande non admissible, un suivi sera fait auprès du plaignant pour clôturer l’événement.

Dans le cas d’une demande fondée, alors admissible, celle-ci sera acheminée au stade d’identification et d’enquête afin de trouver le renseignement dans les données de l’entreprise. Par la suite, le responsable de la protection des renseignements personnels devra déterminer avec accord du demandeur, l’action à poser sur le renseignement.

Pour finir, la demande est ensuite classée dans les documents officiels de l’entreprise pour garder une traçabilité des événements.

Actions pouvant être posées sur le renseignement personnel

L’entreprise doit être en mesure d’encadrer la gestion des renseignements personnels prélevés. C’est en ce sens que plusieurs actions, sans s’y limiter, peuvent être faites sur les renseignements :

  • Accès général;
  • Pseudonymisation (action de changer les identifiants du renseignement de sorte qu’il ne soit plus clairement associé au demandeur);
  • Anonymisation (Action de modification du renseignement ou de la structure dans le but de les réutiliser à des fins d’enquête tout en rendant impossible la réidentification du demandeur);
  • Suppression / destruction du renseignement;
  • Modification physique ou numérique.

Délai de traitement de la demande

Une demande se doit d’être prise au sérieux. C’est pourquoi celle-ci est traitée dans un délai rapide. La loi prévaut notamment un délai normal de 30 jours suivant la réception de ladite demande. Dans le cas d’une enquête juridique, le délai peut être étendu de 30 jours supplémentaires.

Politique de réponse aux incidents de confidentialité

Introduction

La confidentialité des données est une priorité absolue pour notre organisation. Cependant, malgré tous nos efforts pour maintenir un environnement sécurisé, il est possible qu'un incident de confidentialité survienne. Cette politique a pour objectif de définir les mesures à prendre en cas d'incident de confidentialité, afin de minimiser les dommages et de répondre de manière adéquate à la situation.

Définition d'un incident de confidentialité

Un incident de confidentialité est défini comme toute violation de la sécurité qui conduit à l'accès, la divulgation, la modification ou la destruction non autorisés de données et qui vient alors impacter un ou plusieurs des piliers de la cybersécurité, que se soient la confidentialité, l’intégrité et la disponibilité. Un incident peut alors être :

  • Perte ou vol d'un dispositif de stockage de données (ordinateur portable, cellulaire, clé USB, etc.);
  • Accès non autorisé à un système ou à des informations confidentielles;
  • Divulgation non autorisée d'informations confidentielles à des tiers;
  • Attaques de piratage ou compromission de la sécurité du réseau;
  • Destruction volontaire ou involontaire des données ou d’un équipement réseau;
  • Vol d’identité et fraude.

Procédure de signalement d'un incident de confidentialité

Identification de l'incident

Tout employé qui suspecte ou découvre un incident de confidentialité doit le signaler immédiatement au responsable de la protection des renseignements personnels.

Les signes d'un incident de confidentialité peuvent inclure sans s’y limiter à des comportements suspects, des erreurs de système, des messages d'erreur inhabituels ou des rapports de tiers concernant une violation.

Évaluation initiale de l'incident

Le responsable de la protection des renseignements personnels effectue d’abord une évaluation préliminaire de l’incident afin d’en déterminer sa nature, son étendue et son impact auprès de l’entreprise et des données potentiellement compromises. Il y a ensuite la production d’un rapport détaillant les points pertinents, incluant les informations concernant le départ potentiel de l’incident ainsi que les systèmes et données affectés.

Maîtrise et atténuation

Dans ses tâches, le responsable de la protection des renseignements personnels doit prendre les mesures immédiates appropriées afin de limiter les dommages supplémentaires. Cela peut inclure la désactivation des comptes d'utilisateurs compromis, le blocage de l'accès aux systèmes vulnérables, le retrait des accès aux employés fautifs ou toutes autres mesures de protection supplémentaires. Étant donné qu’il s’agit de protéger les actifs et les intérêts de l’entreprise, de ses employés, de ses clients et de ses partenaires, l’entreprise n’est pas tenue d’avoir le consentement des partis concerné pour colmater la brèche.

Notification et communication des parties concernées

Une fois l’incident maîtrisé, le responsable de la protection des renseignements personnels doit mettre en place une liste des effectifs et données qui ont été compromis afin d’en faire part aux parties concernées, conformément aux exigences légales en matière de confidentialité des données.

Dépendamment de la gravité de l’incident, l’entreprise peut aussi être dans l’obligation légale, selon le LPRPSP[3] et le LPRPDE[4], d’en informer les parties légales et juridiques qui sont  :

  • La Commission d’accès à l’information (CAI);
  • Le service de police de la région de l’entreprise (911);
  • Le service canadien du renseignement de sécurité (SCRS);
  • Le ministère de la Cybersécurité et du Numérique du Québec (MCN);
  • Le Centre Gouvernemental de Cyberdéfense (CGCD);
  • L’assureur de l’entreprise ou du partenaire touché.

Analyse et réponse

Une enquête approfondie sera par la suite menée, conjointement avec le responsable de la protection des renseignements personnels et les partis impliqués, afin de déterminer les causes profondes de l’incident. Le but est de mener à des mesures concrètes pour éviter que l’événement se reproduise à nouveau. Par la suite, ce rapport permettra de réviser les procédures de sécurité actuelles afin de mettre en place des mesures correctives.

Conclusion

La politique décrite ci-dessus sert de guide pour notre organisation afin de garantir une gestion efficace et responsable des incidents de confidentialité. En suivant cette procédure, nous cherchons à minimiser les impacts en cas de matérialisation du risque et donc à protéger les données sensibles, tout en maintenant la confiance de nos parties prenantes dans notre capacité à préserver la confidentialité de leurs informations.

Procédure de gestion des plaintes

Introduction

L’entreprise s'efforce de garder un environnement sain et sécuritaire pour le traitement et la conservation des renseignements personnels de ses employés. Il peut tout de même arriver qu’une de ces parties juge inadéquates certaines mesures prises à leur égard. C’est pourquoi il est important de bien cerner le cheminement et le traitement d’une plainte auprès de l’entreprise.

Objectif

La politique suivante précise comment porter plainte au sujet des pratiques de l’entreprise ou au sujet du traitement des renseignements personnels qu’elle détient. Elle précise alors comment ces plaintes sont traitées et définit les rôles et les responsabilités de l’entreprise et du plaignant.

Définition

  • Personne plaignante :

Personne physique ou morale déposant une plainte conforme à la procédure des plaintes sur les renseignements personnels.

  • Plainte :

Insatisfaction d’une personne plaignante à l’égard du traitement de ses données personnelles.

  • Renseignement personnel :

Renseignement concernant une personne physique qui permet de l’identifier directement ou indirectement. Ce renseignement peut être jugé comme « renseignement personnel sensible » si par sa nature est perçu comme « intime » ou comporte un haut degré d’attentes raisonnables en matière de vie privée

Traitement confidentiel de la plainte

Dans le cadre du traitement des plaintes, l’entreprise s’engage à respecter la confidentialité et à assurer la protection des renseignements personnels qu’elle détient tout au long du cycle de vie, de la collecte jusqu’à la destruction.

Toute plainte est traitée de façon confidentielle et seule l’information nécessaire au traitement de la plainte sera partagée.

Dépôt d’une plainte 

Dans un premier temps, la plainte doit être déposée par formulaire, soit par voie postale ou courriel auprès du responsable de la protection des renseignements personnels de l’entreprise.

Gestion de la plainte

La plainte, d’abord reçue par le responsable de la protection des renseignements personnels, sera évaluée afin de déterminer sa véracité et son bienfondé. Une plainte est dite « fondée ou admissible » si celui-ci conclut à une erreur ou un manquement en lien avec les lois et pratiques dans l’entreprise. Dans le cas contraire, une plainte sera classée non admissible et l’événement sera classé sans suite.

Dans le cas d’une plainte fondée, alors admissible, celle-ci sera acheminée au stade d’identification et d’enquête du problème afin de cerner sa nature profonde. Une réponse sera ensuite envoyée au plaignant, comprenant notamment les pistes de solutions et les compensations jugées adéquates par l’entreprise en faute. Dans le cas d’un refus de la part du plaignant, un groupe de médiation sera invité à rencontrer les deux parties.

Dans le cas d’un consensus trouvé, la solution acceptée sera mise en place par l’entreprise en faute, afin de clôturer rapidement la plainte et un rapport sera envoyé au plaignant.

Ce que constitue un groupe de médiation

Le groupe de médiation peut notamment être constitué par :

  • Le plaignant;
  • Le responsable de la protection des renseignements personnels, aussi responsable RH de l’entreprise;
  • Un avocat ou responsable juridique.

Délai de traitement de la plainte

Une plainte se doit d’être prise au sérieux. C’est pourquoi celle-ci est traitée dans un délai rapide. La loi prévaut notamment un délai normal de 30 jours suivant la réception de ladite plainte et de tous les renseignements nécessaires à son traitement. Dans le cas d’une enquête juridique, le délai peut être étendu de 30 jours supplémentaires.

Procédure de révision cyclique des pratiques de gouvernance

Parties prenantes

La révision cyclique doit englober les parties prenantes cibles. Cela peut inclure :

  • Les ressources humaines;
  • La direction;
  • D'autres parties externes.

Cette approche permet d'assurer une implication des acteurs clés, favorisant ainsi une révision complète et efficace des politiques et des processus en place.

Planification

La révision cyclique sera effectuée de façon annuelle. Cette approche garantit l'adaptation continue des politiques aux évolutions technologiques, permettant ainsi de répondre efficacement aux menaces actuelles tout en demeurant en conformité avec le cadre légal régissant le traitement des données personnelles. En maintenant un rythme de révision annuel, l'entreprise s'assure de maintenir un standard élevé dans l'industrie en matière de sécurité des données et de meilleures pratiques.

Objectif

Dans le cadre du processus de révision, les parties prenantes s'engagent à examiner attentivement les politiques, processus et procédures liées à la loi sur la protection des renseignements personnels, ainsi qu'à la sécurité des données. L'objectif principal est d'assurer la conformité avec les normes émergentes de la CAI[5] et de renforcer la sécurité et exigence liée au traitement de l'information au sein de l'entreprise et des parties externes concernées.

Action et traçabilité

Dans le cadre des révisions cycliques, l'entreprise peut être amenée à instaurer de nouvelles mesures visant à renforcer sa conformité. Ces mesures incluent notamment :

  • La mise en place de nouvelles mesures de sécurité;
  • L'élaboration de nouvelles politiques;
  • La sensibilisation et formation des employés;
  • L'ajustement des politiques existantes;
  • Des adaptations de ses composantes techniques en vigueur.

Cette démarche proactive vise à garantir que l'entreprise demeure conforme aux normes légales, réglementaires et éthiques, tout en améliorant continuellement ses pratiques pour faire face aux évolutions de l'environnement technologique. Il est donc aussi nécessaire de garder une archive des modifications effectuées.

Procédure et liste de contrôle

Remplir la colonne de droite dans la liste de contrôle ci-dessous.

Parties responsables de la révision
Spécifier la date de début de la révision
S’informer si de nouvelles obligations de conformité sont entrées en vigueur
Réviser les politiques et procédures de confidentialité
Réviser l’inventaire des données personnelles
Réviser les formulaires de consentement
Valider le bon fonctionnement du processus de destruction des données
Vérifier que tous les EFVP ont été réalisés pour tout nouveau projet ou fournisseur
Valider le besoin de formation interne
Mentionner les modifications apportées s’il y a lieu
S’assurer d’avoir une justification du changement
Communiquer les changements apportés
Archiver l’ancienne version du document
Approbation du responsable de la protection des renseignements personnels de l’entreprise
Date d’approbation
Date de fermeture de la révision

Procédure de gestion du roulement du personnel

Introduction

Le départ d’un membre du personnel peut entraîner des dommages intentionnels, accidentels ou une perte de données. Une liste de rôles et de leurs accès permet d’éviter la plupart de ces pertes.

Objectif

La politique suivante établie une liste de contrôle au sein de l’organisation pour encadrer le départ d’un membre de l’équipe.

Portée

Cette procédure inclut tous les individus qui quittent l’organisation et qui possédaient des accès physiques aux appareils et systèmes de l’organisation, ou aux comptes et différentes plateformes de l’organisation.

Procédure

  • Entrevue de départ ou mise à pied;
  • Éteindre l’ordinateur et les appareils professionnels de l’employé;
  • Désactiver l’accès de l’employé à tous les systèmes;
  • Supprimer les données professionnelles des appareils appartenant aux employé;
  • S’assurer que l’employé retourne tout équipement appartenant à l’organisation (ordinateur, portable, tablette, clé USB, etc.) ;
  • Compiler une liste de tous les emplacements où l’employé a stocké des données professionnelles, y compris les plateformes de stockage infonuagiques.

Téléphone

  • S’assurer que le numéro de téléphone de l’employé n’est pas transféré à un numéro externe, tel qu’un téléphone portable personnel;
  • Changer le mot de passe de la messagerie vocale;
  • Modifier le message vocal sortant conformément à vos directives de communication;
  • Désigner une personne pour surveiller la messagerie vocale jusqu’à ce que ce numéro de téléphone puisse être supprimé ou réaffecté.

Courriel

  • Créer une boîte courriel partagée et bloquer les accès tel que mentionné ci-bas;
  • Modifier le mot de passe du compte dans le système de courriels de l’organisation;
  • Si l’employé a utilisé un téléphone mobile personnel ou une tablette pour accéder à sa messagerie personnelle, effacer ou supprimer le compte de messagerie si ce n’est pas déjà fait;
  • Créer un message d’absence pour le compte de messagerie conformément aux directives de communication de l’organisation;
  • Supprimer l’employé des listes de diffusion de courriels internes et externes;
  • Contacter les fournisseurs avec lesquels l’employé a travaillé pour les informer du départ et leur fournir un nouveau contact;
  • Désigner quelqu’un et lui donner les accès pour surveiller le courrier électronique de l’employé. La boîte courriel restera disponible pour 30 jours, ensuite le compte sera supprimé. S’assurer de faire un suivi après la période établie.

Responsable de la protection des renseignements personnels

Pour toutes questions relatives à cette politique, la personne est invitée à communiquer par courriel, téléphone ou voie postale au responsable de la protection des renseignements personnels ci-dessous :

Nom : Jean-Philippe Marcoux
Rôle : Responsable des ressources humaines
Courriel : jpmarcoux@jitlaser.com
Téléphone : 819-367-3737 poste 101
Adresse postale : 150, rue Industrielle, St-Louis-de-Blandford, G0Z1B0

[1] Loi sur la protection des renseignements personnels dans le secteur privé

[2] Loi sur la protection des renseignements personnels et les documents électroniques

[3] Loi sur la protection des renseignements personnels dans le secteur privé

[4] Loi sur la protection des renseignements personnels et les documents électroniques

[5] Commission d’accès à l’information

Jit Laser