top of page

POLITIQUE DE CONFIDENTIALITÉ

Politique de confidentialité

Procédure de conservation, de destruction et d’anonymisation des renseignements personnels

1. Aperçu

Il est important de mettre en place une procédure de conservation, de destruction et d’anonymisation des renseignements personnels afin d’assurer la protection de la vie privée des individus, de respecter les lois sur la protection des renseignements personnels, de prévenir les incidents de confidentialité et les atteintes à la sécurité, de maintenir la confiance des clients et de protéger la réputation de l’organisation.

2. Objectif

L’objectif de cette procédure est de garantir la protection de la vie privée des individus et de se conformer aux obligations légales relatives à la protection des renseignements personnels.

3. Portée

Cette procédure couvre l’ensemble du cycle de vie des renseignements personnels, de leur collecte à leur destruction. Elle s’applique à tous les employés et parties prenantes impliqués dans la collecte, le traitement, la conservation, la destruction et l’anonymisation des renseignements personnels, conformément aux exigences légales et aux meilleures pratiques en matière de protection de la vie privée.

4. Définitions

  • Renseignements personnels : Toute information permettant d’identifier, directement ou indirectement, une personne physique.

  • Conservation : Stockage sécurisé des renseignements personnels pour la durée requise.

  • Destruction : Suppression complète et définitive des renseignements personnels.

  • Anonymisation : Processus de modification des renseignements personnels afin qu’ils ne permettent plus l’identification, directe ou indirecte, des personnes concernées, de façon irréversible.

5. Procédure

5.1 Durée de conservation

  • Employés : 7 ans après la fin de l’emploi.

  • Membres : Variable selon le type de renseignements personnels.

  • Clients : Variable selon le type de renseignements personnels (voir inventaire complet).

5.2 Méthodes de conservation sécurisée

  • Stockage dans des emplacements comme One Drive, Leadfox.

  • Évaluation du niveau de sensibilité de chaque emplacement.

  • Sécurisation adéquate des supports papier ou numériques.

  • Accès réservé uniquement aux personnes autorisées.

5.3 Destruction

  • Papier : déchiquetage complet.

  • Numérique : suppression définitive des appareils, serveurs et outils infonuagiques.

  • Mise en place d’un calendrier documenté de destruction selon les périodes définies.

  • Destruction irréversible, empêchant toute récupération.

5.4 Anonymisation

  • Réalisée seulement si l’organisation souhaite conserver et utiliser les données pour des fins sérieuses et légitimes.

  • Méthodes définies après la période de conservation.

  • Vérification régulière pour prévenir tout risque de réidentification.

  • Note : à ce jour, l’anonymisation n’est pas encore encadrée par règlement gouvernemental.

5.5 Formation et sensibilisation des employés

  • Formation régulière sur la conservation, la destruction et l’anonymisation.

  • Sensibilisation aux bonnes pratiques de sécurité et aux risques liés aux brèches de confidentialité.

Dernière mise à jour : septembre 2025

Procédure de traitement des demandes d’accès et des plaintes

1. Aperçu

Les individus peuvent demander l’accès aux renseignements personnels détenus par une organisation ou déposer une plainte. Il est donc essentiel de définir des lignes directrices claires pour répondre à ces demandes.

2. Objectif

Assurer un traitement confidentiel, rapide et exact de toutes les demandes d’accès, dans le respect des droits des personnes concernées.

3. Portée

Concerne les responsables internes de la gestion des demandes d’accès et de plaintes, ainsi que les individus souhaitant accéder à leurs renseignements personnels.

4. Procédure de demande d’accès

  • Soumission : La demande écrite doit être adressée au responsable de la protection des renseignements personnels.

  • Réception : Accusé de réception dans les 30 jours.

  • Vérification de l’identité : Validation raisonnable de l’identité avant toute divulgation.

  • Demandes incomplètes ou abusives : Possibilité de refus si la demande est excessive ou injustifiée.

  • Traitement : Consultation des dossiers pertinents.

  • Examen : Vérification pour éviter toute divulgation d’informations tierces confidentielles.

  • Communication : Transmission sécurisée des renseignements.

  • Suivi et documentation : Journal détaillé des demandes, décisions et dates.

  • Confidentialité : Respect strict de la protection des données.

  • Plaintes : Information sur les recours auprès de la Commission d’accès à l’information.

Dernière mise à jour : septembre 2025

Procédure de déréférencement et de suppression des renseignements personnels

1. Aperçu

Cette procédure vise à répondre aux préoccupations des clients en matière de confidentialité et de protection de la vie privée.

2. Objectif

Mettre en place un mécanisme structuré pour gérer les demandes de suppression et de déréférencement des renseignements personnels.

3. Portée

S’applique à toute l’équipe interne chargée des demandes, couvrant toutes les données publiées sur les plateformes de l’organisation (site web, applications, bases de données, etc.).

4. Définitions

  • Suppression : Effacement complet et définitif des données.

  • Déréférencement : Retrait des moteurs de recherche, limitant la visibilité sans supprimer l’accès direct.

5. Procédure

  • Réception : Demandes reçues via formulaire, courriel dédié ou téléphone.

  • Vérification : Validation de l’identité du demandeur.

  • Évaluation : Analyse de l’admissibilité de la demande.

  • Refus : Possibles en cas d’obligations légales, litiges, ou poursuite de services.

  • Action : Suppression ou déréférencement selon la demande.

  • Communication : Suivi régulier avec accusés de réception et mises à jour.

  • Documentation : Journal détaillé de toutes les demandes et actions.

Dernière mise à jour : septembre 2025

Procédure de gestion des incidents de sécurité et atteintes aux renseignements personnels

1. Aperçu

Un plan d’intervention est essentiel pour gérer efficacement les incidents de cybersécurité et réduire les risques liés aux oublis.

2. Objectif

Garantir la capacité d’intervention rapide et la reprise des activités en cas d’incident.

3. Portée

Concerne tous les réseaux, systèmes, clients, partenaires, employés et fournisseurs ayant accès aux systèmes.

4. Reconnaissance d’un incident

Exemples d’indicateurs : connexions inhabituelles, activité anormale, apparition de réseaux non autorisés, présence de logiciels malveillants, perte ou vol d’appareils.

5. Coordonnées clés

  • Propriétaire : CB Lumiere – Claude Baril

  • Adresse : 418 Doric Drive, Beaconsfield, QC, H9W 3X1

  • Téléphone : 514-885-1551

  • Courriel : claude.baril@lumiere.cloud

6. Réponse à une atteinte aux renseignements personnels

  • Documenter l’incident.

  • Évaluer les risques de préjudice sérieux.

  • Aviser la Commission d’accès à l’information.

  • Informer les individus concernés.

7. Réponse aux rançongiciels

  • Déconnecter immédiatement les appareils touchés.

  • Ne rien supprimer.

  • Analyser l’origine de l’attaque.

  • Aviser les autorités.

  • Restaurer via sauvegardes saines.

  • Ne pas payer la rançon (sauf exceptions graves).

8. Réponse au piratage de compte

  • Aviser clients et fournisseurs.

  • Vérifier l’accès et modifier les mots de passe.

  • Activer l’authentification à deux facteurs.

  • Supprimer les connexions illégitimes.

9. Réponse à la perte ou au vol d’appareil

  • Déclaration immédiate à la police.

  • Analyse de la sensibilité des données.

  • Verrouillage ou effacement à distance si possible.

Dernière mise à jour : septembre 2025

bottom of page