Protection des renseignements personnels

La présente politique interne découle de l'application de la Loi 25 faisant obligation aux entreprises québécoises d’adopter et de mettre en œuvre une politique de protection des renseignements personnels (PRP) dans le cours normal des affaires.

1. Objectif

Services Progressifs placements en soins de santé, « SP », s’engage à assurer au meilleur de ses moyens la protection des renseignements personnels qui lui sont confiés. SP s’engage à restreindre l’accès aux données personnelles et sensibles afin d'éviter qu’elles ne soient compromises, de façon à ne pas nuire à ses employés, ses clients, ses fournisseurs ou toute personnes pour laquelle ces informations lui aurait été transmises.

Bien que le risque zéro n'existe pas, il est entendu de cette politique interne vise à réduire au maximum les risques de vols de renseignements personnels .

2. Champ d'application

2.1 Renseignements visés

La politique s'applique à tout renseignement contenant des données personnelles d'une personne physiques permettant de l'identifier, notamment les employés, clients, fournisseurs ou tierce personne. Elle s’applique à tous les serveurs, bases de données et systèmes informatiques qui traitent ces données, y compris tout appareil régulièrement utilisé pour le courrier électronique, l’accès au Web ou d’autres tâches professionnelles. Tout utilisateur qui interagit avec nos services informatiques est soumis à la présente politique.

2.2 Renseignements non-visés

La politique ne s'applique pas aux renseignements classés publiques.

3. Politique

3.1 Principes

Les renseignements personnels détenus par SP sont essentiels à ses activités courantes. De ce fait, SP reconnaît qu’ils doivent faire l’objet d’une évaluation constante, d’une utilisation appropriée et d’une protection adéquate.

3.2 Généralités

  • Chaque utilisateur doit lire la présente politique de sécurité des données et signer une déclaration stipulant qu’ils comprennent les conditions d’accès.
  • Chaque utilisateur est identifié par un ID utilisateur unique, afin que tous puissent être tenus pour responsables de leurs actions.
  • Chaque utilisateur doit respecter les mesures de sécurité mises en place sur son poste de travail et sur tout équipement contenant des données à protéger et ne pas modifier leur configuration ou les désactiver;
  • Chaque utilisateur doit signaler immédiatement au responsable des renseignements personnels tout acte dont il a connaissance, susceptible de constituer une violation réelle ou présumée des règles de sécurité ainsi que toute anomalie pouvant nuire à la protection des renseignements personnels de SP.
  • Les enregistrements des accès des utilisateurs peuvent être utilisés comme éléments probants dans le cadre d’une enquête sur incident de sécurité.
  • Les accès doivent être accordés selon le principe du moindre privilège, ce qui signifie que chaque programme et chaque utilisateur obtiendra seulement les privilèges qui lui sont nécessaires pour effectuer son travail.

3.3 Autorisation de contrôle d’accès

L’accès aux ressources et aux services informatiques de SP sera accordé par le biais d’un compte d’utilisateur unique et d’un mot de passe complexe.

3.4 Accès aux données de SP dans l'infonuagique

  • Tous les employés et fournisseurs bénéficiant d’un accès distant aux données de SP doivent être authentifiés par le mécanisme d’authentification à deux facteurs de Microsoft.
  • SP dispose d’un service de surveillance d'intelligence artificielle 24h/24h des activités suspectes sur les postes de ses utilisateurs ainsi que sur ses systèmes de conservation des données.
  • Les données de SP sont hébergées sur les serveurs de Microsoft, localisés au Canada.

3.5 Responsabilités des utilisateurs

  • Tous les utilisateurs doivent verrouiller leur écran chaque fois qu’ils quitent leur bureau, pour réduire le risque d’accès non autorisé.
  • Tous les utilisateurs doivent veiller à ne laisser aucune information sensible ou confidentielle autour de leur poste de travail.
  • Tous les utilisateurs doivent tenir leurs mots de passe confidentiels et ne pas les partager.

3.6 Accès aux applications et aux informations

  • Tous les employés et fournisseurs de SP bénéficient d’un accès aux données et aux applications nécessaires à leur fonction professionnelle.
  • Tous les employés et fournisseurs n’accèdent aux données et systèmes sensibles qu’en cas de nécessité professionnelle et avec l’accord de la direction.

3.7 Accès aux informations confidentielles et restreintes

L’accès aux données classées comme « confidentielles » ou « restreintes » est limité aux personnes autorisées dont les responsabilités professionnelles l’exigent, tel que déterminé par la Politique de sécurité des données ou la direction.

3.8 Conservations des données

SP conserve les renseignements personnels aussi longtemps que nécessaire aux fins décrites de la présente politique. Ces données seront conservées, afin de se conformer notamment à certaines obligations légales.

4. Directives techniques

Le contrôle d’accès s’applique à tous les réseaux, serveurs, postes de travail, ordinateurs portables, appareils mobiles, applications Web, sites Web, stockages Cloud et services.

5. Exigences de reddition d'incident

Des rapports d’incidents seront produits et traités par le responsable des renseignements personnels et son équipe et transmis aux autorités compétentes ainsi qu’aux personnes impliquées, le cas échéant.

Les incidents hautement prioritaires découverts seront immédiatement remontés. Le responsable des renseignements personnels et son équipe seront contactés aussi vite que possible, ainsi que les autorités compétentes et les personnes impliquées.

6. Responsabilités

La responsable de la protection des renseignements personnels :

  • Stéphane Prévost, CPA CMA, CIA CFE
  • 1474, rue Fleury Est, Bur: 220, Montréal (Québec) H2C 1S1
  • 514-335-1813, poste 237

7. Application

Tout utilisateur qui enfreint cette politique est passible de sanctions disciplinaires, pouvant aller jusqu’au licenciement. Tout partenaire surpris en infraction peut voir sa relation d'affaires suspendue.

8. Historique des révisions

Version Date de révision Auteur Description des modifications
1.0 2024-01-08 S Prévost, Responsable de la protection des renseignements personnels Version initiale