Politique de gestion des données personnelles

Les données personnelles enregistrées sur le site sont confidentielles et ne seront en aucun cas communiquées à quelque tiers que ce soit.

Si un jour une collaboration avec une entité externe devait être envisagée, un accord serait au préalable demandé à la personne détentrice des données concernées.

Objectif

L’entreprise doit restreindre l’accès aux données confidentielles et sensibles pour éviter qu’elles ne soient perdues ou compromises, de façon à ne pas nuire à nos clients, à ne pas encourir de sanctions pour non-conformité et à ne pas nuire à notre réputation. Parallèlement, nous devons faire en sorte que les utilisateurs puissent accéder aux données qui leur sont nécessaires pour travailler efficacement.

Il n’est pas attendu de cette politique qu’elle élimine tous les vols de données. Son principal objectif est plutôt de sensibiliser les utilisateurs et d’éviter les scénarios de perte accidentelle, c’est pourquoi elle décrit les exigences de prévention des fuites de données.

Champ d'application

Dans le champ d'application

Cette politique de sécurité des données s’applique à toutes les données clients, données personnelles ou autres données de l’entreprise définies comme sensibles par la politique de classification des données de l’entreprise. Elle s’applique donc à tous les serveurs, bases de données et systèmes informatiques qui traitent ces données, y compris tout appareil régulièrement utilisé pour le courrier électronique, l’accès au Web ou d’autres tâches professionnelles. Tout utilisateur qui interagit avec les services informatiques de l’entreprise est également soumis à cette politique.

Hors du champ d'application

Les informations classées comme publiques ne sont pas soumises à cette politique. 

Politique

Principes

L’entreprise fournira à tous ses employés et à ses sous-traitants l’accès aux informations dont ils ont besoin pour faire leur travail aussi efficacement que possible.

Généralités

  1. Chaque utilisateur sera identifié par un ID utilisateur unique, afin que tous puissent être tenus pour responsables de leurs actions.
  2. L’utilisation des identités partagées n’est autorisée que là où elle sont appropriées, par exemple pour les comptes de formation ou les comptes de service. 
  3. Chaque utilisateur doit lire la présente politique de sécurité des données, ainsi que les directives de connexion et de déconnexion, et signer une déclaration stipulant qu’ils comprennent les conditions d’accès.
  4. Les enregistrements des accès des utilisateurs peuvent être utilisés comme éléments probants dans le cadre d’une enquête sur incident de sécurité.
  5. Les accès doivent être accordés selon le principe du moindre privilège, ce qui signifie que chaque programme et chaque utilisateur obtiendra seulement les privilèges qui lui sont nécessaires pour effectuer son travail.

Autorisation de contrôle d'accès

L’accès aux ressources et aux services informatiques de l’entreprise sera accordé par le biais d’un compte d’utilisateur unique et d’un mot de passe complexe.

Les mots de passe sont gérés par le centre d’assistance informatique. Les exigences relatives à la longueur, à la complexité et à l’expiration des mots de passe sont indiquées dans la politique des mots de passe de l’entreprise. 

Le contrôle d’accès basé sur les rôles sert à sécuriser les accès à toutes les ressources.

Accès aux réseaux

Un accès aux réseaux doit être accordé à tous les employés et sous-traitants, selon les procédures de contrôle d’accès de l’entreprise et le principe du moindre privilège.

Responsabilités des utilisateurs

Tous les utilisateurs doivent verrouiller leur écran chaque fois qu’ils quittent leur bureau, pour réduire le risque d’accès non autorisé et veiller à ne laisser aucune information sensible ou confidentielle autour de leur poste de travail.

Tous les utilisateurs doivent tenir leurs mots de passe confidentiels et ne pas les partager.

Accès aux informations confidentielles et restreintes

L’accès aux données classées comme « confidentielles » ou « restreintes » doit être limité aux personnes autorisées dont les responsabilités professionnelles l’exigent, tel que déterminé par la Politique de sécurité des données ou la direction.