Introduction

 

La Clinique pour la justice migrante tient à protéger les renseignements personnels qu’elle recueille, utilise et communique lorsqu’elle fournit des services juridiques et exerce ses activités, conformément aux exigences de la réglementation applicable, dont les lois sur la protection des renseignements personnels, et à leurs obligations professionnelles.

 

Entre autres, les avocates de la Clinique sont tenues, selon leurs obligations professionnelles et éthiques, de préserver la nature confidentielle des renseignements qu’elles reçoivent lorsque qu’elle traite avec leurs client·es – appelés « usager·ères » dans le cadre de la prise en charge par la Clinique. L’ensemble de l’équipe prend aussi ces engagements.

 

La présente politique de protection des renseignements personnels fait état des modalités relatives à la collecte, à l’utilisation et à la communication des renseignements personnels de nos usager·ères, d’autres personnes et des utilisateur·trices de notre site Web (« vous »).

 

 

Renseignements personnels

 

L’expression « renseignements personnels » désigne les renseignements sur une personne identifiable. En règle générale, les renseignements personnels ne comprennent pas les coordonnées professionnelles que nous utilisons pour communiquer avec vous dans le cadre de votre activité professionnelle, dont votre nom, votre titre ou votre poste ou encore votre numéro de téléphone ou de télécopieur au travail.

 

 

Responsabilité, politiques et procédures de gouvernance en matière des renseignements personnels

 

Aux termes des lois sur la protection des renseignements personnels applicables, la Clinique pour la justice migrante est responsable des renseignements personnels dont elle a la possession ou le contrôle. Nous avons nommé une responsable de la protection des renseignements personnels qui est chargée de faire le suivi des questions en matière de protection des renseignements personnels de la Clinique. Pour joindre ce responsable, veuillez consulter les renseignements figurant dans la section « Contactez-nous » ci-dessous.

 

Nous tenons à protéger les renseignements personnels et nous avons établi des politiques et des procédures qui régissent la façon dont nous les traitons. Ces politiques et procédures prévoient notamment ce qui suit :

 

• La mise en œuvre de politiques et de procédures pour protéger les renseignements personnels dont nous avons la garde et le contrôle contre l’accès, l’utilisation ou la communication non autorisés;

 

• La mise en place de processus pour répondre aux demandes et aux plaintes des personnes concernées de façon rapide et efficace (voir Annexe 1)

 

• La mise en place d’un cadre pour la protection des renseignements personnels, qui définit les rôles et les obligations de nos employé·es en ce qui concerne le traitement des renseignements personnels;

 

 

 

Modalités de collecte des renseignements personnels

 

Dans la plupart des cas, nous recueillons les renseignements personnels directement auprès des personnes concernées. Nous recueillons également des renseignements personnels de façon automatique sur nos sites Web, comme il est décrit ci-dessous.

 

 

Quels renseignements personnels recueillons-nous et utilisons-nous?

 

Prestation de services juridiques : la Clinique recueille, utilise et communique des renseignements personnels principalement pour fournir des services juridiques professionnels et psychosociaux à ses usager·ères et pour les représenter, notamment pour ce qui suit :

 

• Amorcer et entretenir une relation avec un usager·ère, lui fournir des services et des conseils juridiques, remplir ses obligations juridiques (y compris les exigences relatives à la connaissance de l’usager·ère) et éviter les conflits d’intérêts;

 

• Communiquer des renseignements personnels à des tiers afin de fournir des services juridiques. Les tiers peuvent comprendre des parties adverses, des parties intéressées, des avocat·es et des conseiller·ères étranger·ères ou adverses, entre autres, des témoins, des tribunaux, des arbitres, d’autres décideur·es et des expert·es;

 

• Mettre à jour, améliorer et gérer nos systèmes d’information, tels que le transfert de fichiers, l’investigation électronique (e-discovery), la gestion des documents, du savoir et des précédents et les bases de données;

 

 

• Selon ce qui est autorisé aux termes des exigences ou des modalités juridiques ou réglementaires applicables, et s’y conformer.

 

Nous constituons un dossier de tout travail effectué et des services que nous avons fournis conformément aux exigences de la réglementation et aux normes professionnelles. Ces dossiers peuvent comprendre des renseignements personnels. Nos dossiers sont stockés de façon qu’ils soient protégés contre un accès inapproprié et non autorisé (veuillez vous reporter à la rubrique « Mesures de sécurité » ci-après).

 

Nous pourrions vous demander de mettre à jour vos renseignements personnels, vos coordonnées ou vos préférences s’il y a lieu. Les usager·ères sont prié·es de communiquer avec l’avocate responsable de leur dossier afin de mettre à jour les renseignements personnels que nous conservons dans nos dossiers.

 

Infolettres, publications, conférences : Si vous vous inscrivez pour recevoir les infolettres ou d’autres informations de la part de la Clinique, nous recueillerons vos prénom et nom de famille, votre adresse électronique, votre langue préférée, ainsi que les renseignements relatifs à l’organisme auquel vous êtes affilié·es (le cas échéant), ville, province ou État et pays afin de vous envoyer des infolettres et de l’information sur les activités. Vous pouvez vous désabonner en tout temps en cliquant sur le lien « se désabonner » figurant à la fin de chaque courriel.

 

Veuillez noter qu’il soit possible que vous continuiez à recevoir des communications liées à des services juridiques.

 

Activités : Si vous participez à l’une de nos activités, nous pourrions recueillir des coordonnées, comme vos prénom et nom de famille, le nom de l’organisme auquel vous êtes affilié·es (le cas échéant), votre adresse électronique et votre numéro de téléphone, vos restrictions alimentaires et vos exigences en matière d’accessibilité. Nous recueillons ces renseignements afin de pouvoir vous servir de manière appropriée lors de nos activités, pour vous informer d’activités, d’offres et de promotions à venir, et pour vous transmettre des informations à propos de nos services. Nous pourrions communiquer avec vous par courriel après une activité afin de vous transmettre un sondage, dont le but est d’évaluer votre satisfaction à l’égard de cette activité.

 

Candidat·es à un poste : Si vous postulez pour un emploi chez nous, nous recueillons les renseignements personnels que vous fournissez dans le cadre de votre candidature ou d’une demande connexe, comme les renseignements contenus dans un curriculum vitae, une lettre de présentation ou d’autres documents du même type liés à l’emploi. Nous utilisons ces renseignements pour traiter votre candidature aux possibilités de carrière actuelles et futures et y répondre, mener des entrevues et faciliter le processus d’intégration si vous acceptez un poste au sein de la Clinique. Avec votre consentement, nous pourrions également obtenir des renseignements personnels auprès de références d’emploi tiers ou d’anciens employeurs, ou faire une vérification des antécédents.

 

Administration de la Clinique : La Clinique pour la justice migrante utilise les informations personnelles collectées aux fins suivantes : gestion des dossiers des usager·ères, donateur·ices et partenaires ; demandes de financement et de dons ; organisation d'événements et de formations ; communication d'informations sur nos activités et nos services ; conformité aux obligations légales et réglementaires ; évaluation et amélioration de nos programmes et services.

 

 

Consentement

 

Nous obtiendrons le consentement des usager·ères pour la collecte, l’utilisation et la communication de ses renseignements personnels, et le consentement d’autres particuliers si les lois en matière de protection des renseignements personnels applicables l’exigent. Nous supposons qu’une personne a consenti à la collecte de renseignements personnels et à l’utilisation de ceux-ci, de manière raisonnable, aux fins auxquelles les renseignements ont été donnés si cette personne entre en communication avec nous ou nous fournit volontairement des renseignements personnels. Nous supposons aussi que les usager·ères qui retiennent nos services, ou que les personnes qui sont parties adverses de nos usager·ères dans des procédures ou des affaires, acceptent que nos professionnels et mandataires recueillent, utilisent et communiquent, d’une manière raisonnable, leurs renseignements personnels dans le cadre des services de représentation ou des conseils juridiques que nous fournissons à nos usager·ères et des opérations ou procédures auxquelles ils·elles sont parties. Si vous nous fournissez des renseignements personnels sur un tiers, nous comptons sur vous pour obtenir tous les consentements nécessaires pour nous permettre de recueillir, d’utiliser et de communiquer ces renseignements personnels aux fins pour lesquelles ils ont été recueillis et conformément à la présente politique de protection des renseignements personnels.

 

Nous ne recueillons, n’utilisons ou ne communiquons aucun renseignement personnel sans le consentement de la personne, sauf si cette mesure est autorisée ou requise par la loi, comme dans les cas suivants :

 

• Un·e usager·ère nous fournit des renseignements personnels sur un tiers afin que nous puissions le représenter ou lui fournir des conseils juridiques;

 

• Une ordonnance ou une assignation est délivrée ou, conformément aux règles de production applicables, un organisme de réglementation ou autre organisme ayant la compétence voulue pour exiger la production de documents exige pareille production;

 

• Lorsque les renseignements sont rendus publics au sens des lois sur la protection des renseignements personnels applicables, comme dans des annuaires professionnels et autres, dans des registres publics, des dossiers judiciaires rendus publics ou des renseignements publiés;

 

• Si nous enquêtons sur la violation d’une convention, d’un devoir juridique ou d’une loi et que l’obtention du consentement peut compromettre l’enquête ou l’exactitude des renseignements;

 

• Si nous sommes tenus de communiquer des renseignements personnels à une autorité légitime;

 

• Tel que cela peut par ailleurs être autorisé par la loi.

 

Les personnes concernées ont le droit de retirer leur consentement à tout moment, sous réserve des restrictions légales ou contractuelles et d'un préavis raisonnable. Si une personne retire son consentement, la Clinique pour la justice migrante informera cette personne des conséquences de ce retrait, notamment de l'impact sur les services et les avantages qu'elle peut recevoir de la Clinique.

 

 

Clauses de confidentialité

 

La Clinique pour la justice migrante s'engage à garantir la confidentialité de l'information reçue et traitée au sein de l'organisation. Tous les membres de l'organisation, y compris le conseil d'administration, les divers comités et l'équipe, ainsi que les fournisseurs et contractuels, sont tenus de respecter le caractère confidentiel de l'information reçue dans le cadre de leurs fonctions.

 

De plus, la Clinique pour la justice migrante s'engage à respecter la volonté de confidentialité des donateur·trices. Si ces derniers demandent que leur nom ou le montant de leur don ne soit pas rendu public, la Clinique s'assurera de préserver leur anonymat et de protéger leur identité conformément à leurs souhaits.

 

 

Communication de renseignements personnels

 

Services juridiques : Nous pourrions communiquer des renseignements personnels à des tiers afin de fournir des services juridiques dans le cadre d’une affaire en justice. Les tiers peuvent comprendre des parties adverses, des parties intéressées, des avocat·es et des conseiller·ères étranger·ères ou adverses, entre autres, des témoins, des tribunaux, des arbitres, d’autres décideur·es et des expert·es.

 

Fournisseurs de services : Nous comptons sur des sociétés affiliées et non affiliées, des mandataires et des entrepreneurs pour nous aider à fournir nos services comme :

 

• l’hébergement de nos données;

• le soutien à la facturation;

• le stockage des documents;

• le soutien logiciel;

• l’organisation de webinaires;

• l’envoi de nos communications;

• la vérification des antécédents;

• la gestion des candidatures à un poste; et

• la sécurisation des transferts de fichiers.

 

Nous donnons à nos fournisseurs de services un accès à vos renseignements personnels uniquement dans la mesure nécessaire à la prestation des services qui nous sont fournis. Nous exigeons de nos fournisseurs de services qu’ils protègent la confidentialité et la sécurité des renseignements personnels. Ils ne sont pas autorisés à les utiliser à d’autres fins.

 

Exigences juridiques :  Nous ou nos fournisseurs de services tiers pourrions communiquer des renseignements personnels dans le cadre d’un mandat de perquisition ou d’une autre demande ou ordonnance conforme à la loi, à d’autres organisations en cas d’enquête sur un manquement à une obligation contractuelle ou une infraction à une loi ou bien en cas de détection, de répression ou de prévention de fraudes, ou encore si les lois l’exigent ou le permettent (ce qui peut inclure l’accès par des autorités gouvernementales, des organismes de réglementation, des tribunaux ou des organismes chargés de l’application de la loi, canadiens, américains ou étrangers, dans les territoires où nous ou nos fournisseurs de services exerçons nos activités).

 

Protection de la sécurité de l'organisation : Les renseignements personnels peuvent être divulgués si la Clinique pour la justice migrante estime, en toute bonne foi, qu'une telle divulgation est nécessaire pour protéger ses intérêts liés à la sécurité et à la prévention des activités illégales ou nuisibles. Par exemple, si l'organisation a des raisons de croire qu'une personne a enfreint les conditions d'utilisation de ses services, elle peut divulguer les renseignements personnels de cette personne aux autorités compétentes ou à des tiers impliqués dans la résolution de cette violation.

 

Sauvegarde des intérêts vitaux d'une personne : La divulgation de renseignements personnels peut être nécessaire, en toute bonne foi, pour protéger les intérêts vitaux d'une personne.

 

Respect des obligations légales ou défense des droits légaux : La divulgation de renseignements personnels peut être nécessaire pour se conformer aux obligations légales de la Clinique ou pour faire valoir ses droits légaux.

 

Consentement préalable dans d’autres circonstances : les renseignements personnels ne seront divulgués qu'avec le consentement explicite des personnes concernées.

 

La Clinique pour la justice migrante veillera à ce que les tiers qui reçoivent des renseignements personnels respectent des pratiques de confidentialité appropriées et utilisent ces informations uniquement aux fins pour lesquelles elles ont été divulguées.

 

 

Sécurité des renseignements personnels

 

La Clinique pour la justice migrante prend des mesures de sécurité pour protéger les renseignements personnels contre la perte, le vol, l'utilisation abusive, la divulgation non autorisée et l'altération. Ces mesures incluent :

 

• Barrières physiques et techniques : protection des locaux où sont stockés les renseignements personnels, utilisation de pare-feu, logiciels antivirus et chiffrement des données.

 

• Procédures de sauvegarde et de restauration : protection contre les pertes accidentelles de renseignements personnels grâce à des systèmes de sauvegarde et de récupération des données.

 

• Gestion des accès : mise en place de procédures pour garantir que seules les personnes autorisées peuvent accéder aux renseignements personnels.

 

• Sensibilisation du personnel : sensibilisation du personnel à l'importance de la confidentialité et mise en place de politiques et procédures pour garantir la protection des renseignements personnels.

 

• Gestion des incidents : mise en place de procédures pour gérer les situations d'urgence et les incidents de sécurité.

 

• Gestion des fournisseurs : mise en place de procédures pour s'assurer que les fournisseurs ayant accès aux renseignements personnels respectent les pratiques de confidentialité appropriées.

 

• Mesures physiques : stockage sécurisé des renseignements personnels et restriction de l'accès aux zones où les renseignements personnels sont conservés.

 

La Clinique pour la justice migrante s'efforce de maintenir la sécurité des renseignements personnels à jour et d'évaluer régulièrement les risques pour la confidentialité des informations. En cas d'incident de sécurité, la Clinique prendra les mesures appropriées pour contenir l'incident, évaluer son impact et informer les personnes concernées conformément aux exigences légales applicables.

 

Il est important de noter que, bien que la Clinique pour la justice migrante s'efforce de protéger les renseignements personnels, aucune méthode de transmission ou de stockage électronique n'est totalement infaillible. Par conséquent, la Clinique ne peut garantir une sécurité absolue des renseignements personnels, mais s'engage à faire tout son possible pour en assurer la protection. Nous nous engageons à mettre à jour régulièrement ces mesures pour s'adapter aux évolutions de la technologie et des menaces de sécurité.

 

 

Renseignements relatifs à nos sites Web

 

Visite de notre site Web : En règle générale, vous pouvez consulter notre site Web sans nous transmettre votre identité ou tout autre renseignement personnel. Toutefois, nous recueillons les adresses IP (protocole Internet) de tous les utilisateurs de notre site Web et d’autres renseignements connexes comme les demandes de pages, le type de navigateur, le système d’exploitation et le temps moyen passé sur notre site Web. L’utilisation de ces renseignements nous aide à comprendre l’activité de notre site Web, à le surveiller et à l’améliorer.

 

Témoins (« Cookies ») : Notre site Web utilise une technologie appelée « témoins ». Un témoin est un tout petit élément de données que notre site Web envoie au navigateur d’un utilisateur, qui peut ensuite être stocké sur le disque dur de l’utilisateur afin que nous puissions reconnaître son ordinateur ou son appareil lorsqu’il se rend de nouveau sur notre site Web. D’autres fichiers semblables, comme les GIF invisibles, les pixels-espions ou les balises pixels, fonctionnent de la même façon, et nous utilisons le terme « témoin » dans la présente politique pour faire référence à tous les fichiers qui recueillent des renseignements de cette façon. Vous pouvez configurer votre navigateur pour refuser certains témoins ou pour qu’il vous avise lorsque vous en recevez un. Toutefois, si vous décidez de ne pas accepter les témoins de notre site Web, vous pourriez ne pas être en mesure de tirer avantage de toute sa fonctionnalité.

 

Hébergement de notre site web Wix

Notre entreprise est hébergée sur la plateforme Wix.com. Wix.com nous fournit la plateforme en ligne qui nous permet de vous annoncer nos services. Vos données peuvent être stockées par le biais du stockage de données, des bases de données et des applications générales de Wix.com. Elles stockent vos données sur des serveurs sécurisés derrière un pare-feu.

 

 

 

Liens vers des sites tiers : Notre site Web peut contenir des liens menant vers d’autres sites Web dont la Clinique n’est pas propriétaire ou exploitant. Nous fournissons des liens vers des sites Web de tiers par souci de commodité pour l’utilisateur. Ces liens ne visent pas à promouvoir ou à recommander les sites Web en question. Ces derniers ont des politiques en matière de protection des renseignements personnels, des conditions d’utilisation et des avis distincts et indépendants. Nous n’avons aucun contrôle sur ces sites Web et, par conséquent, nous ne sommes pas responsables de la façon dont les organisations qui les exploitent peuvent recueillir, utiliser, communiquer, sécuriser ou traiter les renseignements personnels. Nous vous encourageons à lire la politique de protection des renseignements personnels de chaque site Web que vous consultez.

 

 

Mesures de sécurité

 

Nous avons mis en œuvre des mesures administratives, techniques et physiques raisonnables afin de protéger les renseignements personnels dont nous avons la garde et le contrôle contre le vol et la perte ainsi que contre l’accès, l’utilisation, la modification et la communication non autorisés.

 

 

Vos choix

 

Comme nous l’avons mentionné ci-dessus, si vous vous êtes inscrit pour recevoir nos communications par courriel, vous pouvez vous désabonner en tout temps en cliquant sur le lien « se désabonner » figurant à la fin du courriel.

 

 

Vos droits

 

Vous avez le droit d’accéder à vos renseignements personnels et de les mettre à jour, ainsi que de corriger les erreurs qui s’y trouvent. Vous avez également le droit de retirer le consentement que vous avez accordé à la collecte, à l’utilisation et à la communication de renseignements personnels (sous réserve de restrictions juridiques et contractuelles). Vous pouvez également nous demander de cesser la communication de vos renseignements personnels ou de retirer vos renseignements personnels de nos répertoires.

 

Pour exercer ces droits, veuillez envoyer une demande écrite à notre responsable de la protection des renseignements personnels en utilisant les coordonnées indiquées dans la section « Contactez-nous » ci-dessous.

 

Ces demandes seront traitées sous réserve d’exceptions conformément aux lois sur la protection des renseignements personnels applicables. Parmi ces exceptions, notons les suivantes : les renseignements protégés par le privilège du secret professionnel des avocates; les renseignements obtenus dans le cadre d’un processus officiel de règlement des litiges; ou des renseignements communiqués aux services policiers ou à d’autres autorités légitimes si leur communication est interdite.

 

 

Mises à jour de la politique de protection des renseignements personnels

 

Nous pourrions mettre à jour périodiquement notre politique de protection des renseignements personnels pour tenir compte de changements apportés à nos pratiques à sujet. Nous vous encourageons à consulter régulièrement la présente page pour vous familiariser avec ces changements. La date de la dernière mise à jour sera indiquée au début de la présente politique.

 

Lien vers d’autres sites

 

Le site web de la Clinique peut contenir des liens vers d'autres sites qui ne sont pas gérés par notre Clinique. La Clinique n’est pas responsable des pratiques de confidentialité ni du contenu de ces sites. La Clinique vous encourage à lire les politiques de confidentialité de ces sites avant de leur fournir vos renseignements personnels.

 

 

Contactez-nous

 

Si vous avez des questions, des plaintes ou des commentaires au sujet de la présente politique de protection des renseignements personnels, ou concernant la façon dont nous ou nos fournisseurs de services traitons vos renseignements personnels, ou si vous souhaitez demander l’accès aux renseignements personnels que nous avons recueillis à votre sujet, veuillez communiquer avec nous à l’adresse suivante :

 

Annick Legault

Responsable de la protection des renseignements personnels
Via courrier postal : 3600 rue Bélanger, Montréal (Québec), H1X 1B1

Via courriel : a.legault@cjm-mjc.org

 

La Clinique pour la justice migrante s’engage à répondre à toutes les demandes de renseignements et à résoudre toute question ou préoccupation liée à notre politique de confidentialité dans les plus brefs délais.

 

 

Conclusion

 

La Clinique accorde une grande importance à la protection des renseignements personnels et s'engage à respecter les lois applicables en matière de confidentialité. Cette politique expose les pratiques de la Clinique en ce qui concerne la collecte, l'utilisation, la divulgation, la sécurité, l'accès et la mise à jour des renseignements personnels. Il est essentiel de garantir un traitement responsable et professionnel des informations, en accord avec les principes de confidentialité établis.

 

La présente politique de confidentialité vise à offrir une compréhension claire de la manière dont la Clinique protège et utilise les renseignements personnels. Pour toute question ou préoccupation concernant cette politique, il est possible de prendre contact avec la Clinique en utilisant les coordonnées fournies dans la section dédiée. La Clinique reste engagée dans la préservation de la confidentialité et la protection des données pour l'ensemble des personnes concernées.

 

Annexes

 

Annexe 1 : Formulation et traitement d’une plainte

 

La personne qui désire formuler une plainte doit le faire par écrit à l’adresse suivante :

 

Annick Legault

Avocate
Responsable de la protection des renseignements personnels

Clinique pour la justice migrante (CJM)
3600 Bélanger

Montréal, QC, H1X 1B1

Courriel : a.legault@cjm-mjc.org

 

La communication doit indiquer les éléments suivants :

• Nom de la personne plaignante;

• Son adresse;

• Son numéro de téléphone;

• Son courriel ou son numéro de télécopieur, le cas échéant;

• Les motifs de la plainte soumise.

 

Toute plainte est traitée de façon confidentielle. Une plainte anonyme est considérée comme non reçue.

 

La personne responsable de l’application de la présente politique a pour fonctions de :

• Recevoir la plainte;

• S’assurer de l’envoi d’un accusé de réception au plaignant-e;

• Traiter la plainte et enquêter sur les prétentions exposées par le plaignant;

• Répondre à la personne plaignante.

 

L’accusé de réception doit contenir les renseignements suivants :

• Une description de la plainte reçue, précisant le reproche fait à la CJM, le préjudice ou la mesure correctrice demandée;

• Le nom et les coordonnées du responsable du traitement de la plainte;

• Dans le cas d’une plainte incomplète, un avis comportant une demande de complément d’information à laquelle la personne plaignante doit répondre dans un délai raisonnable, à défaut de quoi la plainte est réputée abandonnée;

• La présente Politique exposant les modalités de traitement des plaintes.

 

Tout employé·e de la CJM saisi·e d’une plainte doit la transmettre, dès sa réception, à la personne responsable de l’application de la politique. Tout employé·e qui reçoit une plainte verbale doit informer la personne plaignante de la présente politique et l’inviter à faire parvenir à la CJM sa plainte par écrit.

 

La personne responsable traite la plainte en l’examinant, en rassemblant les documents pertinents à son analyse et en rédigeant la réponse à la personne plaignante ainsi que les motivations de la réponse.

 

La réception et le traitement de la plainte doivent être effectués dans les 30 jours suivant la réception de tous les renseignements nécessaires à son étude. Dans l’éventualité où une plainte ne peut être traitée dans le délai prévu, la personne plaignante doit être informée des motifs du retard et des démarches entreprises par la CJM à ce jour dans le traitement de sa plainte. Elle doit également être avisée du délai dans lequel la décision lui sera transmise.

Suivant le traitement de sa plainte, en cas de mésentente sur l’application de la Loi et de la présente Politique, la personne plaignante peut aussi signaler son insatisfaction par rapport au traitement de ses renseignements personnels par la CJM auprès de la Commission d’accès à l’information, responsable de veiller à l’application de la Loi sur la protection des renseignements personnels dans le secteur privé.

 

 

 

Annexe 2 : Procédure pour gestion d’incidents de sécurité de données

 

1. Identification de l'incident

 

Les employé·es et les membres de l'organisation doivent être attentifs à toute activité suspecte ou violation potentielle de la sécurité des données. Si un incident est détecté, il doit être signalé immédiatement au responsable de la protection des renseignements personnels.

 

2. Évaluation et catégorisation de l'incident

 

La personne responsable de la protection des renseignements personnels évaluera la gravité de l'incident en tenant compte des données concernées, de l'ampleur de l'incident et de l'impact potentiel sur les individus et l'organisation. L'incident sera catégorisé en fonction de sa gravité (mineur, modéré ou majeur).

 

3. Notification à la compagnie externe de gestion TI

 

La personne responsable de la protection des renseignements personnels informera une compagnie externe de gestion TI de l'incident et collaborera avec eux pour identifier la cause, évaluer les risques et déterminer les mesures à prendre.

 

4. Contenir et résoudre l'incident

 

La compagnie externe de gestion TI, en collaboration avec la personne responsable de la protection des renseignements personnels, mettra en œuvre des mesures pour contenir l'incident et empêcher d'autres atteintes à la sécurité des données. Les mesures correctives appropriées seront appliquées pour résoudre l'incident et rétablir la sécurité des données.

 

5. Communication et notification

 

Si l'incident est susceptible d'avoir un impact sur la vie privée des individus concernés, la personne responsable de la protection des renseignements personnels ou la personne responsable désignée par cette dernière informera ces personnes des faits, des mesures prises et des mesures de protection à leur disposition. Si nécessaire, les autorités compétentes seront également informées conformément aux exigences légales.

 

6. Analyse et prévention

 

Après la résolution de l'incident, la personne responsable de la protection des renseignements personnels, en collaboration avec la compagnie externe de gestion TI, analysera l'incident pour identifier les causes profondes et les vulnérabilités exploitées. Des mesures préventives seront mises en place pour éviter la récurrence d'incidents similaires.

 

7. Mise à jour des politiques et des procédures

 

En fonction des enseignements tirés de l'incident, la direction révisera et mettra à jour les politiques et procédures de sécurité des données pour améliorer la protection des renseignements personnels et prévenir d'autres incidents de sécurité.