Dans le cadre de nos procédures de conformité en matière de protection des renseignements personnels, nous avons élaboré la présente Politique de sécurité afin de vous fournir un résumé des mesures et politiques de sécurité qu’elle prévoit ; de plus, nous exigeons de nos partenaires et employés qu’ils respectent ces normes et mettent en œuvre les mêmes mesures de sécurité lorsqu’ils travaillent avec nous.
LA PRÉSENTE POLITIQUE DE SÉCURITÉ DÉCRIT LES PRATIQUES DE SÉCURITÉ ACTUELLES DE LA SOCIÉTÉ À LA DATE DE LA « DERNIÈRE MISE À JOUR » INDIQUÉE CI-DESSUS. NOUS METTRONS RÉGULIÈREMENT CETTE POLITIQUE À JOUR, SELON LES EXIGENCES DES LOIS APPLICABLES ET DE NOS POLITIQUES INTERNES.

La base de renseignements de la Société n’est accessible qu’à un nombre minimal d’employés et de membres du personnel de la Société, et uniquement depuis les locaux de la Société. L’accès aux systèmes est restreint et repose sur des procédures visant à garantir que les autorisations appropriées sont accordées uniquement dans la mesure requise. De plus, l’accès à distance et les capacités d’informatique sans fil sont restreints et nécessitent des mesures de protection tant au niveau de l’utilisateur que du système. Les systèmes sont également protégés et seuls les employés dûment autorisés peuvent y accéder au moyen d’un mot de passe et d’un nom d’utilisateur désignés.

La Société sécurise tout accès physique à ses locaux. La Société sécurise l’accès à ses bureaux et veille à ce que seules les personnes dûment autorisées, telles que les employés, y aient accès. Tous les visiteurs et les personnes extérieures à la Société qui se rendent dans ses installations sont accompagnés en tout temps par des employés de la Société. La Société collabore avec le centre de traitement des données iWeb Web Services en tant que principal mandataire de stockage ; par conséquent, si vous souhaitez obtenir de plus amples renseignements, la Société vous recommande de consulter https://iweb.com/legal/gdpr. Lorsque les renseignements personnels sont transférés vers les serveurs concernés, ce transfert s’effectue toujours de manière sécurisée et chiffrée. De plus, la Société a conclu des ententes de traitement des renseignements personnels applicables et contraignantes avec ses fournisseurs et ses clients.

Tout accès à une base de renseignements, à un système ou à un espace de stockage est soumis à une autorisation et à une protection par mot de passe. De plus, l’accès aux renseignements personnels est restreint aux seuls employés qui ont « besoin d’en connaître » et est protégé par des mots de passe et des noms d’utilisateur. L’accès aux renseignements personnels est sécurisé et étroitement géré par des politiques de contrôle d’accès. La Société met en œuvre des mesures de sécurité de haut niveau afin de garantir que les renseignements personnels ne seront pas consultés, modifiés, copiés, utilisés, transférés ou supprimés sans autorisation expresse. La Société effectue des vérifications de tout accès à la base de renseignements, et tout accès non autorisé est immédiatement signalé et traité. Chaque employé est en mesure d’effectuer des actions uniquement selon les permissions déterminées par la Société. Chaque accès est consigné et surveillé, et tout accès non autorisé est automatiquement signalé. De plus, la Société procède à des examens continus des autorisations accordées à ses employés afin d’évaluer si l’accès est toujours nécessaire. La Société révoque immédiatement les accès lors de la cessation d’emploi. Les personnes autorisées ne peuvent accéder qu’aux renseignements personnels établis dans leur profil individuel.

La Société sensibilise et forme ses employés, prestataires de services, consultants et sous-traitants, et procède à des évaluations des risques en ce qui concerne tout traitement de renseignements personnels. Des tests de sécurité internes sont effectués sur une base régulière. L’équipe des technologies de l’information de la Société assure la sécurité de l’ensemble du matériel et des logiciels en installant des logiciels anti-logiciels malveillants sur les ordinateurs afin de se protéger contre les utilisations malveillantes et les logiciels malveillants, ainsi qu’en procédant à la détection de virus sur les points de terminaison, à l’analyse des pièces jointes aux courriels, aux analyses de conformité des systèmes, aux options de traitement des renseignements pour l’exportateur de renseignements selon le type de renseignements, à la sécurité des réseaux, ainsi qu’à l’analyse des vulnérabilités des systèmes et des applications, à l’utilisation de transferts de courriels sécurisés, etc. Il incombe à l’ensemble des membres de la Société de se conformer à ces pratiques et à ces normes.

L’objectif du contrôle des transferts est de garantir que les renseignements personnels ne peuvent être lus, copiés, modifiés ou supprimés par des parties non autorisées lors de la transmission électronique des renseignements ou durant leur transport ou leur stockage dans le centre de traitement des renseignements concerné. De plus, tout transfert de renseignements (que ce soit entre les serveurs, du côté client vers le côté serveur ou entre les partenaires désignés de la Société) est sécurisé (HTTPS) et chiffré.

Les serveurs de la Société disposent d’une procédure de sauvegarde automatisée. La Société a mis en place un plan de sauvegarde qui comprend des sauvegardes quotidiennes automatisées. Des vérifications périodiques sont effectuées afin de s’assurer que les sauvegardes ont bien été réalisées. La Société a veillé à ce que l’ensemble de ses documents, notamment, sans s’y limiter, les ententes, les politiques de confidentialité, les conditions d’utilisation en ligne, etc., soient conformes au RGPD. Notre équipe juridique a veillé à ce que notre documentation juridique soit mise à jour afin de refléter tout changement et d’inclure les dispositions obligatoires requises par le RGPD.

Les employés, clients et mandataires concernés sont tous liés par des ententes contraignantes qui incluent toutes les dispositions applicables en matière de renseignements personnels et les obligations de sécurité des renseignements. Dans le cadre du processus d’embauche, les employés font l’objet d’une vérification préalable et n’obtiennent l’accès à la base de renseignements qu’après avoir suivi une formation visant à s’assurer qu’ils sont bien informés et en mesure de traiter les renseignements personnels de manière responsable. Les employés sont tenus de se conformer à la présente Politique de sécurité, ainsi qu’aux politiques et procédures de sécurité internes, et tout manquement ou non-respect de ces exigences entraînera des mesures disciplinaires. Afin de s’assurer que les employés demeurent informés et à jour en ce qui concerne les politiques et la législation applicables, la Société organise une formation annuelle en matière de conformité, laquelle comprend une formation sur la sécurité des renseignements personnels.