Brunel Immigration

Politique de sécurité de l’information

La présente politique a été adoptée en application de la Loi 25 qui fait obligation aux entreprises d’adopter et de metre en œuvre une politique de sécurité de l’information, de la maintenir à jour et d’en assurer l’application.

1. Objectif

Le cabinet, ci-après nommé « BIA », s’engage à assurer la protection des renseignements confidentiels qui lui sont confiés.

BIA s’engage à restreindre l’accès aux données confidentielles et sensibles pour éviter qu’elles ne soient perdues ou compromises, de façon à ne pas nuire à nos clients, à nos employés, à ne pas encourir de sanctions pour non-conformité et à ne pas nuire à notre réputation. Parallèlement, nous devons faire en sorte que les utilisateurs puissent accéder aux données qui leur sont nécessaires pour travailler efficacement.

Il n’est pas attendu de cette Politique qu’elle élimine tous les vols de données. Son principal objectif est plutôt de sensibiliser les utilisateurs et d’éviter les scénarios de perte accidentelle, c’est pourquoi elle décrit les exigences de prévention des fuites de données.

2. Champ d’application

2.1 Dans le champ d’application

Cette Politique de sécurité des données s’applique à toutes les informations clients, données personnelles ou autres données de BIA qui portent sur une personne physique et permettent de l'identifier. Elle s’applique donc à tous les serveurs, bases de données et systèmes informatiques qui traitent ces données, y compris tout appareil régulièrement utilisé pour le courrier électronique, l’accès au Web ou d’autres tâches professionnelles. Tout utilisateur qui interagit avec les services informatiques de BIA est également soumis à la présente Politique.

Nous recueillons les renseignements personnels de plusieurs façons, entre autres via notre site web (cookies), nos formulaires en ligne, lorsque vous communiquez avec nous par téléphone et par courriel, ou publiez du contenu sur nos comptes de médias sociaux ainsi que suivant les mandats qui nous sont confiés. Ces renseignements incluent votre nom, prénom, adresse postale adresse courriel, numéro de téléphone et toutes autres informations nécessaires à l’accomplissement des mandats confiés.

Notre site recueille les témoins nécessaires pour l’utilisation de Google Analytics, ceux-ci incluent des statistiques publiques, l’adresse IP, la date et l’heure de connexion, l’heure et la durée de la visite, ainsi que les pages consultées. Nous utilisons ces témoins afin de compiler des données statistiques sur l’utilisation de notre site web en vue d’en améliorer l’expérience.

Les données financières sont gérées par nos fournisseurs externes, soit notre institution financière et le service sécurisé de paiement Square. Si nous devons, à votre demande, recueillir temporairement vos données de carte de crédit par téléphone afin de vous aider à compléter une transaction, ces données seront entrées dans le système de notre fournisseur Square et le support temporaire sera détruit.

2.2 Hors du champ d’application

Les informa ons classées comme publiques ne sont pas soumises à cette Politique.

Le site de BIA propose des hyperliens vers d’autres sites. Les renseignements échangés sur ces sites ne sont pas soumis à la présente Politique de confidentialité, mais à celle du site externe, s’il en existe une.

3. Politique

3.1 Principes

Les renseignements personnels détenus par BIA sont essentiels à ses activités courantes. De ce fait, le cabinet reconnaît qu’ils doivent faire l’objet d’une évaluation constante, d’une utilisation appropriée et d’une protection adéquate. Le niveau de protection dont les renseignements personnels doivent faire l’objet est établi en fonction de leur importance, de leur confidentialité et des risques d’accident, d’erreur et de malveillance auxquels ils sont exposés.

BIA fournira à tous ses employés et à ses sous-traitants l’accès aux informations dont ils ont besoin pour faire leur travail aussi efficacement que possible.

3.2 Généralités

  • a) Chaque utilisateur doit lire la présente politique de sécurité des données et signer une déclaration stipulant qu’ils comprennent les conditions d’accès.
  • b) Chaque utilisateur est identifié par un ID utilisateur unique, afin que tous puissent être tenus pour responsables de leurs actions.
  • c) Chaque utilisateur doit respecter les mesures de sécurité mises en place sur son poste de travail et sur tout équipement contenant des données à protéger et ne pas modifier leur configuration ou les désactiver ;
  • d) Chaque utilisateur doit signaler immédiatement au responsable des renseignements personnels tout acte dont il a connaissance, susceptible de constituer une violation réelle ou présumée des règles de sécurité ainsi que toute anomalie pouvant nuire à la protection des renseignements personnels de BIA.
  • e) Les enregistrements des accès des utilisateurs peuvent être utilisés comme éléments probants dans le cadre d’une enquête sur incident de sécurité.
  • f) Les accès doivent être accordés selon le principe du moindre privilège, ce qui signifie que chaque programme et chaque utilisateur obtiendra seulement les privilèges qui lui sont nécessaires pour effectuer son travail.

3.3 Autorisation de contrôle d’accès

L’accès aux ressources et aux services informatiques de BIA sera accordé par le biais d’un compte d’utilisateur unique et d’un mot de passe complexe.

3.4 Accès aux données de BIA dans le nuage informatique

  • a) Tous les employés et sous-traitants bénéficiant d’un accès distant aux données de BIA doivent être authentifiés par le mécanisme d’authentification à deux facteurs de Microsoft.
  • b) BIA dispose d’un service de surveillance 24h/24 des activités suspectes sur les postes de ses utilisateurs ainsi que sur ses systèmes de conservation des données.
  • c) Les données de BIA sont hébergées sur les serveurs de Microsoft, localisés au Canada.

3.5 Responsabilités des utilisateurs

  • a) Tous les utilisateurs doivent verrouiller leur écran chaque fois qu’ils quittent leur bureau, pour réduire le risque d’accès non autorisé
  • b) Tous les utilisateurs doivent veiller à ne laisser aucune information sensible ou confidentielle autour de leur poste de travail.
  • c) Tous les utilisateurs doivent tenir leurs mots de passe confidentiels et ne pas les partager.

3.6 Accès aux applications et aux informations

  • a) Tous les employés et sous-traitants de BIA bénéficient d’un accès aux données et aux applications nécessaires à leur fonction professionnelle.
  • b) Tous les employés et sous-traitants n’accèdent aux données et systèmes sensibles qu’en cas de nécessité professionnelle et avec l’accord de la direction.

3.7 Accès aux informations confidentielles et restreintes

L’accès aux données classées comme « confidentielles » ou « restreintes » est limité aux personnes autorisées dont les responsabilités professionnelles l’exigent, tel que déterminé par la Politique de sécurité des données ou la direction.

3.8 Conservations des données

Le cabinet conserve les renseignements personnels aussi longtemps que nécessaire aux fins décrites dans la présente Politique. Ces données personnelles seront conservées, afin de nous conformer aux obligations légales de la profession, pour un minimum de 7 ans après la finalisation d’un mandat.

4. Directives techniques

Le contrôle d’accès s’applique à tous les réseaux, serveurs, postes de travail, ordinateurs portables, appareils mobiles, applications Web, sites Web, stockages Cloud et services.

5. Exigences de rapport

  • Des rapports d’incidents seront produits et traités par le responsable des renseignements personnels et son équipe et transmis aux autorités compétentes ainsi qu’aux personnes impliquées, le cas échéant.
  • Les incidents hautement prioritaires découverts seront immédiatement remontés. Le responsable des renseignements personnels et son équipe seront contactés aussi vite que possible, ainsi que les autorités compétentes et les personnes impliquées.

6. Responsabilités

  • La responsable de la protection des renseignements personnels :
    Me Rosalie Brunel, avocate fondatrice.
    3575 boul. saint-Laurent, bur. 507, Montréal, Québec H2X 2T7
    514-316-9255, poste 0
    RP@brunelimmigration.com
  • Les utilisateurs :
    Comprennent tous ceux qui ont accès aux ressources informatiques, par exemple les employés, les entités de confiance, les sous-traitants, les consultants, les employés à l’essai et les employés temporaires.
  • L’équipe d’intervention en cas d’incident :
    Est dirigée par Me Brunel et inclut des employés de services tels que, par exemple : infrastructure informatique, sécurité des applications informatiques, juridique, financier et ressources humaines.

7. Application

Tout utilisateur qui enfreint cette politique est passible de sanctions disciplinaires, pouvant aller jusqu’au licenciement. Tout partenaire ou sous-traitant tiers surpris en infraction peut voir sa connexion au réseau suspendue.

8. Historique des révisions

Version Date de révision Auteur Description des modifications
1.0 2023-09-12 R. Brunel, Responsable de la protection des renseignements personnels Version initiale