Politique de sécurité de l’information
La présente politique a été adoptée en application de la Loi 25 qui fait obligation aux entreprises d’adopter et de metre en œuvre une politique de sécurité de l’information, de la maintenir à jour et d’en assurer l’application.
1. Objectif
Le cabinet, ci-après nommé « BIA », s’engage à assurer la protection des renseignements confidentiels qui lui sont confiés.
BIA s’engage à restreindre l’accès aux données confidentielles et sensibles pour éviter qu’elles ne soient perdues ou compromises, de façon à ne pas nuire à nos clients, à nos employés, à ne pas encourir de sanctions pour non-conformité et à ne pas nuire à notre réputation. Parallèlement, nous devons faire en sorte que les utilisateurs puissent accéder aux données qui leur sont nécessaires pour travailler efficacement.
Il n’est pas attendu de cette Politique qu’elle élimine tous les vols de données. Son principal objectif est plutôt de sensibiliser les utilisateurs et d’éviter les scénarios de perte accidentelle, c’est pourquoi elle décrit les exigences de prévention des fuites de données.
2. Champ d’application
2.1 Dans le champ d’application
Cette Politique de sécurité des données s’applique à toutes les informations clients, données personnelles ou autres données de BIA qui portent sur une personne physique et permettent de l'identifier. Elle s’applique donc à tous les serveurs, bases de données et systèmes informatiques qui traitent ces données, y compris tout appareil régulièrement utilisé pour le courrier électronique, l’accès au Web ou d’autres tâches professionnelles. Tout utilisateur qui interagit avec les services informatiques de BIA est également soumis à la présente Politique.
Nous recueillons les renseignements personnels de plusieurs façons, entre autres via notre site web (cookies), nos formulaires en ligne, lorsque vous communiquez avec nous par téléphone et par courriel, ou publiez du contenu sur nos comptes de médias sociaux ainsi que suivant les mandats qui nous sont confiés. Ces renseignements incluent votre nom, prénom, adresse postale adresse courriel, numéro de téléphone et toutes autres informations nécessaires à l’accomplissement des mandats confiés.
Notre site recueille les témoins nécessaires pour l’utilisation de Google Analytics, ceux-ci incluent des statistiques publiques, l’adresse IP, la date et l’heure de connexion, l’heure et la durée de la visite, ainsi que les pages consultées. Nous utilisons ces témoins afin de compiler des données statistiques sur l’utilisation de notre site web en vue d’en améliorer l’expérience.
Les données financières sont gérées par nos fournisseurs externes, soit notre institution financière et le service sécurisé de paiement Square. Si nous devons, à votre demande, recueillir temporairement vos données de carte de crédit par téléphone afin de vous aider à compléter une transaction, ces données seront entrées dans le système de notre fournisseur Square et le support temporaire sera détruit.
2.2 Hors du champ d’application
Les informa ons classées comme publiques ne sont pas soumises à cette Politique.
Le site de BIA propose des hyperliens vers d’autres sites. Les renseignements échangés sur ces sites ne sont pas soumis à la présente Politique de confidentialité, mais à celle du site externe, s’il en existe une.
3. Politique
3.1 Principes
Les renseignements personnels détenus par BIA sont essentiels à ses activités courantes. De ce fait, le cabinet reconnaît qu’ils doivent faire l’objet d’une évaluation constante, d’une utilisation appropriée et d’une protection adéquate. Le niveau de protection dont les renseignements personnels doivent faire l’objet est établi en fonction de leur importance, de leur confidentialité et des risques d’accident, d’erreur et de malveillance auxquels ils sont exposés.
BIA fournira à tous ses employés et à ses sous-traitants l’accès aux informations dont ils ont besoin pour faire leur travail aussi efficacement que possible.
3.2 Généralités
3.3 Autorisation de contrôle d’accès
L’accès aux ressources et aux services informatiques de BIA sera accordé par le biais d’un compte d’utilisateur unique et d’un mot de passe complexe.
3.4 Accès aux données de BIA dans le nuage informatique
3.5 Responsabilités des utilisateurs
3.6 Accès aux applications et aux informations
3.7 Accès aux informations confidentielles et restreintes
L’accès aux données classées comme « confidentielles » ou « restreintes » est limité aux personnes autorisées dont les responsabilités professionnelles l’exigent, tel que déterminé par la Politique de sécurité des données ou la direction.
3.8 Conservations des données
Le cabinet conserve les renseignements personnels aussi longtemps que nécessaire aux fins décrites dans la présente Politique. Ces données personnelles seront conservées, afin de nous conformer aux obligations légales de la profession, pour un minimum de 7 ans après la finalisation d’un mandat.
4. Directives techniques
Le contrôle d’accès s’applique à tous les réseaux, serveurs, postes de travail, ordinateurs portables, appareils mobiles, applications Web, sites Web, stockages Cloud et services.
5. Exigences de rapport
6. Responsabilités
7. Application
Tout utilisateur qui enfreint cette politique est passible de sanctions disciplinaires, pouvant aller jusqu’au licenciement. Tout partenaire ou sous-traitant tiers surpris en infraction peut voir sa connexion au réseau suspendue.
8. Historique des révisions
Version | Date de révision | Auteur | Description des modifications |
---|---|---|---|
1.0 | 2023-09-12 | R. Brunel, Responsable de la protection des renseignements personnels | Version initiale |