Conservation, destruction et anonymisation des renseignements personnels

 

1.1 Préambule

Zaraté + Lavigne Architectes Inc. reconnaît l’importance de se conformer à la loi 25 sur la gestion des données personnelles.

    1. Objectif

Le but de cette procédure est de garantir la protection de la vie privée des personnes et de se conformer aux obligations légales en matière de protection des renseignements personnels.

    1. Portée

La portée de cette procédure couvre l’ensemble du cycle de vie des renseignements personnels, depuis leur collecte jusqu’à leur destruction. Elle concerne tous les dirigeants, employés et parties prenantes impliquées dans la collecte, le traitement, la conservation, la destruction et l’anonymisation des renseignements personnels, conformément aux exigences légales et aux bonnes pratiques en matière de protection de la vie privée.

    1. Définitions

Anonymisation : processus de modification des renseignements personnels de manière à ne plus permettre en tout temps et de façon irréversible l’identification, directe ou indirecte, des personnes concernées.

Conservation : stockage sécurisé des renseignements personnels pendant la durée requise. Destruction : suppression, élimination ou effacement définitif des renseignements personnels. Loi 25 : aussi appelée Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé.

Renseignements personnels : toute information permettant d’identifier, directement ou indirectement, une personne physique.

Usagers : dirigeants et employés de Zaraté + Lavigne Architectes Inc.

Zaraté + Lavigne Architectes Inc. : compagnie détentrice des renseignements personnels (ci-après Zaraté

+ Lavigne).

1.5 Procédures

      1. Durée de conservation
        1. Les renseignements personnels ont été catégorisés de la façon suivante :
          • Renseignements concernant les membres du conseil d’administration ;
          • Renseignements concernant les usagers ;
        2. La durée de conservation pour chacune de ces catégories a été établie de la façon suivante :
          • Membres du C.A. : 7 ans après la fin du mandat ;
          • Usagers : 1 mois après la fin du lien d’emploi ;
      2. Méthodes de stockage sécurisé
        1. Les renseignements personnels se trouvent dans la base de données CrashPlanPro.
        2. Ce lieu de stockage numérique est adéquatement sécurisé.
        3. L’accès à ce lieu de stockage a été restreint aux seules personnes autorisées.
      1. Destruction des renseignements personnels
        1. Pour les renseignements personnels sur papier, ils devront être totalement déchiquetés.
        2. Pour les renseignements personnels numériques, ils devront être totalement supprimés des appareils (ordinateurs, téléphones, tablettes, disques durs externes), des serveurs et des outils infonuagiques.
        3. Un calendrier de destruction en fonction de la durée de conservation établie pour chaque catégorie de renseignements personnels est mis sur pieds et tenu à jour. Il est impératif de documenter les dates de destruction prévues.
        4. ZARATÉ + LAVIGNE s’assure que les renseignements personnels ne puissent pas être récupérés ou reconstitués.
      1. Anonymisation des renseignements personnels
        1. L’anonymisation des renseignements personnels ne se ferait que si Zaraté + Lavigne souhaitait les conserver et les utiliser à des fins sérieuses et légitimes. Actuellement, Zaraté + Lavigne n’envisage pas de conserver desrenseignements personnels.
        1. Dans l’éventualité peu probable que Zaraté + Lavigne déciderait de conserver des renseignements personnels, une méthode d’anonymisation desdits renseignements devrait alors être définie et mise en place.
        2. Le cas échéant, Zaraté + Lavigne s’assurerait que l’information restante ne permette plus de façon irréversible l’identification directe ou indirecte des individus concernés et s’assurerait d’évaluer régulièrement le risque de réidentification des données anonymisées en effectuant des tests et des analyses pour garantir leur efficacité.
      1. Formation et sensibilisation du personnel

ZARATÉ + LAVIGNE doit s’assurer de fournir une formation régulière aux parties prenantes sur la procédure de conservation, de destruction et d’anonymisation des renseignements personnels, ainsi que sur les risques liés à la violation de la vie privée, incluant également la sensibilisation du personnel aux bonnes pratiques de sécurité des données et à l’importance du respect des procédures établies.

Demande d’accès aux renseignements personnels et traitement des plaintes

    1. Préambule

Puisqu’une personne peut demander à accéder aux renseignements personnels qu’une organisation détient sur elle, ou pourrait également formuler une plainte, voici les balises prédéfinies pour répondre à ce type de demande.

    1. Objectif

Le but de cette procédure est de garantir que toutes les demandes d’accès sont traitées de manière confidentielle, rapide et précise, tout en respectant les droits des individus concernés.

    1. Portée

La portée de cette procédure concerne la personne responsable du traitement des demandes d’accès et du traitement des plaintes, ainsi que les individus souhaitant accéder à leurs propres renseignements personnels.

Zaraté + Lavigne Architectes Inc.  Politique de gestion des données personnelles V1

Page 4 de 10

2.4 Procédure de demande d’accès

1. Soumission de la demande

L’individu qui souhaite accéder à ses renseignements personnels doit soumettre une demande écrite au responsable désigné pour Zaraté + Lavigne de la protection des renseignements personnels de l’organisation. La demande peut être envoyée par courriel à info@zaratelavigne.com ou par courrier postal.

La demande doit clairement indiquer qu’il s’agit d’une demande d’accès aux renseignements personnels, et fournir des informations suffisantes pour identifier l’individu et les renseignements recherchés.

Ces informations peuvent inclure le nom, l’adresse ainsi que toute autre information pertinente pour identifier de manière fiable l’individu qui effectue la demande.

  1. Réception de la demande

Une fois la demande reçue, un accusé de réception est envoyé à l’individu pour confirmer que sa demande a été prise en compte.

  1. Délai de traitement

La demande devra être traitée dans les trente (30) jours suivant sa réception.

  1. Vérification de l’identité

Avant de traiter la demande, l’identité de l’individu doit être vérifiée de manière raisonnable. Cela peut être fait en demandant des informations supplémentaires ou en vérifiant l’identité de l’individu en personne. Si l’identité ne peut pas être vérifiée de manière satisfaisante, Zaraté + Lavigne se réserve le droit de refuser de divulguer les renseignements personnels demandés.

  1. Réponse aux demandes incomplètes ou excessives

Si une demande d’accès aux renseignements personnels est incomplète ou excessive, le responsable désigné communique avec l’individu pour demander des informations supplémentaires ou clarifications. ZARATÉ + LAVIGNE se réserve le droit de refuser une demande si elle est manifestement abusive, excessive ou non justifiée.

  1. Traitement de la demande

Une fois l’identité vérifiée, le responsable de la protection des renseignements personnels procède à la collecte des renseignements demandés en veillant à respecter les restrictions légales éventuelles.

  1. Examen des renseignements

Avant de communiquer les renseignements personnels à l’individu, le responsable examine attentivement les informations pour s’assurer qu’elles ne contiennent pas de renseignements tiers confidentiels ou susceptibles de porter atteinte à d’autres droits.

Si des renseignements de tiers sont présents, le responsable évalue s’ils peuvent être dissociés ou s’ils doivent être exclus de la divulgation.

Zaraté + Lavigne Architectes Inc.  Politique de gestion des données personnelles V1

Page 5 de 10

  1. Communication des renseignements

Une fois les vérifications terminées, les renseignements personnels sont communiqués à l’individu dans un délai raisonnable, conformément aux exigences légales en vigueur.

Les renseignements personnels peuvent être communiqués à l’individu par voie électronique, par courrier postal sécurisé ou en personne, selon les préférences de l’individu et les mesures de sécurité appropriées.

  1. Suivi et documentation

Toutes les étapes du processus de traitement de la demande d’accès aux renseignements personnels doivent être consignées de manière précise et complète.

Registre de suivi des demandes d’accès.

Les détails de la demande, les actions entreprises, les décisions prises et les dates correspondantes doivent être enregistrés dans un registre de suivi des demandes d’accès.

    • Date de réception de la demande ;
    • Date de l’accusé de réception ;
    • Date de la vérification de l’identité ;
    • Méthode de vérification de l’identité ;
    • Décision demande d’accès acceptée ou refusée ;
    • Date de la communication des renseignements (si applicable).
  1. Protection de la confidentialité

Toute personne impliquée dans le traitement des demandes d’accès aux renseignements personnels doit respecter la confidentialité et la protection des données.

  1. Gestion des plaintes et des recours

Les plaintes doivent être traitées conformément aux politiques et procédures internes en matière de gestion des plaintes. Si un individu est insatisfait de la réponse à sa demande d’accès aux renseignements personnels, il doit être informé des procédures de réclamation et des recours disponibles devant la Commission d’accès à l’information.

2.5 Procédure de traitement des plaintes

  1. Réception des plaintes

Les plaintes peuvent être déposées par écrit, par téléphone, par courrier électronique ou via tout autre canal de communication officiel. Elles doivent être enregistrées dans un registre centralisé, accessible uniquement au personnel désigné.

  1. Évaluation préliminaire

Le responsable désigné examine chaque plainte pour évaluer sa pertinence et sa gravité.

Les plaintes frivoles, diffamatoires ou sans fondement évident peuvent être rejetées. Toutefois, une justification doit être fournie au plaignant.

  1. Enquête et analyse

Le responsable désigné mène une enquête approfondie en collectant des preuves, en interrogeant les parties concernées et en recueillant tous les documents pertinents.

Le responsable doit être impartial et avoir l’autorité nécessaire pour résoudre la plainte.

Le responsable doit maintenir la confidentialité des informations liées à la plainte et veiller à ce que toutes les parties impliquées soient traitées équitablement.

Zaraté + Lavigne Architectes Inc.  Politique de gestion des données personnelles V1

Page 6 de 10

  1. Résolution de la plainte

Le responsable désigné propose des solutions appropriées pour résoudre la plainte dans les meilleurs délais. Les solutions peuvent inclure des mesures correctives, des compensations financières ou toute autre action nécessaire pour résoudre la plainte de manière satisfaisante.

  1. Communication avec le plaignant

Le responsable désigné communique régulièrement avec le plaignant pour le tenir informé de l’avancement de l’enquête et de la résolution de la plainte. Toutes les communications doivent être professionnelles, empathiques et respectueuses.

  1. Clôture de la plainte

Une fois la plainte résolue, le responsable désigné doit fournir une réponse écrite au plaignant, résumant les mesures prises et les solutions proposées. Toutes les informations et documents relatifs à la plainte doivent être conservés dans un dossier confidentiel.

Demande de suppression des renseignements personnels

    1. Préambule

Cette procédure vise à répondre aux craintes et aux préoccupations de confidentialité et de protection des renseignements personnels des usagers.

    1. Objectif

Le but de cette procédure est de fournir un mécanisme structuré pour gérer les demandes de désindexation et de suppression des renseignements personnels émanant des usagers.

    1. Portée

Cette procédure s’applique au responsable désigné en charge de la gestion des demandes de désindexation et de suppression des renseignements personnels. Elle couvre toutes les informations publiées sur nos plateformes en ligne, y compris notre site web, nos applications mobiles, nos bases de données ou tout autre support numérique utilisé par les usagers le cas échéant.

    1. Définitions
  • Suppression des renseignements personnels : action d’effacer complètement les données, les rendant indisponibles et irrécupérables.
  • Désindexation des renseignements personnels : retrait des informations des moteurs de recherche, les rendant moins visibles, mais toujours accessibles directement.

La suppression élimine définitivement les données, tandis que la désindexation limite leur visibilité en ligne.

3.5 Procédure

1. Réception des demandes

Les demandes de désindexation et de suppression des renseignements personnels doivent être adressées au responsable désigné. Les personnes peuvent soumettre leurs demandes par le biais de l’adresse courriel info@zaratelavigne.com ou par téléphone.

Zaraté + Lavigne Architectes Inc.  Politique de gestion des données personnelles V1

Page 7 de 10

  1. Vérification de l’identité

Avant de traiter la demande, l’identité de l’individu doit être vérifiée de manière raisonnable, en demandant des informations supplémentaires ou en vérifiant l’identité de l’individu en personne. Si l’identité ne peut pas être vérifiée de manière satisfaisante, ZARATÉ + LAVIGNE se réserve le droit de refuser de donner suite à la demande.

  1. Évaluation des demandes

Le responsable désigné doit examiner attentivement les demandes et les renseignements personnels concernés pour déterminer leur admissibilité à la désindexation ou à la suppression. Les demandes doivent être traitées de manière confidentielle et dans le respect des délais prévus.

  1. Motifs de refus

Voici les raisons pour lesquelles ZARATÉ + LAVIGNE pourrait refuser de supprimer ou de désindexer des renseignements personnels :

    • Pour continuer à fournir des biens et des services à l’usager ;
    • Pour des raisons d’exigence du droit du travail ;
    • Pour des raisons juridiques en cas de litige.
  1. Désindexation ou suppression des renseignements personnels

Le responsable désigné doit prendre les mesures nécessaires pour désindexer ou supprimer les renseignements personnels conformément aux demandes admissibles.

  1. Communication du suivi

Le responsable désigné est chargée de communiquer avec les demandeurs tout au long du processus, en fournissant des confirmations d’accusé de réception et des mises à jour régulières sur l’état d’avancement de leur demande. Tout retard ou problème rencontré lors du traitement des demandes doit être communiqué aux demandeurs avec des explications claires.

  1. Suivi et documentation

Toutes les demandes de désindexation et de suppression des renseignements personnels, ainsi que les actions entreprises pour y répondre, doivent être consignées dans un système de suivi dédié. Les enregistrements doivent inclure les détails des demandes, les mesures prises, les dates et les résultats des actions effectuées.

Gestion des incidents de sécurité

    1. Préambule

Un plan d’intervention est essentiel pour gérer des cyberincidents de manière efficace. Dans ces moments de crise, on ne sait pas toujours comment agir et prioriser les actions. Le plan d’intervention vient réduire la possibilité d’oublier des aspects importants.

    1. Objectif

Le but de cette procédure est de s’assurer que ZARATÉ + LAVIGNE est prêt à intervenir en cas de cyberincident de manière à pouvoir reprendre rapidement ses activités.

Zaraté + Lavigne Architectes Inc.  Politique de gestion des données personnelles V1

Page 8 de 10

    1. Portée

La portée de cette procédure inclut tous les réseaux et systèmes, ainsi que les parties prenantes (usagers, dirigeants et employés) qui accèdent à ces systèmes.

    1. Reconnaître un cyberincident

ZARATÉ + LAVIGNE doit être à l’affût de tout signe indiquant qu’un incident de sécurité s’est produit ou est

en cours :

      • Activité excessive ou inhabituelle de la connexion et du système, notamment à partir de tout identifiant d’utilisateur (compte d’utilisateur) inactif.
      • Accès distant excessif ou inhabituel. Cela peut concerner le personnel ou des fournisseurs tiers.
      • L’apparition de tout nouveau réseau sans fil (Wi-Fi) visible ou accessible.
      • Une activité inhabituelle liée à la présence de logiciels malveillants, de fichiers suspects ou de fichiers et programmes exécutables nouveaux ou non approuvés.
      • Ordinateurs ou appareils perdus, volés ou égarés qui contiennent des données de cartes de paiement, renseignements personnels ou d’autres données sensibles.
    1. Personne responsable de l’application de la politique

ZARATÉ + LAVIGNE désigne une personne responsable de l’application de la politique et de la gestion des incidents par résolution de son Conseil d’administration. La personne est désignée pour une période de (2) ans et fait rapport périodiquement de ses activités au Conseil d’administration.

    1. Atteinte à la protection des renseignements personnels Intervention spécifique

Dans le cas un incident de sécurité est confirmé, il faudra effectuer les étapes suivantes :

      • Compléter le registre d’incidents de confidentialité pour documenter l’incident :

Loi 25_Registre_incidents_confidentialité.xlsx

      • Examiner l’atteinte à la protection des renseignements personnels pour déterminer si des renseignements personnels ont été perdus en raison d’un accès ou utilisation non autorisé, d’une divulgation non autorisée ou de toute atteinte à la protection de ces renseignements personnels et qu’il existe un risque de préjudice sérieux pour les personnes concernées. Dans un tel cas, le signaler à la Commission de l’accès à l’information du Québec ainsi qu’aux personnes dont les renseignements personnels sont visés par l’incident.
    2. Rançongiciel – Intervention spécifique

Dans le cas un incident de sécurité de rançongiciel s’est produit, il faudra effectuer les étapes suivantes :

      • Déconnecter immédiatement du réseau les appareils visés par un rançongiciel.
      • Ne RIEN EFFACER sur des appareils (ordinateurs, serveurs, etc.).
      • Examiner le rançongiciel et déterminer comment il a infecté l’appareil pour aider à

comprendre comment l’éliminer.

      • Communiquer avec les autorités locales pour signaler l’incident et coopérer à l’enquête.

Une fois le rançongiciel supprimé, une analyse complète du système doit être effectuée à l’aide d’un antivirus, d’un anti-maliciel et de tout autre logiciel de sécurité le plus récent disponible afin de confirmer qu’il a été supprimé de l’appareil.

Si le rançongiciel ne peut pas être supprimé de l’appareil, il doit être réinitialisé au moyen des supports ou des images d’installation d’origine.

Zaraté + Lavigne Architectes Inc.  Politique de gestion des données personnelles V1

Page 9 de 10

Zaraté + Lavigne Architectes Inc.  Politique de gestion des données personnelles V1

Page 10 de 10

Si les données sont critiques et doivent être restaurées, mais ne peuvent être récupérées à partir de

sauvegardes non affectées, rechercher les outils de déchiffrement disponibles sur nomoreransom.org.

La politique est de ne pas payer la rançon, sous réserve des enjeux en cause. ZARATÉ + LAVIGNE devra faire appel aux services d’un expert en cyberattaques qui saura protéger les systèmes pour éviter toute nouvelle infection en mettant en œuvre des correctifs ou des rustines Programme destiné à corriger les défauts d’un logiciel, d’une application pour empêcher toute nouvelle attaque.

4.8 Piratage de compte – Intervention spécifique

Dans le cas un piratage de compte s’est produit, il faudra effectuer les étapes suivantes :

  • Aviser nos usagers et partenaires avec qui nous travaillons qu’ils pourraient recevoir des courriels frauduleux la part de Zaraté + Lavigne, et spécifier de ne pas répondre ou cliquer sur les liens de ces courriels.
  • Vérifier si on a encore accès au compte en ligne. Sinon, communiquer avec le support de

la plateforme pour tenter de récupérer l’accès.

  • Changer le mot de passe utilisé pour se connecter à la plateforme.
  • Si le mot de passe est réutilisé ailleurs, changer également tous ces mots de passe.
  • Activer le double facteur d’authentification pour la plateforme.
  • Supprimer les connexions et les appareils non légitimes de l’historique de connexion.

4.9 Perte ou vol d’un appareil – Intervention spécifique

Dans le cas une perte d’équipement s’est produite, il faudra effectuer les étapes suivantes :

  • Le vol ou la perte d’un bien, tel qu’un ordinateur, un ordinateur portatif ou un appareil mobile, doit être signalé immédiatement aux autorités policières locales. Cela inclut les pertes/vols en dehors des heures d’ouverture normale et pendant les week-ends.
  • Si l’appareil perdu ou volé contenait des données sensibles et qu’il n’est pas crypté, effectuer une analyse de sensibilité, du type et du volume des données volées, y compris les numéros de cartes de paiement potentiellement concernés.
  • Dans la mesure du possible, verrouiller/désactiver les appareils mobiles perdus ou volés (p. ex. : téléphones intelligents, tablettes, ordinateurs portatifs, etc.) et procéder à un effacement des données à distance.

Fin de la Politique de gestion des données personnelles