POLITIQUE DE GOUVERNANCE EN MATIÈRE DE
PROTECTION DES RENSEIGNEMENTS PERSONNELS

AWASTOKI S.E.N.C.

Date de dernière mise à jour : 20 septembre 2023

 1. objectifs

1.1 – Cette politique de gouvernance en matière de protection des renseignements personnels décrit la manière dont Awastoki S.E.N.C. (collectivement : « Awastoki », « nous », « nos » ou « notre ») veille à ce que vos renseignements personnels soient gérés et protégés correctement.

1.2 – Chez Awastoki, la protection de vos renseignements personnels est notre priorité. Afin de répondre à vos attentes, nous prenons les mesures nécessaires pour protéger les renseignements personnels, gérer correctement les données et assurer la responsabilité de nos employés à l’égard de la protection des renseignements personnels.

1.3 – La protection des renseignements personnels signifie la protection et la gestion efficaces des renseignements personnels par la détermination, l’évaluation, la surveillance et l’atténuation des risques pour la protection des renseignements personnels dans les services et les activités de Awastoki qui comportent la collecte, la conservation, l’utilisation, la divulgation et la destruction de renseignements personnels.

1.4 – La politique de gouvernance en matière de protection des renseignements personnels (ci-après appelé le « Cadre de gouvernance » ou le « Cadre ») a pour objet d’articuler notre vision, notre objectif et notre engagement à l’égard de la protection des renseignements personnels, y compris le traitement et la protection des renseignements personnels, afin que la vie privée de nos clients soit respectée. Le Cadre est conçu comme document de référence pour les visiteurs de notre site Web et nos clients (collectivement : les « Clients », « vous », « vos » ou « vôtre »).

1.5 – Le présent Cadre de gouvernance ne s’applique pas à un renseignement personnel qui a un caractère public en vertu de la loi.

2. définitions

2.1 – Nous définissons certains termes comme suit :

      • Anonymisation : Un renseignement concernant une personne est anonymisé lorsqu’il est raisonnable de conclure qu’il ne permet plus d’identifier directement ou indirectement cette personne.
      • Désindexation des renseignements personnels : Le retrait des informations pour les rendre moins visibles, mais toujours accessibles directement.
      • Gouvernance de la protection des renseignements personnels : il s’agit de l’ensemble des activités de Awastoki pour recueillir, utiliser et divulguer des renseignements personnels en conformité avec la loi et les directives réglementaires; protéger les renseignements personnels et gérer les risques liés au traitement de ces renseignements.
      • Incident de confidentialité : Constitue un incident de confidentialité :a) L’accès non autorisé à un renseignement personnel;
        b) L’utilisation non autorisée d’un renseignement personnel;
        c) La communication non autorisée d’un renseignement personnel;
        d) La perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
      • Renseignements personnels (cette définition est précisée dans la Loi sur la protection des renseignements personnels): il s’agit des renseignements, quels que soient leur forme et leur support, concernant un individu identifiable, notamment :
        a) les renseignements relatifs à sa race, à son origine nationale ou ethnique, à sa couleur, à sa religion, à son âge ou à sa situation de famille;
        b) les renseignements relatifs à son éducation, à son dossier médical, à son casier judiciaire, à ses antécédents professionnels ou à des opérations financières auxquelles il a participé;
        c) tout numéro ou symbole, ou toute autre indication identificatrice, qui lui est propre;
        d) son adresse, ses empreintes digitales ou son groupe sanguin;
        e) ses opinions ou ses idées personnelles, à l’exclusion de celles qui portent sur un autre individu ou sur une proposition de subvention, de récompense ou de prix à octroyer à un autre individu par une institution fédérale, ou subdivision de celle-ci visée par règlement;
        f) toute correspondance de nature, implicitement ou explicitement, privée ou confidentielle envoyée par lui à une institution fédérale, ainsi que les réponses de l’institution dans la mesure où elles révèlent le contenu de la correspondance de l’expéditeur;
        g) les idées ou opinions d’autrui sur lui;
        h) les idées ou opinions d’un autre individu qui portent sur une proposition de subvention, de récompense ou de prix à lui octroyer par une institution, ou subdivision de celle-ci, visée à l’alinéa e), à l’exclusion du nom de cet autre individu si ce nom est mentionné avec les idées ou opinions;
        i) son nom lorsque celui-ci est mentionné avec d’autres renseignements personnels le concernant ou lorsque la seule divulgation du nom révélerait des renseignements à son sujet;
      • Tiers : Toute personne physique ou morale externe à Awastoki, qui ne fait pas partie de notre organisation ou des membres de notre personnel. Le tiers peut inclure les fournisseurs, les distributeurs, les sous-traitants, les autres contractants, les partenaires, les consultants, les autres organismes externes, etc.

 coordonnées de la personne responsable de la protection des renseignements personnels

3.1 – La personne responsable de la protection des renseignements personnels est Caroline Fournier, associée. Elle peut être contactée par téléphone au 418-952-7656 ou par courriel au : info@awastoki.com.

3.2 – Cette personne est notamment responsable de :

      • 3.2.1 – Recevoir et traiter les demandes d’accès et de rectification en respect de la protection des renseignements personnels et de la confidentialité;
      • 3.2.2 – Traiter les incidents de confidentialité;
      • 3.2.3 – Recevoir les plaintes qui mettent en cause la protection des renseignements personnels et les traiter;
      • 3.2.4 – Tenir à jour le registre des incidents de confidentialités;
      • 3.2.5 – Tenir à jour la liste de classement des documents de manière à en permettre le repérage et l’inventaire des fichiers de renseignements personnels.

3.3 – Il est possible de communiquer avec la personne responsable de la protection des renseignements personnels pour toute question en lien avec l’application du présent Cadre de gouvernance en matière de protection des renseignements personnels.

 4. collecte de renseignements confidentiels

4.1 – Awastoki collecte des renseignements personnels notamment auprès des clients, des visiteurs de son site Web, des sous-traitants et de son personnel.

4.2 – De façon générale, Awastoki collecte les renseignements personnels directement auprès de la personne concernée et avec son consentement, sauf si une exception est prévue par la loi.

4.3 – Le consentement peut être obtenu de façon implicite dans certaines situations, par exemple, lorsque la personne décide de fournir volontairement ses renseignements personnels dans le cadre volontaire des activités de Awastoki, tels que lors d’une embauche ou lors de l’ouverture du dossier du client.

4.4 – Dans tous les cas, nous ne collectons des renseignements personnels que si nous avons une raison valable de le faire. De plus, la collecte ne sera limitée qu’aux renseignements nécessaires dont nous avons besoin pour remplir l’objectif visé.

4.5 – À moins d’une exception prévue par la loi, nous demanderons le consentement de la personne concernée avant de collecter des renseignements personnels qui la concernent auprès d’un tiers.

4.6 – Considérant que nous pouvons également collecter des renseignements personnels par un moyen technologique, nous nous sommes dotés d’une Politique de confidentialité disponible ICI

 5. informations communiquées lors de la collecte de renseignements personnels

5.1 – Lorsque nous recueillons des renseignements personnels, nous nous assurons d’informer la personne concernée, au plus tard au moment de la collecte :

      • Des fins auxquelles ces renseignements sont recueillis;
      • Des moyens par lesquels les renseignements sont recueillis;
      • Du caractère obligatoire ou facultatif de la demande;
      • Des conséquences d’un refus de répondre ou de consentir à la demande;
      • Des droits d’accès et de rectification prévus par la loi;
      • De la possibilité que les renseignements personnels soient communiqués à des tiers, le cas échéant;
      • Sur demande, la personne concernée est également informée des renseignements personnels recueillis auprès d’elle, des catégories de personnes qui y ont accès au sein de Awastoki et de la durée de conservation de ces renseignements.

 6. utilisation des renseignements personnels

6.1 – Awastoki s’engage à utiliser les renseignements personnels en sa possession uniquement aux fins pour lesquelles ils ont été recueillis et pour lesquels la loi l’autorise à les utiliser. Il peut toutefois les recueillir, les utiliser ou les divulguer sans le consentement de la personne visée lorsque cela est permis ou exigé par la loi.

6.2 –Dans certaines circonstances particulières, Awastoki peut recueillir, utiliser ou divulguer des renseignements personnels sans que la personne concernée en soit informée ou qu’elle ait donné son consentement. De telles circonstances sont réunies notamment lorsque, pour des raisons juridiques, médicales ou de sécurité, il est impossible ou peu probable d’obtenir son consentement, lorsque cette utilisation est manifestement au bénéfice de cette personne, lorsque cela est nécessaire pour prévenir ou détecter une fraude ou pour tous autres motifs sérieux.

6.3 – Awastoki limite l’accès des membres du personnel aux seuls renseignements personnels et connaissances de nature personnelle qui sont nécessaires à l’exercice de leur fonction.

 7. PRINCIPES DIRECTEURS de la protection des renseignements personnels

7.1 – Nos principes directeurs en matière de protection des renseignements personnels sont les suivants :

      • 7.1.1 – Nous valorisons et respectons les données des Clients en notre possession et nous permettons à nos Clients de bien comprendre comment elles sont utilisées et à quelles fins.
      • 7.1.2 – Nous appuyons nos employés afin qu’ils comprennent leurs responsabilités en matière de traitement des données et nous répondons aux demandes de nos Clients en temps opportun et utile pour offrir une expérience transparente et efficace.
      • 7.1.3 – Nous plaçons nos Clients au cœur de tous les changements et améliorations en adoptant des pratiques innovantes et en intégrant les principes de protection des renseignements personnels dans tout ce que nous accomplissons.
      • 7.1.4 – Nous collaborons avec les employés et nous assurons une gestion efficace et sécurisée des données des Clients dans toutes nos opérations pour établir et maintenir la confiance des Clients.
      • 7.1.5 – Nous prenons des décisions sur la façon dont les données des Clients sont traitées en conformité avec les obligations législatives, les pratiques exemplaires de confidentialité et fondées sur des normes éthiques.
      • 7.1.6 – Nous prenons des mesures proactives et non réactives, des mesures préventives et non correctives.
      • 7.1.7 – Nous veillons à ce que les renseignements personnels soient systématiquement protégés dans les systèmes informatiques ou dans le cadre des pratiques internes, afin que les Clients n’aient à poser aucun geste.
      • 7.1.8 – Les mesures de protection des renseignements personnels ne doivent pas être intégrées après coup, mais plutôt constituer des éléments pleinement intégrés du système.
      • 7.1.9 – Assurer la sécurité du cycle de vie des données en conservant de façon sécurisée les données, puis les détruire quand elles ne sont plus utiles.

 8. MESURES à l’égard de la protection des renseignements confidentiels

8.1 – Afin de respecter notre engagement à l’égard de la protection des renseignements personnels, nous concentrons nos efforts sur la prise des mesures décrites ci-dessous, qui, lorsqu’elles sont combinées, offrent un ensemble complet de mécanismes permettant de protéger vos renseignements personnels. La responsabilité de ces mécanismes incombe à différents responsables de Awastoki, le responsable de la protection des renseignements personnels ayant la responsabilité s’acquitter de son mandat et d’aider Awastoki à respecter son engagement à l’égard de la protection des renseignements personnels.

 

    1. Conception et exécution des programmes
      Nous intégrons nos principes directeurs de la protection des renseignements personnels et les principes de la protection des renseignements personnels dans l’élaboration, l’exploitation et la gestion de tous les programmes, processus, solutions et technologies qui comportent des renseignements personnels. Nous tenons compte de la nécessité d’assurer une prestation de services et une protection des renseignements personnels à la fois efficaces et opportunes de manière à assurer la protection des renseignements de nature délicate les plus vulnérables.
    2. Politique de confidentialité
      Nous sommes réceptifs et transparents dans nos communications avec vous afin de nous assurer que vous connaissez vos droits en matière de vie privée et la manière dont nous utilisons et gérons vos renseignements personnels, par exemple grâce à notre politique de confidentialité.
    3. Authentification
      Afin de protéger vos renseignements personnels, nous validons l’identité de nos Clients à l’aide de : portails ou de systèmes, consultations par téléphone ou en personne, processus d’ouverture de session ou d’authentification à deux facteurs.
    4. Gestion de l’identité
      Nous gérons également les justificatifs d’identité des employés afin de nous assurer que seuls les employés autorisés ont accès à des renseignements personnels aux fins autorisées.

 9. communication de renseignements

9.1 – En principe, Awastoki ne peut communiquer les renseignements personnels qu’il détient sur une personne sans le consentement de celle-ci.

9.2 – Toutefois, Awastoki peut communiquer à un tiers des renseignements personnels sans le consentement de la personne concernée lorsque la communication est due à une exigence réglementaire ou légale ou lorsque la loi le permet.

9.3 – Lors de ces échanges de renseignements confidentiels, nous intégrons les exigences en matière de protection des renseignements personnels dans toutes les communications afin de faciliter le traitement et la protection appropriés des renseignements personnels.

9.4 – Les principales démarches de protection des renseignements personnels sont les suivantes :

    1. Fournisseurs de services et partenaires tiers
      Nous intégrons des contrôles et des exigences de sécurité et de protection des renseignements personnels dans toutes nos interactions avec des fournisseurs de services tiers.
    2. Anonymisation des données
      Nous prenons les mesures nécessaires pour anonymiser l’ensemble de renseignements personnels avant la communication des renseignements afin de respecter la vie privée.
    3. Échange de renseignements avec des tiers autorisés
      Nous nous efforçons d’intégrer le niveau approprié de mesures de protection des renseignements personnels dans tous les échanges de renseignements avec des tiers autorisés, comme les institutions financières.

 10. Contrôles internes et externes

10.1 – Awastoki prend les précautions et les mesures nécessaires pour protéger les renseignements personnels contre les menaces externes et internes.

10.2 – Les principales démarches de protection des renseignements personnels sont les suivantes :

    1. Contrôle externe
      Nous protégeons les renseignements personnels des Clients contre les menaces externes, comme les attaques cybernétiques et l’hameçonnage, en utilisant des pare-feux et des logiciels de détection des virus, en recueillant les renseignements sur les menaces pour surveiller et détecter les atteintes et en validant de multiples points de données, comme la mise en œuvre de l’authentification à deux facteurs.
    2. Contrôle interne
      Nous protégeons les renseignements personnels contre les menaces internes en utilisant des solutions automatisées pour détecter, repérer et vérifier les transactions douteuses des utilisateurs dans les systèmes de Awastoki. Aux fins de sécurité de l’information, nous mettons également en œuvre les principes de l’accès minimal aux systèmes (les employés ont seulement accès aux renseignements dont ils ont besoin pour faire leur travail), du besoin de savoir (les renseignements sont seulement accessibles par ceux qui en ont besoin pour faire leur travail) et de la séparation des tâches.
    3. Sensibilisation des employés
      Nous appuyons nos employés dans leur compréhension des responsabilités à l’égard de la protection des renseignements personnels et des obligations en matière de gouvernance afin d’améliorer la culture de la protection des renseignements personnels chez nous.
    4. Gestion des données et des dossiers
      Nous prenons des mesures pour gérer efficacement les renseignements personnels en notre possession de manière à maintenir leur exactitude, à nous assurer que nous ne les utilisons que dans le cadre de nos activités et à les conserver seulement aussi longtemps que nécessaire et selon les prescriptions des lois applicables.
    5. Évaluation des facteurs relatifs à la vie privée et fichiers de renseignements personnels
      Awastoki procède à une évaluation des facteurs relatifs à la vie privée (ÉFVP) pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels. L’évaluation des facteurs relatifs à la vie privée réalisée devra être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.

      Awastoki peut s’aider du guide développé par la Commission d’accès à l’information « Guide d’accompagnement – Réaliser une évaluation des facteurs relatifs à la vie privée (www.cai.gouv.qc.ca/documents/CAI_Guide_EFVP_FR.pdf) » pour réaliser l’évaluation des facteurs relatifs à la vie privée, le cas échéant.

    6. Vérifications et examens de conformité
      Nous confirmons que les renseignements personnels sont traités conformément à nos obligations et exigences législatives en matière de protection des renseignements personnels en effectuant des vérifications et en assurant une surveillance continue.

 11. procédure en cas de roulement de personnel

11.1 – Cette procédure vise à établir une liste de contrôle au sein de Awastoki pour encadrer le départ d’un membre de son personnel. Un « membre du personnel » inclut tous les individus à l’emploi chez Awastoki en possession d’accès physiques ou électroniques à nos appareils, systèmes, applications et comptes, et qui quittent l’organisation, soit par démission, licenciement, mise à pied ou congédiement.

Retrait des accès

11.2 – Les mesures suivantes seront mises en place :

  1. Éteindre les ordinateurs et appareils professionnels de l’employé;
  2. Désactiver l’accès de l’employé à tous les systèmes en suivant la liste des rôles et des accès;
  3. Supprimer les données professionnelles des appareils appartenant à l’employé
  4. S’assurer que l’employé retourne tout l’équipement appartenant à Awastoki, notamment, mais non limitativement : ordinateurs portables, tablettes, téléphone, clés USB, etc.;
  5. Compiler une liste de tous les emplacements où l’employé a stocké des données professionnelles, y compris les plateformes de stockage infonuagiques;
  6. Supprimer l’employé de tous les accès pour la connexion au VPN, au bureau à distance et à tous les autres systèmes;
  7. Déplacer tous les fichiers de travail qui ont pu être stockés en dehors des dossiers de sauvegarde vers un emplacement central;
  8. Révoquer l’accès de l’employé au compte de stockage infonuagique;
  9. Supprimer les fichiers et documents de travail de tout compte de stockage personnel de l’employé;
  10. Passer en revue les règles d’accès au pare-feu pour confirmer que l’employé ne dispose d’aucun autre accès, tel qu’un VPN direct depuis son pare-feu personnel à la maison;
  11. Confirmer qu’aucun logiciel d’accès à distance n’est installé sur les appareils de l’employé, qu’il pourrait utiliser pour accéder à l’ordinateur ou au réseau de Awastoki.

Courriels

11.3 – Les mesures suivantes seront mises en place :
Le compte courriel de l’employé ne sera pas supprimé. Awastoki créera une boîte courriel partagée et bloquera les accès comme indiqué précédemment;
Modifier le mot de passe du compte dans le système de courriels;
Si l’employé a utilisé un téléphone mobile personnel ou une tablette pour accéder à sa messagerie professionnelle : le compte de messagerie sera effacé ou supprimé;
Créer un message d’absence pour le compte de messagerie de l’employé;
Supprimer l’employé des listes de diffusion de courriels internes;
Contacter les fournisseurs avec lesquels l’employé a travaillé pour les informer du départ et leur fournir un nouveau contact au sein de Awastoki;
Désigner une personne pour lui donner les accès afin de surveiller le courrier électronique de l’employé;
Déterminer combien de temps la boîte de courriels restera disponible (par exemple, 30 jours), après quoi le compte sera supprimé.

 12. gestion des incidents de confidentialité

12.1 – Lorsque Awastoki a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel que nous détenons, nous prenons les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent, ce qui peut inclure la sanction des individus en cause.

12.1 – Quand l’incident présente le risque qu’un préjudice sérieux soit causé aux personnes dont les renseignements sont concernés, Awastoki avise par écrit :

    1. La Commission d’accès à l’information via le formulaire d’avis prescrit (https://www.cai.gouv.qc.ca/documents/CAI_FO_avis_incident_confidentialite.pdf);
    2. La ou les personnes concernées. L’avis doit permettre de la renseigner adéquatement sur la portée et les conséquences de l’incident. Cet avis doit contenir :A. Une description des renseignements personnels visés par l’incident. Si cette information n’est pas connue, l’organisation doit communiquer la raison justifiant l’impossibilité de fournir cette description.

      B. Une brève description des circonstances de l’incident;

      C. La date ou la période où l’incident a eu lieu, ou une approximation de cette période si elle n’est pas connue;

      D. Une brève description des mesures prises ou envisagées pour diminuer les risques qu’un préjudice soit causé à la suite de l’incident;

      E. Les mesures proposées à la personne concernée afin de diminuer le risque qu’un préjudice lui soit causé ou d’atténuer celui-ci;

      F. Les coordonnées d’une personne ou d’un service avec qui la personne concernée peut communiquer pour obtenir davantage d’informations au sujet de l’incident.

12.3 – Awastoki tient un registre des incidents de confidentialité, dont le contenu est déterminé par la loi. Les renseignements contenus au registre des incidents de confidentialité sont tenus à jour et conservés pendant une période minimale de cinq (5) ans après la date ou la période au cours de laquelle Awastoki a pris connaissance de l’incident.

Rançongiciel – Intervention spécifique
12.4 – Si l’incident de sécurité est un rançongiciel, les étapes suivantes seront effectuées:

    1. Déconnecter immédiatement du réseau les appareils visés par le rançongiciel;
    2. Examiner le rançongiciel et déterminer comment il a infecté l’appareil;
    3. Communiquer avec les autorités pour signaler l’incident;
    4. Une fois le rançongiciel supprimé, une analyse complète du système sera effectuée à l’aide d’un antivirus ou de tout autre logiciel de sécurité permettant de confirmer qu’il a été supprimé de l’appareil;
    5. Si le rançongiciel ne peut pas être supprimé de l’appareil, l’appareil srra réinitialisé;
    6. Avant de procéder à la réinitialisation, une vérification sera faite pour s’assurer que rien n’est infecté par des maliciels;
    7. Si les données sont critiques et doivent être restaurées, mais ne peuvent être récupérées à partir de sauvegardes non affectées, des outils de déchiffrement seront utilisés (par exemple, ceux disponibles sur nomoreransom.org);
    8. La politique de Awastoki est de ne pas payer la rançon, sous réserve des enjeux en cause;
    9. Protéger les systèmes pour éviter toute nouvelle infection en mettant en œuvre des correctifs pour empêcher toute nouvelle attaque.

Piratage – Intervention spécifique
12.5 – S’il a été confirmé qu’un piratage de compte s’est produit, les étapes suivantes seront effectuées:

    1. Aviser les clients, employés, sous-traitants, fournisseurs, distributeurs et partenaires de Awastoki qu’ils pourraient recevoir des courriels frauduleux de notre part, et spécifier de ne pas répondre ou cliquer sur les liens de ces courriels.
    2. Vérifier si Awastoki a encore accès au compte piraté. Sinon, communiquer avec le support de la plateforme pour tenter de récupérer l’accès.
    3. Changer le mot de passe utilisé pour se connecter à la plateforme piratée. Si le mot de passe est réutilisé ailleurs, celui-ci sera changé.
    4. Activer le double facteur d’authentification pour la plateforme.
    5. Supprimer les connexions et les appareils non légitimes de l’historique de connexion.

Perte ou vol d’un appareil – Intervention spécifique
12.6 – S’il a été confirmé qu’une perte d’équipement s’est produite, les étapes suivantes seront effectuées :

    1. Le vol ou la perte d’un bien, tel qu’un ordinateur, un portable, une tablette ou un appareil mobile, sera signalé immédiatement aux autorités policières locales;
    2. Si l’appareil perdu ou volé contenait des données sensibles et qu’il n’est pas crypté, une analyse de sensibilité du type et du volume des données volées sera effectuée;
    3. Si possible, verrouiller et/ou désactiver les appareils mobiles perdus ou volés et procéder à un effacement des données à distance.

 13. conservation des renseignements personnels

13.1 – Awastoki conserve les renseignements personnels qu’il détient pour le temps nécessaire pour atteindre les fins pour lesquelles il les a collectés et conformément à son calendrier de conservation, à moins d’une durée prescrite par la loi ou la réglementation applicable.

13.2 – Awastoki s’assure de la qualité des renseignements personnels qu’il détient. En ce sens, les renseignements personnels conservés sont à jour, exacts et complets pour servir aux fins pour lesquelles ils ont été recueillis ou utilisés.

13.3 – La mise à jour constante des renseignements personnels n’est pas nécessaire, sauf si cela est justifié par les fins pour lesquelles ce renseignement est recueilli. Cependant, si les renseignements doivent servir à une prise de décision, ils doivent être à jour au moment de celle-ci.

13.4 – Selon la nature des renseignements personnels, ceux-ci peuvent être conservés aux bureaux de Awastoki ou dans les divers systèmes informatiques de nos fournisseurs de services tel que le système de paie Employeur D par exemple.

13.5 – Awastoki met en place des mesures de sécurité afin que les renseignements personnels demeurent strictement confidentiels et soient protégés contre la perte ou le vol et contre tout accès, communication, copie, utilisation ou modification non autorisée.

13.6 – Ces mesures de sécurité peuvent notamment comprendre des mesures organisationnelles telles que la restriction des accès à ce qui est nécessaire; la sauvegarde et l’archivage des données au moyen d’un système externe; des mesures technologiques comme l’utilisation de mots de passe et de chiffrement (par exemple, le changement fréquent de mots de passe et l’utilisation de pare-feu).

 14. demande d’accès à ses renseignements personnels

14.1 – Toute personne qui en fait la demande a un droit d’accès aux renseignements personnels la concernant détenus par le Awastoki, sous réserve des exceptions prévues par la loi.

14.2 – Une demande de communication ne peut être considérée que si elle est faite par écrit par une personne physique justifiant de son identité à titre de personne concernée ou à titre de personne représentante autorisée.

14.3 – Cette demande doit être adressée à la personne responsable de la protection des renseignements personnels qui est indiquée dans notre politique de confidentialité. La demande doit fournir suffisamment d’indications précises pour lui permettre de la traiter. Lorsque la demande n’est pas suffisamment précise ou lorsqu’une personne le requiert, le responsable doit prêter assistance pour identifier les renseignements recherchés.

14.4 – Le responsable de la protection des renseignements personnels doit répondre par écrit à la demande d’accès avec diligence et au plus tard dans les trente (30) jours de la réception de la demande. À défaut de répondre dans les trente (30) jours de la réception de la demande, la personne est réputée avoir refusé d’y acquiescer.

14.5 – L’accès aux renseignements personnels est gratuit. Toutefois, des frais raisonnables peuvent être exigés du requérant pour la transcription, la reproduction ou la transmission de ces renseignements. Si nous entendons exiger des frais en vertu de la loi et de la présente clause, nous informerons le requérant du montant approximatif exigible, avant de procéder à la transcription, la reproduction ou la transmission de ces renseignements.

14.6 – Le responsable de la protection des renseignements personnels doit motiver tout refus d’acquiescer à une demande et indiquer la disposition de la loi sur laquelle ce refus s’appuie, les recours qui s’offrent au requérant en vertu de la présente loi et le délai dans lequel ils peuvent être exercés. Il doit également prêter assistance au requérant qui le demande pour l’aider à comprendre le refus.

14.7 – Nous devons refuser de donner communication à une personne d’un renseignement personnel la concernant lorsque sa divulgation révélerait vraisemblablement un renseignement personnel sur un tiers ou l’existence d’un personnel sur un tiers ou l’existence d’un tel renseignement et que cette divulgation serait susceptible de nuire sérieusement à ce tiers, à moins que ce dernier ne consente à sa communication ou qu’il ne s’agisse d’un cas d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée.

14.8 – Nous pouvons communiquer au conjoint ou à un proche parent d’une personne décédée un renseignement personnel que nous détenons concernant cette personne, si la connaissance de ce renseignement est susceptible d’aider le requérant dans son processus de deuil et que la personne décédée n’a pas consigné par écrit son refus d’accorder ce droit d’accès.

14.9 – Sous réserve de la clause précédente, nous devons refuser de donner communication d’un renseignement personnel au liquidateur de la succession, au bénéficiaire d’une assurance-vie ou d’une indemnité de décès, à l’héritier ou au successible de la personne concernée par ce renseignement, à moins que cette communication ne mette en cause les intérêts et les droits de la personne qui le demande à titre de liquidateur, de bénéficiaire, d’héritier ou de successible.

14.10 – Toute personne intéressée peut soumettre à la Commission d’accès à l’information une demande d’examen de mésentente relative à l’application d’une disposition portant sur l’accès d’un renseignement personnel.

14.11 – Nous pouvons demander à la Commission d’accès à l’information de nous autoriser à ne pas tenir compte de demandes manifestement abusives par leur nombre, leur caractère répétitif ou systématique ou de demandes qui, de l’avis de la Commission, ne sont pas conformes à l’objet de la loi. Nous pouvons aussi demander à la Commission de circonscrire la demande du requérant ou de prolonger le délai dans lequel nous devons répondre.

 15. Demande de rectification

15.1 – Toute personne qui reçoit confirmation de l’existence d’un renseignement personnel la concernant peut, s’il est inexact, incomplet ou ambigu, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la loi, exiger que le renseignement soit rectifié.

15.2 – Une personne physique qui justifie de son identité à titre de personne concernée ou à titre de personne représentante autorisée peut formuler, par écrit, une demande de rectification auprès de la personne responsable de la protection des renseignements personnels en fournissant suffisamment d’indications précises pour lui permettre de la traiter.

15.3 – Lorsqu’il accorde une demande de rectification, Awastoki délivre sans frais à la personne qui l’a faite une copie de tout renseignement personnel modifié ou ajouté, ou, selon le cas, une attestation du retrait d’un renseignement personnel.

15.4 – Toute personne intéressée peut soumettre à la Commission d’accès à l’information une demande d’examen de mésentente relative à l’application d’une disposition portant sur la rectification d’un renseignement personnel.

 16. destruction des renseignements personnels

16.1 – En règle générale, lorsque les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, nous détruisons de manière irréversible ou l’anonymisons pour l’utiliser à d’autres fins.

16.2 – La destruction des documents d’origine contenant des renseignements personnels ou confidentiels est faite de façon sécuritaire. Lorsque nous procédons à la destruction de documents contenant des renseignements personnels, nous nous assurons de prendre les mesures de protection nécessaires visant à assurer la confidentialité de ceux-ci. Awastoki détermine la méthode de destruction utilisée en fonction de la sensibilité des renseignements, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.

16.3 – Dans l’éventualité où Awastoki désire détruire les documents originaux à la suite de leur numérisation, il respecte les conditions suivantes : (1) l’information contenue dans les documents numérisés n’a pas été altérée et elle a été maintenue dans son intégralité; (2) La numérisation ainsi que le support pour conserver les documents numérisés doit assurer la stabilité et la pérennité des documents. Awastoki choisit un support ou une technologie sur lesquels il conserve ses documents qui lui permettent de respecter ces conditions.

16.4 – Voici une liste des techniques de destruction définitive des documents qui peuvent être utilisées :

Support du document
Papier
Méthodes de destruction
Déchiqueteuse
Support du document
Médias numériques que l’on souhaite réutiliser ou recycler (Exemple : carte de mémoire flash (carte SD, XD, etc.) clés USB, disque dur d’ordinateur, etc.)
Méthodes de destruction
Formatage, réécriture, déchiquetage numérique (logiciel effectuant une suppression sécuritaire et qui écrira de l’information aléatoire à l’endroit où se trouvait le fichier supprimé)
Support du document
Médias numériques non réutilisables (Exemple : CD, DVD, cartes de mémoire flash, clés USB et disques durs qui ne seront plus utilisés)
Méthodes de destruction
Destruction physique (déchiquetage, broyage, meulage de surface, désintégration, trouage, etc.). La plupart des déchiqueteuses pourront détruire les CD et les DVD.
Support du document
Machines contenant des disques durs (Exemple : photocopieur, télécopieur, numériseur, imprimante, etc.)
Méthodes de destruction
Démagnétiseur pour les disques durs. Écrasement des informations sur le disque dur ou disque dur enlevé et détruit lorsque les machines sont remplacées.

 17. procédureS de numérisation

17.1 – La personne responsable de la numérisation :

17.1.1 – Effectue la préparation physique des documents à numériser (enlève les trombones et les agrafes);
17.1.2 – Numérise les documents et demeure présente tout au long du processus afin de protéger l’intégrité des données numérisées;
17.1.3 – Effectue une vérification exhaustive des documents numérisés afin de s’assurer de la quantité, de la qualité et de l’intégrité des documents reproduits. Elle vérifie que :

A. Les documents numérisés sont conformes aux documents sources;
B. Les données sont lisibles et de bonne qualité;
C. Le recto verso a bien été fait, le cas échéant; si l’option recto verso a fait en sorte de laisser des pages blanches, elle élimine ces dernières;
D. Les documents ou les pages ont été numérisés dans le bon sens.

17.1.4 – Vérifie que le nombre de documents ou de pages est exact (si des pages manquent, elle reprend la numérisation au complet);

17.1.5 – Renomme les fichiers PDF selon la convention de nommage établie;

17.1.6 – Enregistre le ou les fichiers PDF dans le logiciel approprié.

 18. Processus de traitement des plaintes en lien avec la protection des renseignements personnels

18.1 –Toute personne concernée par l’application du présent Cadre de gouvernance peut porter plainte concernant l’application du présent Cadre de gouvernance ou, plus généralement, concernant la protection de ses renseignements personnels par Awastoki.

Réception de la plainte
18.2 – Toute personne qui souhaite formuler une plainte relative à l’application du présent Cadre ou, plus généralement, à la protection de ses renseignements personnels par Awastoki doit le faire par écrit en s’adressant à la personne responsable de la protection des renseignements personnels identifiée à la clause 16 des présentes.

18.3 – La personne devra indiquer son nom, ses coordonnées pour le joindre, incluant un numéro de téléphone, ainsi que l’objet et les motifs de sa plainte, en donnant suffisamment de détails pour que celle-ci puisse être évaluée par le responsable. Si la plainte formulée n’est pas suffisamment précise, la personne responsable de la protection des renseignements personnels peut requérir toute information additionnelle qu’elle juge nécessaire pour pouvoir évaluer la plainte.

Traitement de la plainte
18.4 – Awastoki s’engage à traiter toute plainte reçue de façon confidentielle.

18.5 – La plainte est traitée dans un délai raisonnable. La personne responsable de la protection des renseignements personnels doit évaluer la plainte et formuler une réponse motivée écrite à la personne plaignante.

18.6 – Les plaintes frivoles, diffamatoires ou sans fondement évident peuvent être rejetées. Dans une telle situation, une justification sera fournie au plaignant.

18.7 – Dans les 30 jours suivant la réception de la plainte ou suivant la réception de tous les renseignements additionnels jugés nécessaires et requis par la personne responsable de la protection des renseignements personnels pour pouvoir la traiter, cette dernière doit l’évaluer et formuler une réponse motivée écrite par courriel, au plaignant.

18.8 – Cette évaluation visera à déterminer si le traitement des renseignements personnels par Awastoki est conforme au présent Cadre en place au sein de l’organisation et à la législation ou réglementation applicable.

18.9 – Dans le cas où la plainte ne peut être traitée dans ce délai, le plaignant doit être informé des motifs justifiant l’extension de délai, de l’état d’avancement du traitement de sa plainte et du délai raisonnable nécessaire pour pouvoir lui fournir une réponse définitive.

18.10 – La personne responsable de la protection des renseignements personnels proposera des solutions appropriées pour résoudre la plainte dans les meilleurs délais. Les solutions peuvent inclure des mesures correctives, des compensations financières ou toute autre action nécessaire pour résoudre la plainte de manière satisfaisante.

18.11 – Une fois la plainte résolue, la personne responsable de la protection des renseignements personnels fournira une réponse écrite au plaignant résumant les mesures prises et les solutions proposées.

18.12 – Il est également possible de déposer une plainte auprès de la Commission d’accès à l’information du Québec ou à tout autre organisme de surveillance en matière de protection des renseignements personnels responsable de l’application de la loi concernée par l’objet de la plainte.

Dossier de plainte
18.13 – Awastoki doit constituer un dossier distinct pour chacune des plaintes qui lui sont adressées en vertu de la présente procédure de traitement de plainte. Chaque dossier contient la plainte, l’analyse et la documentation à l’appui de son évaluation, ainsi que la réponse écrite envoyée à la personne plaignante.

 19. désindexation des renseignements personnels

19.1 – Le but de cette procédure est de fournir un mécanisme structuré pour gérer les demandes de désindexation des renseignements personnels afin de limiter leur visibilité.

19.2 – Cette procédure couvre toutes les informations publiées sur nos plateformes en ligne, y compris notre site Web, nos applications mobiles, nos bases de données ou tout autre support numérique utilisé par Awastoki.

Procédure
19.3 – Toute personne peut soumettre sa demande de désindexation par le biais de canaux spécifiques tels que le formulaire en ligne disponible sur le site Web de Awastoki, l’adresse courriel dédiée ou le numéro de téléphone.

19.4 – Avant de traiter la demande, l’identité de l’individu sera vérifiée de manière raisonnable. Cette vérification peut être faite notamment, mais non limitativement, en demandant des informations supplémentaires ou en vérifiant l’identité de l’individu par la transmission de pièces d’identité. Si l’identité du demandant ne peut pas être vérifiée de manière satisfaisante, Awastoki peut refuser de donner suite à la demande de désindexation.

19.5 – Awastoki examinera attentivement les demandes et les renseignements personnels concernés pour déterminer leur admissibilité à la désindexation.

19.6 – Il existe aussi des raisons parfaitement valables pour lesquelles Awastoki pourrait refuser de désindexer des renseignements personnels, par exemple :

19.6.1 – Pour continuer à fournir des biens et des services à cette personne;
19.6.2 – Pour des raisons d’exigence législative ou réglementaire;
19.6.3 – Pour des raisons juridiques en cas de litige.

19.7 – Awastoki prendra les mesures nécessaires pour désindexer les renseignements personnels conformément aux demandes de désindexation jugées admissibles.

19.8 – Tout retard ou problème rencontré lors du traitement des demandes sera communiqué au demandeur.

19.9 – Toutes les demandes de désindexation des renseignements personnels, ainsi que les actions entreprises pour y répondre, seront consignées dans un système de suivi dédié. Ce système indiquera les détails des demandes de désindexation, les dates des demandes, les décisions prises, les mesures mises en place et les résultats.

 20. entrée en vigueur et révision

20.1 – Le présent Cadre de gouvernance est approuvé par la personne responsable de la protection des renseignements personnels.

20.2 – Il est complémentaire à notre Politique de confidentialité. Le Cadre entre en vigueur à la date de son approbation. Il demeure en application tant et aussi longtemps qu’il n’est pas abrogé, modifié ou remplacé par un autre Cadre de gouvernance.

20.3 – Le présent Cadre de gouvernance peut être mis à jour périodiquement en fonction des changements survenus dans nos pratiques et nos mesures en matière de protection des renseignements personnels. Il est de votre responsabilité de consulter périodiquement notre Cadre de gouvernance afin de vous tenir informé de nos pratiques à jour.

20.4 – Le Cadre de gouvernance révisé sera affiché sur notre site Web et la date de la dernière mise à jour est indiquée au bas des présentes. Les modifications prendront effet dès leur publication sur notre site Web.

(Dernière version du présent Cadre de gouvernance: en date du 20 septembre 2023)