Politiques de confidentialité et de sécurité de l’information

Version .pdf

Adoptée par le Conseil d’administration le 22 juin 2023

Introduction

L’Ordre des travailleurs sociaux et des thérapeutes conjugaux et familiaux du Québec (ci-après « L’Ordre ») se préoccupe du respect de votre vie privée et de la protection de vos renseignements personnels.

La présente politique a pour but d’exposer aux personnes auprès desquelles il collecte des renseignements personnels les éléments suivants, et ce, afin de tenir compte des exigences des lois applicables en matière de protection des renseignements personnels auxquelles il est assujetti :

  • La manière dont sont collectés, utilisés et communiqués leurs renseignements personnels;
  • Quels sont leurs droits à l’égard de leurs données;
  • Qui est responsable du traitement des renseignements personnels collectés;
  • À qui ces renseignements sont transmis;
  • L’utilisation de fichiers témoins de connexion (« cookies ») de l’Ordre sur ses sites

La présente politique ne s’applique pas aux renseignements qui ont un caractère public en vertu des lois et règlements applicables.

Lois et règlements applicables

Le Code des professions (RLRQ, c. C-26) prévoit que l’Ordre est assujetti aux dispositions relatives à la protection des renseignements personnels de la Loi sur l’accès aux documents des organismes publics et la protection des renseignements personnels (RLRQ, c. A-2.1) en ce qui concerne les renseignements personnels détenus dans le cadre du contrôle de l’exercice des professions de travailleur social ou travailleuse sociale et thérapeute conjugal familial ou thérapeute conjugale et familiale. La Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1) est applicable aux autres renseignements personnels détenus par l’Ordre.

Renseignements personnels

Tout renseignement qui concerne une personne physique et qui permet de l’identifier est considéré comme personnel.

Les renseignements personnels que nous sommes susceptibles de collecter peuvent inclure sans y être limités :

  • Si vous êtes un membre de l’Ordre : nom et prénom, date de naissance, coordonnées personnelles et professionnelles (incluant adresse courriel), sexe, genre, numéro d’assurance sociale, renseignements liés à votre formation continue, l’information relative à l’assurance de la responsabilité professionnelle, numéro de carte de crédit, dossier judiciaire ou disciplinaire, renseignements médicaux en lien avec l’exercice de la profession ou autres renseignements transmis par vous, notamment ceux que vous saisissez quand vous créez un profil pour adhérer à un de nos services, ou des tiers pouvant influencer votre inscription au tableau de l’Ordre. Pour les membres qui exercent au sein d’une société s’ajoutent les noms des associés ainsi que des actionnaires.
  • Si vous êtes candidat ou candidate à l’exercice : nom et prénom, date de naissance, coordonnées personnelles et professionnelles (incluant adresse courriel), photographie, sexe, genre, numéro d’assurance sociale, preuve d’identité, dossier académique, curriculum vitae, attestation d’emploi, numéro de carte de crédit, dossier judiciaire ou disciplinaire, renseignements médicaux en lien avec l’exercice de la profession ou autres renseignements transmis par vous, notamment ceux que vous saisissez quand vous créez un profil pour adhérer à un de nos services, ou des tiers pouvant influencer votre admissibilité à la délivrance d’un permis ou à l’inscription au tableau de l’Ordre.
  • Si vous êtes un membre du public : nom et prénom, coordonnées qui nous permettent de vous contacter, ainsi que tout renseignement nécessaire afin de traiter votre
  • Si vous êtes membre du personnel de l’Ordre, candidat ou candidate à un emploi à l’Ordre : nom, coordonnées, curriculum vitae et, au besoin, renseignements relatifs à vos antécédents judiciaires ou/et de crédit lors de vérifications à l’embauche ainsi que des renseignements pouvant concerner votre situation familiale ou votre état de santé.

Notre engagement

L’Ordre est responsable de la protection des renseignements personnels qu’il détient ou qu’il confie, le cas échéant, à un tiers.

Nous nous assurons que notre personnel, mais aussi les tiers avec qui l’Ordre fait affaire (partenaires, fournisseurs, consultants, membres de comités) protègent la confidentialité des renseignements personnels auxquels ils ont accès, et ce, quelle que soit la nature de leur support ou quelle que soit la forme sous laquelle ils sont accessibles.

Nous nous assurerons également de mettre en place des mesures de sécurité raisonnables contre des risques tels que l’accès, la collecte, l’utilisation, la divulgation, la copie, la modification ou la destruction non autorisés de tout renseignement personnel sous notre garde et notre contrôle.

Nous sensibilisons notamment notre personnel à l’importance de protéger les renseignements personnels et nous les informons des renseignements considérés publics qui peuvent être divulgués et lesquels doivent être gardés confidentiels.

Un plan de formation touchant les notions de cybersécurité et de protection des renseignements personnels est également dispensé au personnel à ce sujet. L’Ordre a aussi établi et mis en vigueur des politiques et procédures internes soulignant leur rôle et leurs obligations à cet égard. Le tout dans l’objectif de protéger adéquatement les renseignements personnels en sa possession, peu importe leur support et leur forme. Nous procédons à leur révision sur une base régulière.

Objectifs de la collecte d’information

Nous recueillons et utilisons vos renseignements personnels et confidentiels dans le cadre de nos fonctions afin de nous permettre de remplir nos activités de protection du public ainsi que de vous fournir différents services de manière adéquate et personnalisée.

Consentement

Sous réserve des exceptions et exigences des lois applicables, nous ne communiquerons pas vos renseignements personnels à des tiers sans votre consentement. La forme du consentement pourra varier selon le contexte ou le service demandé.

Vous pouvez retirer votre consentement à communication à tout moment, sous réserve de certaines restrictions de nature juridique ou contractuelle.

Limites de la collecte, de l’utilisation et de la divulgation

Collecte

Les raisons pour lesquelles l’Ordre procède à une collecte de renseignements personnels sont déjà établies. Dans la majorité des cas, l’Ordre a besoin de ces renseignements afin de traiter une demande de votre part, de contrôler l’exercice de la profession et, plus généralement, afin de réaliser sa mission de protection du public. Nous limitons la collecte, l’utilisation et la divulgation de vos renseignements personnels uniquement aux fins que nous vous avons indiquées.

Si vous soumettez des informations personnelles sur un de nos sites Web dans le but de les publier, nous les publierons et pourrons utiliser ces informations conformément aux autorisations que vous nous accordez.

Utilisation

Les renseignements personnels que l’Ordre recueille peuvent servir, de manière non exhaustive, aux fins suivantes, selon le cas :

  • Délivrance de permis d’exercice;
  • Inscription, renouvellement d’inscription ou de réinscription au tableau de l’Ordre;
  • Inscription au registre des étudiant·e·s;
  • Traitement d’une demande d’équivalence de diplôme et de la formation;
  • Traitement des différentes opérations relatives à l’exercice en société (création, renouvellement, modification, dissolution);
  • Paiement d’un service, que celui-ci s’effectue en ligne ou par tout autre moyen;
  • Gestion des dossiers des membres, des étudiant·e·s ou des bénéficiaires de droits acquis;
  • Inscription à des formations ou des activités de l’Ordre;
  • Gestion du dossier de formation continue des membres et de perfectionnement de l’exercice professionnel;
  • Développement de formations;
  • Mener les activités d’inspection professionnelle;
  • Mener des enquêtes et tenir des audiences disciplinaires;
  • Mener une enquête en usurpation de titre ou en exercice illégal;
  • Traiter les déclarations d’antécédents judiciaires ou disciplinaires des membres ou des candidat·e·s;
  • Traiter les situations où l’état de santé d’un membre ou d’un·e candidat·e peut compromettre sa capacité à exercer sa profession;
  • Transmission des publications et invitations de l’Ordre;
  • Répondre à toute autre demande de votre part ou de la part d’une autre personne ou organisation que vous avez autorisée à s’enquérir auprès de l’Ordre à votre sujet;
  • Procéder aux élections au Conseil d’administration de l’Ordre;
  • Gestion de votre candidature sur des comités ou des groupes de travail de l’Ordre;
  • Communiquer dans le cadre de la poursuite de la mission de l’Ordre ou de ses activités;
  • Mener des sondages;
  • Exploiter et améliorer le site Web et nos solutions tout en comprenant les habitudes d’utilisation des utilisateurs et utilisatrices;
  • Gestion du personnel de l’Ordre.

Divulgation

Dans la mesure où cela est nécessaire à l’exercice de leurs fonctions ou au mandat qui leur est confié, nous communiquons vos informations personnelles à notre personnel, nos fournisseurs, sous-traitants, consultants ou aux membres de nos comités. Nous pouvons également les communiquer à certaines personnes ou certains organismes lorsque la loi le prévoit. Dans tous les cas, nous nous conformons aux restrictions et exigences prévues par la loi.

Certaines exceptions prévues à la loi nous permettent de communiquer vos renseignements personnels sans que vous ayez donné votre consentement. Ces exceptions visent à prévenir, détecter ou réprimer les infractions aux lois, pour l’exercice d’un mandat ou l’exécution d’un contrat de service ou d’entreprise, à permettre l’application des lois du Québec, l’exercice des attributions d’un organisme public, la mise en œuvre d’un programme ou la prestation d’un service par un tel organisme, ainsi qu’à des fins d’étude, de recherche ou de production de statistiques. Il peut aussi y avoir communication dans le cadre de procédures judiciaires, pour des raisons médicales ou de sécurité ou lorsque d’autres circonstances exceptionnelles le justifient.

Vos renseignements personnels ne seront pas communiqués à des tiers autrement que conformément à la présente politique, sauf tel que la loi l’exige ou l’autorise, ou tel que l’ordonne un tribunal compétent. Nous ne vendons pas vos renseignements personnels à des tiers.

Évaluation de l’impact

Une évaluation des facteurs relatifs à la vie privée (ÉFVP) sur l’utilisation des renseignements personnels par nos services et/ou systèmes est réalisée dans les situations suivantes:

  • Acquisition, développement ou refonte de nouveaux systèmes d’information ou de prestation électronique de services;
  • Communication à des fins de recherche et de production de statistiques;
  • Communication à d’autres organismes pour l’application des lois du Québec, l’exercice des attributions de l’organisme, la mise en œuvre d’un programme ou la prestation d’un service par l’organisme;
  • Transfert de données contenant des renseignements personnels à l’extérieur du Québec.

Il est possible que les informations que nous collectons soient stockées, traitées et transférées dans les pays dans lesquels l’Ordre ou ses sous-traitants offrent leurs services, afin de nous permettre d’utiliser les informations en accord avec cette politique.

L’ÉFVP vise avant tout à mieux protéger les personnes physiques concernées par ces renseignements personnels. Elle considère tous les facteurs qui auront un impact positif ou négatif pour le respect de la vie privée des personnes concernées.

Dans le cas de sondage mené par l’Ordre impliquant la collecte de renseignements personnels, une évaluation de la nécessité de recourir au sondage et de l’aspect éthique du sondage tenant compte de la sensibilité des renseignements personnels recueillis et de la finalité de l’utilisation sera effectuée.

Informations non personnelles

Nous recueillons automatiquement certaines informations non personnelles à l’aide de programme d’analyse tiers, tel que Google Analytics, pour nous aider à comprendre comment nos visiteurs utilisent nos services Web, mais aucune de ces informations ne permet de vous identifier. Les informations suivantes peuvent être collectées, stockées et utilisées:

  1. Des informations à propos de votre ordinateur, y compris votre adresse IP, votre localisation géographique, le type et la version de votre navigateur et votre système d’exploitation;
  2. Des informations sur vos visites et votre utilisation de nos sites Web y compris la source référente, la durée de la visite, les pages vues, et les chemins de navigation de sites Web;
  3. Des informations générées lors de l’utilisation de notre site, y compris, quand, à quelle fréquence et sous quelles circonstances vous l’utilisez.

Témoins de connexion (« cookies »)

Les services Web de l’Ordre et affiliés utilisent des témoins de connexion (« cookies »). Les témoins sont de petits fichiers de données inscrits sur la mémoire de votre ordinateur ou appareil mobile lorsque vous visitez un site Web ou une application. Ils sont utilisés dans le but d’accroître votre expérience d’utilisateur ou d’utilisatrice grâce à l’enregistrement de certaines données. En utilisant les services Web de l’Ordre, vous consentez à cette utilisation.

Témoins que nous utilisons sur nos sites Web

Nous utilisons les « cookies » aux fins suivantes :

  1. Authentification : Nous utilisons des « cookies » pour vous identifier lorsque vous visitez et naviguez sur notre site et nos plateformes Web. Les « cookies » recueillis à ces fins sont utilisés pour la gestion des connexions et des sessions.
  2. Personnalisation : Nous utilisons des « cookies » pour stocker des informations sur vos préférences et nous permettre de personnaliser le service en fonction de vos besoins. Les « cookies » utilisés à ces fins servent à capturer la langue d’utilisation des sites Web de l’Ordre.

Témoins utilisés par nos fournisseurs de services

Dans certaines situations, il est possible qu’un de nos services soit fourni par un de nos fournisseurs externes lequel pourrait utiliser des témoins qui seront stockés sur votre ordinateur ou appareil mobile.

Gestion des témoins

Il est possible de régler votre navigateur ou votre appareil afin qu’il refuse les témoins ou qu’il les supprime après leur enregistrement. Veuillez consulter la rubrique « Aide » de votre navigateur ou de votre appareil pour obtenir les instructions nécessaires. Il est à noter que la suppression de ces témoins ou le fait de les refuser pourrait nuire à votre expérience d’utilisateur ou d’utilisatrice.

Conservation des renseignements

Lorsque vos renseignements personnels ne sont plus nécessaires, ils sont détruits conformément à la loi et à notre politique de conservation des dossiers. Nous pouvons, dans certaines circonstances, anonymiser les renseignements personnels que nous conservons.

Vos renseignements personnels et confidentiels sont conservés, directement ou par l’entremise de sous-traitants, que pour la durée nécessaire aux fins pour lesquelles ils ont été recueillis conformément aux exigences prévues par la loi et aux règlements applicables.

Nous exigeons de nos sous-traitants qu’ils souscrivent aux engagements de confidentialité et qu’ils appliquent des politiques équivalentes à celle-ci.

Mesures de sécurité

Nous avons mis en œuvre plusieurs mesures de sécurité à l’égard des renseignements personnels et données confidentielles que nous détenons afin de protéger ceux-ci contre la perte, le vol et de prévenir l’accès, la transmission, l’utilisation ou la modification non autorisés de ces renseignements personnels notamment par les mesures suivantes :

Environnements informatiques sécurisés

L’infrastructure et les équipements sont hébergés dans un environnement sécuritaire dans un centre de données situé au Québec, Canada. Dans les cas où il est impossible d’héberger une solution ou un service au Québec, nous nous assurons que des mesures de sécurité équivalentes ou supérieures à celles requises par la présente politique soient mises en place. L’accès aux services Web de l’Ordre se fait via un canal de transmission sécurisé par un certificat SSL (HTTPS).

Gestion des accès

Seuls les membres du personnel dont les tâches le requièrent ont accès aux renseignements personnels ou confidentiels. Les accès aux données sont journalisés et surveillés.

Engagement de confidentialité

Des audits de sécurité sont réalisés par des firmes spécialisées en sécurité de l’information sur une base annuelle et notre personnel signe un engagement de confidentialité.

Destruction

L’ordre assure une sécurité physique et technologique pour les renseignements personnels qu’il conserve afin de contrer les destructions accidentelles, les pertes et divulgations ainsi que les destructions inappropriées.

Nous devons détruire ou anonymiser ces renseignements conformément à la loi et à notre calendrier de conservation (le calendrier de conservation peut être consulté en cliquant ici / À venir). Lorsque nous détruisons ou anonymisons vos renseignements personnels, nous prenons les mesures nécessaires pour en assurer la confidentialité et veiller à ce qu’aucune personne non autorisée ne puisse y avoir accès pendant le processus de destruction ou d’anonymisation.

Gestion des incidents impliquant un renseignement personnel

Si l’Ordre a des motifs de croire qu’un incident de confidentialité impliquant un renseignement personnel s’est produit et que celui-ci présente un risque qu’un préjudice sérieux soit causé par l’incident, l’Ordre informera, avec diligence, la Commission d’accès à l’information ainsi que toute personne dont un renseignement personnel est concerné par l’incident. Il peut également aviser toute personne ou tout organisme qui sont susceptibles de diminuer ce risque, en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. Dans tous les cas, un registre documentera l’incident pour fins de références.

Droits des utilisateurs

Demande d’accès, de retrait ou de correction

Vous pouvez, sous réserve de toute restriction de nature réglementaire ou contractuelle, consulter, faire corriger ou détruire les renseignements personnels que nous détenons à votre sujet. Nous répondrons à votre demande dans un délai maximum de trente (30) jours à compter de la date de réception de la demande écrite et dans un format technologique structuré et couramment utilisé. Des frais pourraient toutefois être exigés pour traiter votre demande.

Dans certaines circonstances particulières, nous pouvons refuser de vous fournir les renseignements demandés. Les exceptions à votre droit d’accès se traduisent notamment par le fait que l’information ne peut être divulguée pour des raisons légales ou de sécurité. Ces limitations sont décrites dans la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1) ainsi que dans la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1).

Les membres ainsi que les candidats ou candidates ont toutefois une obligation de maintenir leurs informations à jour conformément au Code des professions.

Portabilité des données [en vigueur septembre 2024]

Toute personne a le droit d’obtenir les renseignements personnels informatisés qui la concernent, détenus par l’Ordre dans un format technologique structuré et couramment utilisé à moins que cela ne soulève des difficultés pratiques sérieuses.

Décision fondée exclusivement sur un procédé automatisé

Lorsque des renseignements personnels sont utilisés dans le but de rendre une décision basée sur un procédé automatisé, l’Ordre doit informer l’utilisateur ou l’utilisatrice des renseignements utilisés pour rendre la décision ainsi que des principaux facteurs et paramètres ayant mené à la décision. L’utilisateur ou l’utilisatrice a aussi le droit de faire rectifier les renseignements personnels utilisés pour rendre la décision. L’utilisateur ou l’utilisatrice peut communiquer avec un membre du personnel de l’Ordre pour partager ses observations et réviser la décision.

Demandes, plaintes et questions

Pour tout commentaire, question ou demande concernant cette politique de protection des renseignements personnels et nos pratiques de confidentialité, veuillez nous écrire à l’adresse ci-dessous :

Responsable de l’accès à l’information et de la protection des renseignements personnels

Ordre des travailleurs sociaux et des thérapeutes conjugaux et familiaux du Québec

255, boulevard Crémazie Est, bureau 800

Montréal (Québec) H2M 1L5

Courriel: [email protected]

Nous avons mis en place des procédures pour recevoir et répondre aux plaintes ou demandes de renseignements concernant le traitement des renseignements personnels au sein de l’Ordre, notre conformité à cette politique et aux lois applicables.

Dans le cas où le ou la responsable de l’accès à l’information et de la protection des renseignements personnels refuse, en tout ou en partie, de donner suite à une demande, et que la personne concernée souhaite contester cette décision, ou, si elle pense qu’il ou elle a porté atteinte à l’un de ses droits, la personne est en droit de communiquer à la Commission d’accès à l’information du Québec (Commission d’accès à l’information du Québec | (gouv.qc.ca)).

Date d’entrée en vigueur

La présente politique entre en vigueur dès son adoption. Elle annule et remplace tous les encadrements à ce sujet précédemment en vigueur.

***

Version .pdf

Adoptée par le Conseil d’administration le 22 juin 2023

Préambule

Afin de mener à bien ses activités, l’Ordre des travailleurs sociaux et des thérapeutes conjugaux et familiaux du Québec (ci-après « l’Ordre ») génère, stocke, traite et communique des informations sous de nombreuses formes.

Il reconnaît que ces actifs informationnels, essentiels à son activité, doivent être évalués, utilisés de manière appropriée et protégés adéquatement tout au long de leur cycle de vie. L’Ordre adhère à la nécessité de protéger la confidentialité des renseignements personnels qu’il détient et au droit à la vie privée de son personnel et de ses membres. À cette fin, il est nécessaire de mettre en œuvre un ensemble cohérent de mesures de sécurité déterminées par une approche de gestion des risques de sécurité basée sur les meilleures pratiques, dans le respect des exigences législatives et réglementaires.

Les actifs informationnels couverts par la présente politique de sécurité comprennent non seulement les informations, mais aussi les équipements et les supports (papier ou numériques). Ils comprennent les données, les documents, les liens de communication interne, les sites d’hébergement, les technologies informatiques (TI), les appareils mobiles et autres équipements portables.

La politique représente un objectif à atteindre par l’Ordre dans les trois (3) ans suivant son adoption.

Introduction 

Définitions

Les définitions des différents termes utilisés dans cette politique et dans d’autres documents associés sont disponibles dans le glossaire de la sécurité de l’information.

Objectifs

Le présent document constitue la politique de sécurité des actifs informationnels de l’Ordre (ci- après la « politique ») qui établit les pratiques à adopter pour se conformer à diverses obligations légales et administratives et pour protéger tous les actifs informationnels et prévenir les incidents de sécurité potentiels, notamment la fraude, les fuites d’information, les attaques informatiques, les erreurs accidentelles, les actions délibérées et les atteintes à la vie privée. De cette manière, l’Ordre protège ses actifs et atténue les risques liés à la confidentialité, à l’intégrité et à la disponibilité des informations.

Portée

Cette politique s’applique à tout actif informationnel détenu par l’Ordre y compris les informations recueillies dans le cadre d’activités contractuelles, réglementaires et légales. Sans limiter ce qui précède, aux fins de la présente politique, seront considérés comme des parties prenantes de l’Ordre, son personnel, ses membres du Conseil d’administration et de comités, ses sous-traitants, ses fournisseurs et toutes autres personnes intervenant dans les activités de l’Ordre.

Engagement du Conseil d’administration

Cette politique s’inscrit dans une démarche globale de prévention et de sensibilisation à la sécurité de l’information. Pour ce faire, la collaboration de tous les intervenants et intervenantes est essentielle. Le Conseil d’administration s’engage à prendre tous les moyens nécessaires pour soutenir les actions qui doivent être prises dans la mise en œuvre de cette politique, ainsi que dans la mise en œuvre des encadrements associés.

Propriétaire de la politique et du cadre de sécurité de soutien

La présente politique et les différents encadrements de sécurité associés relèvent de la personne responsable de la sécurité de l’information. Celle-ci doit en assurer la maintenance, la révision et la communication.

Suivi et contrôle des activités de sécurité de l’information

Afin de surveiller son exposition aux risques, l’Ordre doit disposer d’une infrastructure et de processus de surveillance.

Elle doit permettre de contrôler en permanence l’efficacité de ses méthodes, processus et mécanismes de protection et de les améliorer en fonction de l’évolution des risques auxquels l’Ordre est confronté.

L’Ordre se réserve le droit, sans préavis, de surveiller tout actif informationnel et toute information détenue, traitée et exécutée sur ses systèmes et appareils mobiles. Ce privilège doit toujours être exercé dans le respect des lois et lorsque des motifs raisonnables le recommandent.

Conséquences

Le non-respect de la présente politique ou des encadrements de sécurité associés peut amener l’Ordre à retirer les droits d’accès à son personnel, ses membres du Conseil d’administration et de comités, ses sous-traitants, ses fournisseurs et toutes autres personnes intervenant ainsi qu’à appliquer des mesures disciplinaires ou juridiques, selon le cas. Toute partie prenante qui a connaissance de la non-conformité ou de l’omission de cette politique doit en informer son ou sa responsable ou la personne responsable de la sécurité de l’information.

Respect de la politique

Les encadrements doivent être appliqués à l’appui des besoins d’affaires de l’Ordre et ne doivent en aucun cas devenir une contrainte sans valeur ajoutée ou empêchant l’Ordre d’offrir ses services à ses clients.

Compte tenu de ce qui précède, il est possible que, dans le cours normal des opérations, des situations spécifiques rendent impossible le respect de certaines exigences en matière de sécurité de l’information. Dans un tel contexte, une procédure claire de gestion des non-conformités aux exigences de sécurité est nécessaire pour s’assurer qu’elles sont correctement analysées, approuvées et suivies.

Principes généraux

Organisation interne

Afin d’assurer une gestion efficace de la sécurité de l’information au sein de l’Ordre, il est important de définir la structure organisationnelle soutenant la planification, le développement, la mise en œuvre et le contrôle des mesures de sécurité. La direction générale est chargée de veiller à ce que cette structure organisationnelle soit définie et mise en œuvre.

Évaluation et gestion des risques liés aux actifs informationnels

Outre la gestion des risques de l’organisation, les mesures de sécurité mises en place sont fondées sur l’évaluation, l’analyse périodique et le traitement par l’Ordre des risques liés à la confidentialité, à l’intégrité et à la disponibilité des informations.

Une évaluation des risques doit être réalisée avant de procéder à l’acquisition de nouveaux systèmes ou d’effectuer un changement susceptible d’avoir un impact sur la sécurité des actifs informationnels de l’Ordre. Dans tous les cas, cette évaluation doit être documentée en suivant un processus défini.

Sécurité des ressources humaines

L’Ordre doit établir des processus de sécurité des ressources humaines dans le but de réduire le risque d’erreur humaine, de vol, de fraude ou d’utilisation abusive des actifs informationnels de l’Ordre avant l’embauche, pendant la période d’emploi et après le départ d’un membre du personnel, de ses membres du Conseil d’administration et de comités et toutes autres personnes agissant à titre d’intervenant.

Gestion des actifs informationnels

Afin de mettre en place et de maintenir une protection appropriée, chaque actif informationnel doit être inventorié et attribué à un propriétaire qui connaît sa valeur et son importance pour l’Ordre. Le propriétaire établira sa classification en fonction de sa valeur et de son importance pour l’Ordre afin d’établir un niveau de protection approprié.

Contrôle d’accès aux actifs informationnels

Principe du « besoin de savoir »

Les informations ne doivent être divulguées qu’aux personnes qui ont besoin de ces informations dans le cadre de leurs fonctions et conformément aux obligations législatives et réglementaires.

Gestion de l’accès

La gestion des accès doit être effectuée selon des procédures et des processus formels, convenus et communiqués aux personnes concernées.

Lors d’un changement de poste (notamment en cas de mutation ou de promotion) ou lors d’un arrêt de travail, de cessation d’emploi, de contrat ou de mandat (licenciement, congé de longue durée, etc.) les accès seront revus.

Les propriétaires, en collaboration avec la personne responsable de la sécurité de l’information, doivent veiller à ce qu’un examen périodique des comptes d’utilisateurs et d’utilisatrices soit effectué.

Contrôles d’accès

Tout actif informationnel qui conserve des informations non classées comme publiques doit disposer d’un mécanisme d’authentification actif pour garantir que ces informations ne sont pas indûment divulguées, modifiées, supprimées ou rendues indisponibles.

Les utilisateurs et utilisatrices doivent disposer d’un identifiant unique et ne doivent en aucun cas le partager.

Sécurité physique et environnementale

Tous les actifs informationnels doivent être protégés par des mesures de sécurité physique en fonction de leur niveau de sécurité, des risques associés ainsi que de leur valeur pour l’Ordre.

L’accès aux bureaux et aux salles informatiques contenant des informations non classées comme publiques doit être physiquement limité par un mécanisme de sécurité approprié.

Gestion des opérations informatiques et télécommunications

À moins qu’elles n’aient été désignées comme « publiques », toutes les informations doivent être protégées contre toute divulgation non autorisée à des tiers. Les tiers peuvent avoir accès aux informations non classées comme publiques uniquement si un besoin a été démontré et si cette divulgation a été autorisée par le propriétaire ou par la loi.

Acquisition, développement et mise à jour des systèmes

Les exigences de sécurité à respecter lors de l’acquisition, du développement, de la mise en œuvre et de la maintenance d’un actif informationnel doivent être déterminées.

Les exigences de sécurité doivent tenir compte des évolutions technologiques et des nouveaux défis en matière de sécurité.

Gestion des incidents

L’Ordre doit établir et définir les responsabilités et les procédures à mettre en œuvre en cas d’incident de sécurité afin de garantir une réponse efficace et pertinente tout en assurant la mise en place d’une équipe capable de traiter les incidents.

Reprise après sinistre

L’Ordre doit mettre en œuvre un plan de reprise des technologies de l’information (ci-après, « plan de reprise après sinistre » ») visant à réduire l’impact de l’indisponibilité d’un actif informationnel et à assurer ainsi une reprise des opérations dans les meilleurs délais. Les mesures de récupération doivent être vérifiées périodiquement afin de s’assurer de leur efficacité et de leur pertinence.

Formation et sensibilisation

L’Ordre doit informer le personnel, ses membres du Conseil d’administration et de comités des menaces et des conséquences d’une violation de la sécurité afin que chacun puisse reconnaître les situations à risque et agir en conséquence.

L’Ordre doit également fournir une formation spécialisée dans les domaines liés à la sécurité de l’information afin de maintenir un niveau de risque acceptable au sein de l’Ordre.

Un programme de formation et de sensibilisation à la sécurité de l’information adapté aux différents rôles du personnel, des membres du Conseil d’administration et de comités doit être défini.

Il incombe à l’Ordre de fournir à toute personne devant accéder aux actifs informationnels les directives nécessaires pour comprendre ses responsabilités en matière de sécurité de l’information.

Tous les documents pertinents doivent être communiqués incluant la présente politique et les encadrements associés.

Rôles et responsabilités 

Conseil d’administration

Le Conseil d’administration de l’Ordre est chargé de veiller à ce que des encadrements de sécurité adéquats soient élaborés et maintenus au sein de l’Ordre. Le Conseil d’administration est chargé d’approuver cette politique et de prendre tous les moyens nécessaires pour la mettre en œuvre ainsi que les autres documents associés.

Responsable de la sécurité de l’information

La personne responsable de la sécurité de l’information est la principale représentante de l’Ordre pour toutes les questions relatives à la sécurité des actifs informationnels.

Sans limiter la généralité de ce qui précède, la personne responsable de la sécurité de l’information doit, entre autres choses :

  • Rendre compte chaque année au comité d’audit, des finances, des technologies de l’information et de la gestion des risques (CAFTIGR) de la conformité à la politique et soumettre un rapport de conformité.
  • Tenir la politique à jour en fonction des besoins, des obligations et des préoccupations de l’Ordre.
  • Veiller à l’implication des différentes parties prenantes dans l’élaboration de cette politique et des autres encadrements associés.
  • Définir les critères de sécurité pour les technologies utilisées au sein de l’Ordre.
  • Fournir des conseils en matière de sécurité
  • Réaliser des évaluations des risques et des vulnérabilités dans tous les projets impliquant un actif informationnel permettant de définir les besoins de sécurité pour assurer la protection des actifs informationnels.
  • Sensibiliser tous les utilisateurs et utilisatrices à la sécurité des
  • Assurer une gestion efficace des incidents de sécurité et la maintenance du plan de reprise après sinistre basé sur le plan de continuité des activités.

Propriétaire de l’actif informationnel

Le propriétaire des actifs informationnels est la personne responsable d’un secteur d’activité de l’Ordre. Elle est responsable, d’un point de vue affaires des actifs informationnels qui sont nécessaires à la conduite des activités de sa direction, à savoir :

  • Déterminer la valeur de ses actifs informationnels pour sa gestion et assurer leur classification conformément à celle-ci.
  • Identifier et assurer la mise en œuvre de mesures et de contrôles de sécurité pour garantir la protection des actifs informationnels en fonction du niveau de sécurité attribué et des évaluations des risques.
  • Assurer le maintien des mesures de sécurité pour tous ses actifs tout au long de leur cycle de vie (création, entretien, conservation, destruction, etc.).
  • Approuver l’attribution des droits d’accès aux actifs informationnels sous sa responsabilité en fonction des besoins requis.
  • S’assurer qu’un plan de reprise après sinistre, spécifique à ses actifs informationnels, est en place et est testé régulièrement.

Utilisateur ou utilisatrice d’un actif informationnel

L’utilisateur ou l’utilisatrice d’un actif informationnel est une personne à qui un propriétaire a accordé l’accès à un ou plusieurs actifs informationnels de l’Ordre. Celle-ci peut être un membre du personnel permanent, temporaire ou occasionnel, un membre du Conseil d’administration ou d’un comité, un·e contractuel·le, un·e consultant·e ou un tiers.

Lorsque la valeur de l’actif informationnel le justifie, des arrangements spéciaux avec un tiers (tels que des accords de confidentialité) doivent avoir été conclus avant l’attribution ou la cession du contrat.

Son rôle consiste, entre autres, à effectuer les tâches suivantes :

  • N’utiliser les actifs informationnels qu’à des fins expressément définies par le propriétaire.
  • Respecter toutes les mesures de sécurité en
  • S’abstenir de divulguer les informations en leur possession (sauf si elles ont été désignées comme publiques) sans l’autorisation du propriétaire.
  • Informer la personne responsable de la sécurité de l’information de toutes les situations où il ou elle pense que la sécurité d’un actif informationnel est vulnérable ou a été
  • Se conformer à la présente politique et à tout autre document qui s’y réfère ou la

Entrée en vigueur et révision

La présente politique entre en vigueur le 22 juin 2023. Elle annule et remplace tous les encadrements à ce sujet précédemment en vigueur. Elle peut être révisée à tout moment par la personne responsable de la sécurité de l’information de l’Ordre. Toute révision de la politique doit être approuvée par le Conseil d’administration.

Des modifications de la politique ou de ses encadrements associés peuvent être proposées par les différentes parties prenantes de l’Ordre, qui doivent les soumettre par écrit à la personne responsable de la sécurité de l’information.

La présente politique et tous autres encadrements de sécurité associés doivent être revus au moins tous les trois (3) ans afin de garantir leur pertinence.

***

Partager