Politique de gouvernance des renseignements personnels
1. Objet
La présente politique de gouvernance est établie en application de l'article 3.2 de la Loi 25 du Québec (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels).
Elle décrit les règles que Syspark Inc. a mises en place pour assurer la protection des renseignements personnels qu'elle détient, conformément aux exigences légales applicables.
2. Champ d'application
Cette politique s'applique à l'ensemble :
- Des employés, dirigeants et mandataires de Syspark Inc.
- Des sous-traitants agissant pour le compte de Syspark
- Des renseignements personnels détenus par Syspark, qu'ils concernent des clients, des prospects, des visiteurs du site, des candidats à l'emploi, des partenaires ou des employés
3. Responsable de la protection des renseignements personnels
Conformément à l'article 3.1 de la Loi 25, Syspark a désigné une personne responsable de la protection des renseignements personnels :
Chef de l'information (CIO) de Syspark Inc.
Courriel : [email protected]
Rôles et responsabilités du responsable
- Veiller à l'application et au respect de la Loi 25 et des autres lois applicables
- Approuver les politiques et pratiques de gestion des renseignements personnels
- Superviser les évaluations des facteurs relatifs à la vie privée (ÉFVP)
- Gérer les demandes d'accès, de rectification et de retrait de consentement
- Coordonner la réponse aux incidents de confidentialité
- Former et sensibiliser le personnel
- Servir de point de contact avec la Commission d'accès à l'information (CAI)
4. Rôles et responsabilités internes
4.1 Direction de Syspark
- S'assurer que les ressources nécessaires sont allouées à la protection des renseignements personnels
- Approuver les politiques et procédures
- Recevoir les rapports annuels de gouvernance
4.2 Équipe technique
- Mettre en œuvre les mesures techniques de sécurité (chiffrement, pare-feu, journalisation)
- Maintenir les systèmes à jour (correctifs, mises à jour)
- Surveiller les accès et les incidents potentiels
- Gérer les sauvegardes et la continuité d'activité
4.3 Équipe commerciale et opérationnelle
- Collecter uniquement les renseignements nécessaires
- Obtenir le consentement approprié
- Respecter les durées de conservation
- Signaler tout incident au responsable
4.4 Sous-traitants
- Respecter les clauses contractuelles de protection des données
- Mettre en œuvre des mesures de sécurité équivalentes
- Notifier Syspark de tout incident
5. Processus de traitement des renseignements personnels
5.1 Collecte
- Syspark ne collecte que les renseignements personnels nécessaires à la finalité déclarée
- Le consentement est obtenu explicitement lorsque requis
- Les personnes sont informées de la collecte, des finalités, des destinataires et de leurs droits
5.2 Utilisation
- Les renseignements sont utilisés uniquement aux finalités pour lesquelles ils ont été collectés
- Aucune utilisation secondaire sans consentement additionnel
- Aucun profilage automatisé ou décision automatisée à effets juridiques
5.3 Communication à des tiers
- Les sous-traitants sont encadrés par des ententes contractuelles écrites
- Aucune vente ou cession de renseignements personnels à des fins commerciales
- Les transferts hors Québec sont documentés par une évaluation des facteurs relatifs à la vie privée (ÉFVP)
5.4 Conservation et destruction
- Durées de conservation définies par type de données (voir politique de confidentialité)
- Destruction sécurisée des renseignements au terme de la durée de conservation
- Destruction des documents papier par déchiquetage, des fichiers numériques par suppression irréversible
6. Mesures de sécurité
6.1 Mesures techniques
- Chiffrement TLS 1.2+ pour toutes les communications web
- Chiffrement au repos pour les sauvegardes sensibles
- Contrôle d'accès par authentification forte pour les systèmes internes
- Journalisation des accès aux données sensibles
- Pare-feu et protection anti-DDoS (Cloudflare + infrastructure Syspark)
- Mises à jour régulières des systèmes et logiciels
- Segmentation réseau entre environnements
6.2 Mesures organisationnelles
- Accès aux renseignements personnels sur la base du besoin d'en connaître
- Engagement de confidentialité signé par les employés
- Formation annuelle à la protection des renseignements personnels
- Sessions de sensibilisation à la sécurité
- Audit interne régulier des pratiques
6.3 Mesures physiques
- Hébergement dans des datacenters certifiés (Equinix PA2/PA3 en France, ISO/IEC 27001:2022)
- Contrôles d'accès physiques aux locaux de Syspark à Montréal
- Destruction physique sécurisée des supports hors service
7. Évaluation des facteurs relatifs à la vie privée (ÉFVP)
Conformément aux articles 3.3 et 3.4 de la Loi 25, Syspark procède à une ÉFVP :
- Avant tout projet d'acquisition, de développement ou de refonte d'un système d'information impliquant des renseignements personnels
- Avant tout transfert de renseignements personnels hors Québec
- Avant toute communication de renseignements personnels à des fins d'étude, de recherche ou de production de statistiques
Les ÉFVP sont documentées, conservées et mises à jour selon l'évolution des traitements.
8. Gestion des demandes des personnes concernées
8.1 Droits couverts
Syspark traite les demandes suivantes conformément à la Loi 25 et au RGPD :
- Accès à ses renseignements personnels
- Rectification de données inexactes
- Retrait du consentement
- Portabilité des données (en vigueur depuis septembre 2024)
- Effacement (RGPD)
- Opposition au traitement (RGPD)
8.2 Procédure de traitement
- Réception : par courriel à [email protected]
- Vérification d'identité : demande de justificatif si le doute est permis
- Analyse de la demande par le responsable de la protection
- Réponse motivée dans un délai maximal de 30 jours
- Refus motivé si applicable, avec indication des voies de recours
- Journalisation de la demande et de la réponse
9. Gestion des incidents de confidentialité
9.1 Définition
Un incident de confidentialité désigne :
- L'accès non autorisé à un renseignement personnel
- L'utilisation non autorisée d'un renseignement personnel
- La communication non autorisée d'un renseignement personnel
- La perte d'un renseignement personnel ou toute autre atteinte à sa protection
9.2 Procédure
- Détection et signalement au responsable de la protection sans délai
- Confinement immédiat (mesures pour stopper l'incident)
- Évaluation du risque de préjudice sérieux pour les personnes concernées
- Si risque sérieux : notification à la CAI et information des personnes concernées
- Mesures correctives pour éviter la récurrence
- Documentation dans le registre des incidents
- Analyse post-incident et mise à jour des procédures si nécessaire
9.3 Registre des incidents
Syspark tient à jour un registre interne des incidents de confidentialité, incluant date, nature, renseignements concernés, nombre de personnes affectées, mesures prises et notifications effectuées.
10. Formation et sensibilisation
- Formation obligatoire de tous les nouveaux employés sur la protection des renseignements personnels
- Session annuelle de rappel et mise à jour
- Sensibilisation continue (communications internes, alertes sécurité)
- Formation spécifique pour les employés manipulant fréquemment des renseignements personnels
11. Révision de la politique
La présente politique est révisée :
- Au minimum une fois par an
- À chaque évolution législative pertinente
- Après tout incident majeur de confidentialité
- À l'occasion d'un changement significatif dans les activités de Syspark
12. Publication
Conformément à l'article 3.2 de la Loi 25, la présente politique est :
- Publiée sur le site web de Syspark en termes simples et clairs
- Accessible en français et en anglais depuis le pied de page
- Communiquée au personnel de Syspark
- Fournie sur demande à toute personne qui en fait la requête
13. Contact
Pour toute question relative à cette politique :
Responsable de la protection des renseignements personnels
Syspark Inc.
Courriel : [email protected] (ou [email protected])
Consulter aussi : Politique de confidentialité