Coordonnées de la personne responsable de la protection des renseignements personnels

La protection des renseignements personnels

En conformité avec la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25), j'ai établi un plan de gestion visant la protection des renseignements personnels de tous mes clients. Ci-dessous, vous trouverez l'ensemble des politiques, des procédures et des mesures mises en place pour garantir la sécurité, la confidentialité et l'intégrité des données personnelles que je vais collecter et traiter dans le cadre de ma pratique privée. Ce plan de protection vise à prévenir les violations de la vie privée en mettant en place des pratiques de collecte, de stockage et de traitement de données conformes à la législation sur la protection des données.

Procédure de conservation, de destruction et d’anonymisation des renseignements personnels

Les documents papier qui contiennent les renseignements personnels de mes clients, ils sont classés dans une filière barrée à clé au domicile personnel et il y a seulement moi qui a l'accès à la clé de cette filière. Les documents numériques qui contiennent des informations personnels sont stockés dans mon ordinateur de travail. La durée de conservation des dossiers de mes clients est de 5 ans. Après la durée de conservation, les documents papier contenant les renseignements personnels seront totalement déchiquetés. Pour les renseignements personnels numériques, ils seront totalement supprimés des appareils (ordinateurs, téléphone, tablette, disque dur externe), des serveurs et des outils infonuagiques. Un calendrier de destruction sera établi afin de documenter les dates de destruction prévues. La destruction sera réalisée de manière à ce que les renseignements personnels ne pourront pas être récupérés ou reconstitués. S'il devenait nécessaire de conserver du matériel et de les utiliser à des fins sérieuses et légitimes, l'ensemble des documents seraient rendus anonymes afin de protéger les renseignements personnels des clients. Ainsi, toute trace permettant d’identifier le client serait effacée, de manière à ce que l’information restante ne permette pas l'identification directe ou indirecte des individus concernés.

Procédure de demande d’accès aux renseignements personnels 

L'individu qui souhaite accéder à ses renseignements personnels doit soumettre une demande écrite à Sarah-Dominique Jauron Bélanger, TS. La demande peut être envoyée par courriel ou par courrier postal. La demande doit clairement indiquer qu'il s'agit d'une demande d'accès aux renseignements personnels, et fournir des informations suffisantes pour identifier l'individu et les renseignements recherchés. Ces informations peuvent inclure le nom, l'adresse ainsi que toute autre information pertinente pour identifier de manière fiable l'individu qui effectue la demande.  Une fois la demande reçue, un accusé de réception est envoyé à l'individu pour confirmer que sa demande a été prise en compte. La demande sera traitée dans les trente (30) jours suivant sa réception. Avant de traiter la demande, l'identité de l'individu doit être vérifiée de manière raisonnable. Cela peut être fait en demandant des informations supplémentaires ou en vérifiant l'identité de l'individu en personne. Si l'identité ne peut pas être vérifiée de manière satisfaisante, Sarah-Dominique Jauron Bélanger peut refuser de divulguer les renseignements personnels demandés.

Si une demande d'accès aux renseignements personnels est incomplète ou excessive, le responsable de la protection des renseignements personnels communique avec l'individu pour demander des informations supplémentaires ou clarifications. Sarah-Dominique Jauron Bélanger se réserve le droit de refuser une demande si elle est manifestement abusive, excessive ou non justifiée. Une fois l'identité vérifiée, le responsable de la protection des renseignements personnels procède à la collecte des renseignements demandés. Le responsable consulte les dossiers pertinents pour recueillir les renseignements personnels demandés, en veillant à respecter les restrictions légales éventuelles. Avant de communiquer les renseignements personnels à l'individu, le responsable examine attentivement les informations pour s'assurer qu'elles ne contiennent pas de renseignements tiers confidentiels ou susceptibles de porter atteinte à d'autres droits. Si des renseignements de tiers sont présents, le responsable évalue s'ils peuvent être dissociés ou s'ils doivent être exclus de la divulgation. Une fois les vérifications terminées, les renseignements personnels sont communiqués à l'individu dans un délai raisonnable, conformément aux exigences légales en vigueur. Les renseignements personnels peuvent être communiqués à l'individu par voie électronique, par courrier postal sécurisé ou en personne, selon les préférences de l'individu et les mesures de sécurité appropriées. Toutes les étapes du processus de traitement de la demande d'accès aux renseignements personnels seront consignées de manière précise et complète. Les détails de la demande, les actions entreprises, les décisions prises et les dates correspondantes seront enregistrés dans un registre de suivi des demandes d'accès. Sarah-Dominique Jauron Bélanger est la seule personne impliquée dans le traitement des demandes d'accès aux renseignements personnels et elle le fait dans le respect de la confidentialité et de la protection des données. Si un individu est insatisfait de la réponse à sa demande d'accès aux renseignements personnels, il doit être informé des procédures de réclamation et des recours disponibles devant la Commission d’accès à l’information. Les plaintes doivent être traitées conformément aux politiques et procédures internes en matière de gestion des plaintes (section suivante).

Procédure de traitement des plaintes

Les plaintes peuvent être déposées par écrit, par téléphone, par courrier électronique ou via tout autre canal de communication officiel. Elles seront enregistrées dans un registre centralisé. En cas de plainte, le travailleur social doit obligatoirement référé le client à l’Ordre des Travailleurs sociaux et des Thérapeutes conjugaux et familiaux du Québec qui a pour mandat de recevoir, d’analyser d’enquêter et de disposer des sanctions en cas de plainte. 

Procédure de demande de désindexation et de suppression des renseignements personnels

Les demandes de désindexation et de suppression des renseignements personnels doivent être reçues par l'équipe responsable désignée. Les clients peuvent soumettre leurs demandes par le biais de canaux spécifiques tels que le formulaire en ligne, l’adresse courriel dédiée ou le numéro de téléphone. Avant de traiter la demande, l'identité de l'individu doit être vérifiée de manière raisonnable. Cela peut être fait en demandant des informations supplémentaires ou en vérifiant l'identité de l'individu en personne. Si l'identité ne peut pas être vérifiée de manière satisfaisante, Sarah-Dominique Jauron Bélanger peut refuser de donner suite à la demande. Sarah-Dominique Jauron Bélanger doit examiner attentivement les demandes et les renseignements personnels concernés pour déterminer leur admissibilité à la désindexation ou à la suppression. Les demandes doivent être traitées de manière confidentielle et dans le respect des délais prévus. Il existe aussi des raisons parfaitement valables pour lesquelles nous pourrions refuser de supprimer ou de désindexer des renseignements personnels (par exemple, pour continuer à fournir des biens et des services au client ; pour des raisons d’exigence du droit du travail ; pour des raisons juridiques en cas de litige). Si la demande est accepté, Sarah-Dominique Jauron Bélanger va désindexer ou supprimer les renseignements personnels conformément aux demandes admissibles. 

Sarah-Dominique Jauron Bélanger s'assurera de communiquer avec les demandeurs tout au long du processus, en fournissant des confirmations d'accusé de réception et des mises à jour régulières sur l'état d'avancement de la demande. Tout retard ou problème rencontré lors du traitement des demandes sera communiqué aux demandeurs avec des explications claires. Toutes les demandes de désindexation et de suppression des renseignements personnels, ainsi que les actions entreprises pour y répondre, seront consignées dans un système de suivi dédié. Les enregistrements vont inclure les détails des demandes, les mesures prises, les dates et les résultats des actions effectuées.

Procédure de gestion des incidents de sécurité et violations des renseignements personnels

Pour assurer la protection adéquate des renseignements personnels recueillis dans le cadre de ma pratique privée, je me suis dotée d’un plan d’intervention qui vise à gérer efficacement les incidents de sécurité pouvant survenir. Je vous présente l’ensemble des protocoles et des mesures qui seront activés en cas d’’incident de confidentialité. Ces interventions seront mises en place si un incident venait compromettre les données personnelles recueillies dans le cadre de ma pratique privée, que ce soit à la suite d'une faille de sécurité, une cyber-attaque, une fuite de données ou toute autre violation. Ce plan détaille les étapes à suivre pour identifier, signaler, gérer et atténuer les conséquences d'une violation de données.

Reconnaître un cyberincident 

Un incident de cybersécurité peut ne pas être reconnu ou détecté immédiatement. Toutefois, certains indicateurs peuvent être les signes d’une atteinte à la sécurité, qu’un système a été compromis, d’une activité non autorisée, etc. Il faut toujours être à l’affût de tout signe indiquant qu'un incident de sécurité s'est produit ou est en cours, par exemple :

- Activité excessive ou inhabituelle de la connexion et du système,

- L'apparition de tout nouveau réseau sans fil (Wi-Fi) visible ou accessible. 

- Une activité inhabituelle liée à la présence de logiciels malveillants, de fichiers suspects ou de fichiers et programmes exécutables nouveaux ou non approuvés. 

- Ordinateurs ou appareils perdus, volés ou égarés qui contiennent des renseignements personnels ou d'autres données sensibles. 

Atteinte à la protection des renseignements personnels – Intervention spécifique 

S’il a été confirmé qu'un incident de sécurité lié à une atteinte à la protection des renseignements personnels s'est produit, il faudra effectuer les étapes suivantes : 

- Compléter le registre d’incidents de confidentialité pour documenter l’incident.

- Examiner l’atteinte à la protection des renseignements personnels pour déterminer si des renseignements personnels ont été perdus en raison d'un accès ou utilisation non autorisés, d'une divulgation non autorisée ou de toute atteinte la protection de ces renseignements personnels et qu’il existe un risque de préjudice sérieux pour les personnes concernées. 

- Faire un signalement à la Commission de l’accès à l’information au Québec. 

- Faire un signalement au Commissariat à la protection de la vie privé du Canada via le rapport d’atteinte à la LPRPDE.- Aviser les personnes dont les renseignements personnels ont été visé par l’incident. 

Rançongiciel – Intervention spécifique 

S’il a été confirmé qu'un incident de sécurité de rançongiciel s'est produit, les étapes suivantes seront effectuées: 

- Déconnecter immédiatement du réseau les appareils visés par un rançongiciel. 

- Ne RIEN EFFACER sur les appareils (ordinateurs, serveurs, etc.). 

- Examiner le rançongiciel et déterminer comment il a infecté l'appareil. 

- Communiquer avec les autorités locales pour signaler l'incident et coopérer à l’enquête. 

- Une fois le rançongiciel supprimé, une analyse complète du système sera effectuée à l'aide d’un antivirus, d’un anti-maliciel et de tout autre logiciel de sécurité le plus récent disponible afin de confirmer qu'il a été supprimé de l'appareil. 

- Si le rançongiciel ne peut pas être supprimé de l'appareil (souvent le cas avec les programmes malveillants furtifs), l’appareil sera réinitialisé au moyen des supports ou des images d'installation d'origine. Avant de procéder à la réinitialisation à partir de supports/images de sauvegarde, il faut vérifier qu’ils ne sont pas infectés par des maliciels. 

- Si les données sont critiques et doivent être restaurées, mais ne peuvent être récupérées à partir de sauvegardes non affectées, il est possible de rechercher les outils de déchiffrement disponibles sur nomoreransom.org. 

- La politique est de ne pas payer la rançon, sous réserve des enjeux en cause. Il est également fortement recommandé de faire appel aux services d’un chef de projet expert en cyberattaques (breach coach). 

- Protéger les systèmes pour éviter toute nouvelle infection en mettant en œuvre des correctifs ou des rustines pour empêcher toute nouvelle attaque. 

• Utilisation de mots de passe forts : L’utilisation de mots de passe comportant entre 16 et 20 caractères, composé d’une combinaison de lettres, de chiffres et de caractères spéciaux. Utilisation de mots de passe différents pour chaque compte ou application utilisées.
• Gestionnaires de mots de passe :Utilisation d’un gestionnaire de mots de passe tel que Dashlane, Bitwarden, NordPass, Keepass ou 1Password pour générer, stocker et gérer mes mots de passe. 
• Activation de l'authentification à deux facteurs : Utilisation des méthodes d'authentification à deux facteurs (2FA) lorsque cela est possible. Cela ajoute une sécurité supplémentaire en demandant une deuxième preuve d'identité lors de la connexion. 
• Les messages suspects : Une vigilance est requise concernant les courriels, les messages instantanés et les appels téléphoniques non sollicités demandant des informations personnelles. Ne pas cliquer sur les liens suspects ni ouvrir les pièces jointes de source inconnue. 
• Mise à jour régulièrement des logiciels :L’installation des dernières mises à jour des systèmes d'exploitation, des applications et des antivirus est requise afin de rehausser le niveau de sécurité. Une gestion proactive des mises à jour OS et matérielles limitent de beaucoup les risques de sécurité. 
• Le transfert d’informations personnelles en ligne : Il faut éviter de publier des informations personnelles sensibles, telles que l’adresse, numéro de téléphone ou des détails financiers, sur les réseaux sociaux ou d'autres plateformes en ligne. 
• Utilisation des réseaux Wi-Fi sécurisés :Il faut éviter de se connecter à des réseaux Wi-Fi publics pour effectuer des transactions sensibles ou accéder à des informations confidentielles. Il faut privilégier les réseaux Wi-Fi protégés par mot de passe ou utilisez un VPN en (presque) tout temps. 
• Suppression des cookies : Utilisez les outils de nettoyage du système d’exploitation pour supprimer les cookies de suivi et les données de navigation stockées sur vos appareils. 
• VPN (Virtual Private Network) :L’utilisation d’un VPN (tels que NordLayer, ExpressVPN ou CyberGhost) permet de chiffrer la connexion Internet et protéger la vie privée en ligne. 
• Extensions de navigateur de confidentialité : L’installation des extensions de navigateur telles que Privacy Badger, uBlock Origin ou HTTPS Everywhere permet de bloquer les traqueurs publicitaires, les publicités intrusives et forcer les connexions sécurisées. 
• Chiffrement des communications :L’utilisation des services de messagerie et de communication chiffrés, tels que Signal, WhatsApp (avec le chiffrement de bout en bout activé) ou Telegram (avec le chat secret activé), permet de protéger la confidentialité des conversations. 
• Paiement en ligne : Lors d’achats effectués en ligne, il faut s’assurer de le faire sur des sites sécurisés et fiables, en vérifiant la présence d'un cadenas dans la barre d'adresse et en utilisant des méthodes de paiement sécurisées, telles que PayPal ou les cartes de crédit protégées. 
• Chiffrement des fichiers : L’utilisation d’outils de chiffrement pour protéger les fichiers sensibles. Des logiciels tels que VeraCrypt, AxCrypt ou BitLocker permettent de créer des conteneurs chiffrés ou de crypter des fichiers individuels. 
• Navigation privée : L’utilisation du mode de navigation privée ou incognito du navigateur permet de limiter la collecte de données et de cookies pendant les sessions de navigation. Cela empêche également l'enregistrement de l’historique de navigation. 
• Vérification des paramètres de confidentialité : Les paramètres de confidentialité des comptes en ligne, tels que les réseaux sociaux, les services de messagerie et les applications doivent être programmés de manière à limiter la quantité d'informations personnelles partagées et restreindre l'accès à nos données. 
• Suppression des données personnelles : Il faut supprimer régulièrement les données personnelles inutiles ou sensibles stockées sur nos appareils, tels que les anciens courriels, les fichiers temporaires, les caches de navigateur et les historiques de recherche. 
• Séparation entreprise et vie privée : L’utilisation de deux ordinateurs différents pour l’entreprise et la vie privée permettra de conserver un meilleur contrôle des donneés.
• Formation à la cybersécurité : Idéalement, pour se familiariser avec les meilleures pratiques de cybersécurité, il est nécessaires de suivre des formations fréquentes et de rester informé sur les dernières menaces et techniques d'attaque.
• Verrouiller le poste informatique en cas d’absence temporaire