Politique de sécurité de l’information

1. Introduction

Ducore Expertise inc. est une entreprise de services d’évaluation médicale. Elle offre un accès rapide à des expertises médicales et des services de consultation à l’intention des sociétés, des organismes gouvernementaux, des fournisseurs d’assurance et de la communauté médicolégale. La nature des services offerts nécessite la manipulation d’informations confidentielles.

Le niveau de sensibilité (ou de perception de sensibilité) associé aux informations généralement échangées fait en sorte qu’il est primordial pour l’équipe de bien saisir et définir les données concernées ainsi que les risques pour les opérations de l’entreprise.

Le but primaire de la présente politique est donc de maximiser la sécurité des actifs informationnels de Ducore Expertise. Elle a donc un impact direct sur les contrôles de sécurité qui en découlent et sur la saine gestion de l’organisation en ce qui a trait aux opérations, au service à la clientèle ainsi qu’aux données conservées.

La présente politique couvre notamment les stratégies en matière de confidentialité, de disponibilité et d’intégrité des actifs informationnels ainsi que la capacité de l’entreprise à gérer les données personnelles qui s’y trouvent.

Il est primordial de maintenir cette politique à jour et d’en assurer l’application et le suivi sur une base minimalement annuelle ou lors de tout changement pouvant avoir un impact sur celle-ci.

2. Définitions

Actif informationnel : Ensemble constitué de données contenues dans un support physique ou une solution technologique. Le dossier d’un patient, une banque de données et une page Web représentent tous des exemples d’actifs informationnels.

Confidentialité : Propriété d’un actif informationnel ou d’une donnée limitant leur accessibilité aux personnes ou systèmes désignés et dument autorisés. La confidentialité est généralement contrôlée par des mécanismes de gestion des accès fondés sur des cadres de gouvernance reconnus tels que HIIPA, ISO ou NIST.

Disponibilité : Propriété d’un actif informationnel ou d’une donnée permettant son accessibilité à une personne autorisée, en temps voulu et de manière requise. La disponibilité est généralement fondée sur des ententes contractuelles avec les fournisseurs.

Intégrité : Propriété d’un actif informationnel ou d’une donnée qui empêche toute altération ou destruction sans autorisation. Un actif informationnel intègre doit être conservé sur un support lui procurant stabilité et pérennité.

Cycle de vie de linformation : Ensemble des étapes que franchit une information, de sa création à sa conservation ou destruction, en passant par sa sauvegarde, son transfert, sa consultation, son traitement et sa transmission.

3. Cadre légal

Ducore Expertise s’appuie sur les règles stratégiques de gestion des données et de sécurité émises par Santé Canada et par le Secrétariat du Conseil du trésor du Québec.

4. Objectif

La présente politique a pour objectif de formaliser l’engagement du Ducore Expertise face à ses obligations en matière de sécurité de l’information. Elle se limite aux actifs informationnels qui se trouvent dans ses environnements et sous son contrôle.

Plus précisément, le but de ce document est de maximiser la compréhension des règles stratégiques de la sécurité des données, tout au long du cycle de vie de l’information, ce qui inclut la disponibilité, l’intégrité et la confidentialité.

Le but d’une politique de sécurité est d’offrir une orientation stratégique et non de fournir des repères techniques. Des renseignements techniques additionnels sont disponibles dans le cadre de la gestion directe des actifs informationnels.

5. Champ d’application

La présente politique concerne l’ensemble du personnel de Ducore Expertise, peu importe le statut. Les gestionnaires, employés, consultants, partenaires et fournisseurs qui consultent ou utilisent les actifs informationnels ou les données sont tous visés par cette politique. L’information visée est celle détenue par Ducore Expertise dans l’exercice de ses fonctions.

6. Principes généraux

6.1 Protection de l’information
a) Ducore Expertise adhère aux orientations et objectifs stratégiques gouvernementaux en matière de sécurité de l’information et s’engage à ce que ses pratiques à cet effet correspondent, dans la mesure du possible, à des façons de faire reconnues et généralement utilisées, tant à l’échelle nationale qu’internationale.
b) Ducore Expertise reconnaît que les actifs informationnels qu’elle détient sont essentiels à ses activités courantes et, de ce fait, qu’ils doivent faire l’objet d’une évaluation constante, d’une utilisation appropriée et d’une protection adéquate. Le niveau de protection est généralement établi pour simplifier les opérations, mais dans certains cas précis, il est fonction de leur importance, de leur confidentialité et des risques d’incidents.
c) La sécurité des actifs informationnels est soutenue par une démarche éthique visant à assurer le contrôle et la responsabilisation individuelle.

6.2 Protection des renseignements personnels
a) Ducore Expertise peut uniquement recueillir des renseignements personnels ayant un lien direct avec ses services et ses activités.
b) Ducore Expertise est tenue d’informer l’individu auprès de qui elle recueille des renseignements personnels le concernant et des fins auxquelles ils seront utilisés.
c) Les renseignements personnels utilisés à des fins administratives doivent être conservés après usage pendant une période déterminée, suffisamment longue pour permettre à l’individu qu’ils concernent d’exercer son droit d’accès à ces renseignements.
d) À terme, les données personnelles non nécessaires à la saine gestion des services seront détruites selon un calendrier prédéterminé et basé sur la sensibilité des projets, clients ou besoins; ces calendriers peuvent varier.

6.3 Protection des renseignements confidentiels
a) Toute information confidentielle doit être préservée de divulgation, accès ou utilisation inappropriée ou non autorisée.
b) Sont notamment considérés comme confidentiels, les renseignements personnels ainsi que tout renseignement dont la divulgation aurait notamment des incidences sur les clients et les opérations.

6.4 Équipements technologiques
a) Les équipements utilisés par Ducore Expertise lors de la réception, transmission ou sauvegarde des données seront minimalement vérifiés par un tiers parti sur une base annuelle pour minimiser les risques à un niveau acceptable.
b) La vérification des équipements inclut les systèmes de communication tels que les courriels, les bases de données ainsi que les équipements de télécommunication nécessaires à la saine gestion de l’organisation.
c) Les équipements seront tenus à jour dans un délai raisonnable et selon la disponibilité des mises à jour fournies par les fabricants de ces équipements et solutions.

6.5 Sensibilisation et formation
a) Ducore Expertise s’engage, sur une base régulière, à sensibiliser et à former ses utilisateurs sur la sécurité des actifs informationnels, les conséquences d’une atteinte à leur sécurité ainsi que sur leur rôle et leurs obligations à cet effet.

6.5 Droit de regard
a) Ducore Expertise exerce, en conformité avec la législation et la réglementation en vigueur, un droit de regard sur tout usage de ses actifs informationnels.

7. Obligations des intervenants clés

La présente politique établit les obligations en matière de sécurité de l’information attribuées, notamment, au président, aux gestionnaires et aux utilisateurs.

a. Le président : Premier responsable de la sécurité de l’information de l’organisation, il assiste les intervenants dans la définition des orientations stratégiques et des priorités d’

b. Les gestionnaires : Ils sont chargés de la mise en œuvre des dispositions de la présente politique auprès du personnel relevant de leur autorité.

c. Les experts technologiques : Ils sont responsables d’implanter les contrôles de sécurité soutenant la présente politique.

d. Les utilisateurs : Ils doivent se conformer à la présente politique et aux règles qui s’appliquent à leurs activités en signant la déclaration d’engagement jointe en annexe.

D’autres rôles et responsabilités peuvent être attribués selon les projets et situations particulières. Peu importe leur statut et leur rôle, les intervenants ont les mêmes responsabilités envers la présente politique.

8. Obligations des utilisateurs

Tout utilisateur a l’obligation de protéger les actifs informationnels mis à sa disposition par Ducore Expertise. À cette fin, il doit :

a. prendre connaissance de la présente politique et des autres normes de conduite qui en découlent, y adhérer et s’engager à s’y conformer en signant la déclaration jointe;

b. utiliser, dans le cadre des droits d’accès qui lui sont attribués et uniquement lorsqu’ils sont nécessaires à l’exercice de ses fonctions, les actifs informationnels mis à sa disposition en se limitant aux fins auxquelles ils sont destinés;

c. respecter les mesures de sécurité mises en place sur son poste de travail et sur tout autre équipement utilisé contenant des données à protéger et ne pas modifier leur configuration ou les désactiver;

d. se conformer aux exigences légales portant sur l’utilisation des produits à l’égard desquels des droits de propriété intellectuelle pourraient exister;

e. signaler immédiatement à son supérieur tout acte susceptible de constituer une violation réelle ou présumée des règles de sécurité ainsi que toute anomalie pouvant nuire à la protection des actifs informationnels.

9. Acceptation

a. Le Président approuve et assure la mise en œuvre de la présente politique.

b. La présente politique entre en vigueur le 1er septembre 2020 et sera révisée minimalement une fois par année.

BUREAU DE MONTRÉAL

6515 Ave Christophe-Colomb
Montréal (Québec) H2S 2H1
514.630.9200
Sans frais: 1.844.684.8200
Télécopieur: 514.499.8004

BUREAU DE QUÉBEC

990, route de l’Église
Bureau 401
Québec (Québec) G1V 3V5
514.630.9200
Sans frais: 1.844.684.8200
Télécopieur: 514.499.8004

© 2022 Ducore Expertise Inc.
var _ctct_m = "4bf59b8262b5adc8085ec71420c1252a";