Sécurité informatique

• Politique d'accès : l'accès aux renseignements personnels est limité aux membres du personnel qui en ont besoin dans l'exercice de leurs fonctions (principe du moindre privilège).
• Ententes de confidentialité : tous les membres du personnel et sous-traitants signent des ententes de confidentialité avant d'accéder aux renseignements personnels.
• Formation : formation obligatoire en sécurité informatique et protection des renseignements personnels pour tout le personnel, avec mises à jour annuelles.
• Procédures documentées : des procédures claires encadrent la gestion des accès, la réponse aux incidents et la destruction sécuritaire des données.

• Chiffrement : les données sont chiffrées en transit (TLS/SSL) et au repos (AES-256) pour assurer leur confidentialité.
• Pare-feu et détection d'intrusion : des systèmes de pare-feu et de détection/prévention d'intrusion sont déployés pour protéger notre infrastructure.
• Authentification forte : l'authentification multifacteur (MFA) est requise pour l'accès aux systèmes contenant des renseignements personnels.
• Mises à jour : les systèmes et logiciels sont maintenus à jour avec les derniers correctifs de sécurité.
• Sauvegardes : des sauvegardes régulières et chiffrées sont effectuées et testées périodiquement.
• Journalisation : les accès aux renseignements personnels sont journalisés et les journaux sont révisés régulièrement.

• Accès contrôlé aux locaux où sont entreposés les équipements informatiques et les dossiers physiques.
• Classeurs verrouillés pour les documents papier contenant des renseignements personnels.
• Destruction sécuritaire des documents papier par déchiquetage confidentiel.
• Politique de bureau propre pour minimiser l'exposition des renseignements personnels.

• Certificat SSL/TLS pour chiffrer toutes les communications entre votre navigateur et notre site.
• Protection contre les attaques courantes (injection SQL, XSS, CSRF).
• Paramètres de confidentialité par défaut au plus haut niveau, conformément à la Loi 25.
• Utilisation minimale de témoins de connexion (cookies), limitée à ce qui est nécessaire au fonctionnement du site.

En cas d'incident de sécurité informatique impliquant des renseignements personnels, l'Agence applique le protocole suivant :

1. Détection et confinement : identification et isolation immédiate de la menace.
2. Évaluation : analyse de la nature et de l'étendue de l'incident, identification des renseignements personnels touchés.
3. Notification : si l'incident présente un risque sérieux de préjudice, notification à la Commission d'accès à l'information du Québec (CAI) et aux personnes concernées, conformément à la Loi 25.
4. Remédiation : mise en place de mesures correctives pour prévenir la récurrence.
5. Documentation : consignation de l'incident au registre des incidents (conservé 5 ans minimum).

L'Agence procède à des audits de sécurité réguliers pour évaluer l'efficacité de ses mesures de protection. Des tests de vulnérabilité sont effectués périodiquement. Les résultats de ces audits alimentent notre processus d'amélioration continue en matière de sécurité informatique.

7. Signalement

Si vous constatez ou soupçonnez une faille de sécurité ou un incident impliquant des renseignements personnels, veuillez communiquer immédiatement avec notre responsable de la protection des renseignements personnels à confidentialite@elaninternational.ca.