Politique de confidentialité - Loi 25

Procédure de conservation, de destruction et d’anonymisation des renseignements personnels
 

​1. Aperçu

La présente politique vise à encadrer la gestion des renseignements personnels recueillis par Shine Like A Diamond dans le cadre de ses activités professionnelles. Elle établit les procédures de conservation, destruction et anonymisation des données afin de :

• Protéger la vie privée des individus

• Se conformer aux lois applicables en matière de protection des renseignements personnels

• Prévenir les incidents de confidentialité et les atteintes à la sécurité

• Maintenir la confiance des clients

• Protéger la réputation de l’entreprise
   

2. Objectif

Garantir la protection des renseignements personnels des clients, employés et autres parties prenantes, tout en respectant les obligations légales et les meilleures pratiques en matière de confidentialité.
 

3. Portée

Cette procédure s’applique :

• Aux individus souhaitant accéder à leurs renseignements personnels ou déposer une plainte.

• Aux acteurs internes responsables du traitement de ces demandes, notamment le responsable de la protection des renseignements personnels.
   

4. Définitions

• Renseignements personnels : Toute information permettant d’identifier une personne physique, directement ou indirectement.

• Conservation : Stockage sécurisé des renseignements personnels pendant la durée requise.

• Destruction : Suppression définitive des renseignements personnels.

• Anonymisation : Modification irréversible des renseignements personnels pour empêcher toute identification.
   

5. Procédure 

​

5.1 Durée de conservation

Les renseignements personnels sont classés en trois catégories :

• Employés : conservés pendant 7 ans après la fin d’emploi.

• Membres : durée variable selon le type de renseignement.

• Clients : durée variable selon le type de renseignement.

Pour plus de détails, se référer à l’inventaire complet des renseignements personnels détenus. Des délais spécifiques peuvent s’appliquer selon la nature des données.

 

5.2 Méthodes de stockage sécurisé

• Les renseignements personnels sont stockés sur OneDrive et Wix.

• Le niveau de sensibilité de chaque lieu de stockage a été évalué.

• Les lieux de stockage (papier ou numérique) sont adéquatement sécurisés.

• L’accès est restreint aux personnes autorisées uniquement.
   

5.3 Destruction des renseignements personnels

• Papier : déchiquetage complet.

• Numérique : suppression définitive des appareils, serveurs et outils infonuagiques.

• Un calendrier de destruction est établi selon les durées de conservation.

• La destruction doit être irréversible et documentée.
   

5.4 Anonymisation des renseignements personnels

• L’anonymisation est envisagée uniquement pour des fins sérieuses et légitimes.

• La méthode choisie est la suppression après la période de conservation.

• Il faut s’assurer que les données restantes ne permettent plus l’identification.

• Des tests réguliers sont effectués pour évaluer le risque de réidentification.

À noter : à la date de rédaction, l’anonymisation à des fins légitimes n’est pas encore encadrée par règlement gouvernemental.
 

5.5 Formation et sensibilisation du personnel

• Des formations régulières sont offertes aux employés sur la gestion des renseignements personnels.

• Le personnel est sensibilisé aux bonnes pratiques de sécurité et à l’importance du respect des procédures.
  
   

Procédure de demande d’accès aux renseignements personnels et de traitement des plaintes

​​

1. Aperçu

Toute personne a le droit de demander l’accès aux renseignements personnels que Shine Like A Diamond détient à son sujet. Elle peut également formuler une plainte concernant la gestion de ses renseignements. Il est donc essentiel de disposer de balises claires pour encadrer ces demandes et garantir une réponse appropriée.

 

2. Objectif

Assurer que toutes les demandes d’accès et plaintes sont traitées de manière confidentielle, rapide et précise, dans le respect des droits des individus et des obligations légales.

 

3. Portée

Cette procédure s’applique :

• Aux individus souhaitant accéder à leurs renseignements personnels ou déposer une plainte.

• Aux acteurs internes responsables du traitement de ces demandes, notamment le responsable de la protection des renseignements personnels.

 

4. Procédure de demande d’accès

4.1 Soumission de la demande

• La demande doit être écrite et adressée au responsable de la protection des renseignements personnels.

• Elle peut être envoyée par courriel ou courrier postal.

• Elle doit clairement indiquer qu’il s’agit d’une demande d’accès, et inclure des informations suffisantes pour identifier l’individu (nom, adresse, etc.).

 

4.2 Réception de la demande

• Un accusé de réception est envoyé à l’individu dès que la demande est reçue.

• La demande est traitée dans un délai de 30 jours suivant sa réception.

 

4.3 Vérification de l’identité

• L’identité de l’individu est vérifiée de manière raisonnable (demande d’informations supplémentaires ou vérification en personne).

• Si l’identité ne peut être confirmée, l’accès aux renseignements peut être refusé.

 

4.4 Réponse aux demandes incomplètes ou excessives

• Si la demande est incomplète ou excessive, le responsable communique avec l’individu pour obtenir des précisions.

• L’entreprise peut refuser une demande jugée abusive, excessive ou non justifiée.

 

4.5 Traitement de la demande

• Une fois l’identité confirmée, le responsable procède à la collecte des renseignements demandés.

• Il consulte les dossiers pertinents tout en respectant les restrictions légales.

 

4.6 Examen des renseignements

• Avant la communication, les renseignements sont examinés pour s’assurer qu’ils ne contiennent pas de données confidentielles de tiers.

• Si des renseignements de tiers sont présents, ils sont dissociés ou exclus selon le cas.

 

4.7 Communication des renseignements

• Les renseignements sont transmis à l’individu dans un délai raisonnable, selon les exigences légales.

• La transmission peut se faire par voie électronique, courrier postal sécurisé ou en personne, selon les préférences de l’individu et les mesures de sécurité requises.

 

4.8 Suivi et documentation

• Toutes les étapes du traitement des demandes d’accès doivent être documentées de manière précise et complète.

• Un registre de suivi est tenu à jour, incluant :

  • Date de réception de la demande

  • Date de l’accusé de réception

  • Date de la vérification de l’identité

  • Méthode de vérification de l’identité

  • Décision (acceptée ou refusée)

  • Date de communication des renseignements (si applicable)

 

4.9 Protection de la confidentialité

• Tout le personnel impliqué dans le traitement des demandes doit respecter strictement la confidentialité des renseignements personnels.

• Des mesures de sécurité sont appliquées pour éviter tout accès non autorisé ou toute divulgation non conforme.

 

4.10 Gestion des plaintes et des recours

• Si un individu est insatisfait de la réponse à sa demande, il est informé des recours disponibles auprès de la Commission d’accès à l’information.

• Les plaintes sont traitées selon les politiques internes décrites ci-dessous.

 

 Procédure de traitement des plaintes
 

1. Réception des plaintes

• Les plaintes peuvent être déposées par :

  • Écrit

  • Téléphone

  • Courriel

• Elles sont enregistrées dans un registre centralisé, accessible uniquement au personnel désigné.

• L’employé qui reçoit la plainte doit aviser immédiatement le responsable désigné.

​

2. Évaluation préliminaire

• Le responsable examine chaque plainte pour en évaluer la pertinence et la gravité.

• Les plaintes frivoles, diffamatoires ou sans fondement peuvent être rejetées, avec justification fournie au plaignant.

​

3. Enquête et analyse

• Le responsable mène une enquête complète :

  • Collecte de preuves

  • Entrevues avec les parties concernées

  • Analyse des documents pertinents

• Il agit de manière impartiale et dispose de l’autorité nécessaire pour résoudre la plainte.

• La confidentialité est maintenue tout au long du processus, et toutes les parties sont traitées équitablement.

​

4. Résolution de la plainte

• Le responsable de la plainte propose des solutions appropriées pour résoudre la plainte dans les meilleurs délais.

• Les solutions peuvent inclure des mesures correctives, des compensations financières ou toute autre action nécessaire pour résoudre la plainte de manière satisfaisante.

​​

5. Communication avec le plaignant

• Le responsable de la plainte communique régulièrement avec le plaignant pour le tenir informé de l'avancement de l'enquête et de la résolution de la plainte.

• Toutes les communications doivent être professionnelles, empathiques et respectueuses.

​

6. Clôture de la plainte

• Une fois la plainte résolue, le responsable de la plainte doit fournir une réponse écrite au plaignant, résumant les mesures prises et les solutions proposées.

• Toutes les informations et documents relatifs à la plainte doivent être conservés dans un dossier confidentiel.

​

 Procédure de demande de désindexation et de suppression des renseignements personnels

 

1. Objectif

Le but de cette procédure est de fournir un mécanisme structuré pour gérer les demandes de désindexation et de suppression des renseignements personnels émanant de nos clients.
 

2. Portée

Cette procédure s'applique à notre équipe interne chargée de la gestion des demandes de désindexation et de suppression des renseignements personnels. Elle couvre toutes les informations publiées sur nos plateformes en ligne, y compris notre site web, nos applications mobiles, nos bases de données ou tout autre support numérique utilisé par nos clients.

​

3. Définitions

• Suppression des renseignements personnels : action d'effacer complètement les données, les rendant indisponibles et irrécupérables.

• Désindexation des renseignements personnels : retrait des informations des moteurs de recherche, les rendant moins visibles, mais toujours accessibles directement.

• La suppression élimine définitivement les données, tandis que la désindexation limite leur visibilité en ligne.

​

4. Procédure
4.1 Réception des demandes

• Les demandes de désindexation et de suppression des renseignements personnels doivent être reçues par l'équipe responsable désignée.

• Les clients peuvent soumettre leurs demandes par le biais de canaux spécifiques tels que le formulaire en ligne, l’adresse courriel dédiée ou le numéro de téléphone.

​

4.2 Vérification de l'identité

• Avant de traiter la demande, l'identité de l'individu doit être vérifiée de manière raisonnable.

• Cela peut être fait en demandant des informations supplémentaires ou en vérifiant l'identité de l'individu en personne.

• Si l'identité ne peut pas être vérifiée de manière satisfaisante, l'organisation peut refuser de donner suite à la demande.

​​

4.3 Évaluation des demandes

• L'équipe responsable doit examiner attentivement les demandes et les renseignements personnels concernés pour déterminer leur admissibilité à la désindexation ou à la suppression.

• Les demandes doivent être traitées de manière confidentielle et dans le respect des délais prévus.

​

4.4 Raisons d’un refus

Il existe aussi des raisons parfaitement valables pour lesquelles nous pourrions refuser de supprimer ou de désindexer des renseignements personnels :

• Pour continuer à fournir des biens et des services au client ;

• Pour des raisons d’exigence du droit du travail ;

• Pour des raisons juridiques en cas de litige.

​

4.5 Désindexation ou suppression des renseignements personnels

L'équipe responsable doit prendre les mesures nécessaires pour désindexer ou supprimer les renseignements personnels conformément aux demandes admissibles.

​​

4.6 Communication du suivi

• L'équipe responsable est chargée de communiquer avec les demandeurs tout au long du processus, en fournissant des confirmations d'accusé de réception et des mises à jour régulières sur l'état d'avancement de leur demande.

• Tout retard ou problème rencontré lors du traitement des demandes doit être communiqué aux demandeurs avec des explications claires.

​​

4.7 Suivi et documentation

• Toutes les demandes de désindexation et de suppression des renseignements personnels, ainsi que les actions entreprises pour y répondre, doivent être consignées dans un système de suivi dédié.

• Les enregistrements doivent inclure les détails des demandes, les mesures prises, les dates et les résultats des actions effectuées.

​

​

​​Procédure de gestion des incidents de sécurité et violations des renseignements personnels

​

1. Aperçu

Un plan d’intervention est essentiel pour gérer des cyber incidents de manière efficace. Dans ces moments de crise, on ne sait pas toujours comment agir et prioriser les actions. Un plan d’intervention vient réduire le stress d’oublier des aspects importants.

 

2. Objectif

Le but de cette procédure est de s’assurer que l’organisation est prête à intervenir en cas de cyber incident de manière à pouvoir reprendre rapidement ses activités.

 

3. Portée

La portée de cette procédure inclut tous les réseaux et systèmes, ainsi que les parties prenantes (clients, partenaires, employés, sous-traitants, fournisseurs) qui accèdent à ces systèmes.

​

4. Reconnaître un cyber incident

Un incident de cybersécurité peut ne pas être reconnu ou détecté immédiatement. Toutefois, certains indicateurs peuvent être les signes d’une atteinte à la sécurité, qu’un système a été compromis, d’une activité non autorisée, etc. Il faut toujours être à l’affût de tout signe indiquant qu'un incident de sécurité s'est produit ou est en cours.
 

Certains de ces indicateurs sont décrits ci-dessous :

• Activité excessive ou inhabituelle de la connexion et du système, notamment à partir de tout identifiant d'utilisateur (compte d'utilisateur) inactif.

• Accès distant excessif ou inhabituel dans votre organisation. Cela peut concerner le personnel ou des fournisseurs tiers.

• L'apparition de tout nouveau réseau sans fil (Wi-Fi) visible ou accessible.

• Une activité inhabituelle liée à la présence de logiciels malveillants, de fichiers suspects ou de fichiers et programmes exécutables nouveaux ou non approuvés.

• Ordinateurs ou appareils perdus, volés ou égarés qui contiennent des données de cartes de paiement, renseignements personnels ou d'autres données sensibles.

 

5. Coordonnées des personnes ressources

​

Entreprise : Shine Like A Diamond | Brillance, élégance & permanence

Responsable : Fanny Toussaint
Adresse : 1420 boul Pie XI Nors G3J 0L6

Courriel : Shine-like-diamond@outlook.com

Téléphone : 418 953-3274

Site web : shinelikeadiamond.ca

​

 

 Atteinte à la protection des renseignements personnels – Intervention spécifique
 

S’il a été confirmé qu'un incident de sécurité lié à une atteinte à la protection des renseignements personnels s'est produit, il faudra effectuer les étapes suivantes :
 

• Compléter le registre d’incidents de confidentialité pour documenter l’incident.​

• Examiner l’atteinte à la protection des renseignements personnels pour déterminer si des renseignements personnels ont été perdus en raison d'un accès ou utilisation non autorisés, d'une divulgation non autorisée ou de toute atteinte la protection de ces renseignements personnels et qu’il existe un risque de préjudice sérieux pour les personnes concernées.

  • Dans un tel cas, le signaler à la Commission de l’accès à l’information au Québec.

  • Et, le signaler également aux personnes dont les renseignements personnels sont visés par l’incident.

  • Utiliser nomoreransom.org si les données sont critiques

  • Politique : ne pas payer la rançon, sauf exception

  • Faire appel à un expert en cyberattaques (breach coach)

  • Mettre en œuvre des correctifs pour prévenir une nouvelle attaque

 

Rançongiciel – Intervention spécifique
 

S’il a été confirmé qu'un incident de sécurité de rançongiciel s'est produit, il faudra effectuer les étapes suivantes :
 

• Déconnecter immédiatement du réseau les appareils visés par un rançongiciel.

• Ne RIEN EFFACER sur de vos appareils (ordinateurs, serveurs, etc.).

• Examiner le rançongiciel et déterminer comment il a infecté l'appareil. Cela vous aidera à comprendre comment l’éliminer.

• Communiquer avec les autorités locales pour signaler l'incident et coopérer à l’enquête.

• Une fois le rançongiciel supprimé, une analyse complète du système doit être effectuée à l'aide d’un antivirus, d’un anti-maliciel et de tout autre logiciel de sécurité le plus récent disponible afin de confirmer qu'il a été supprimé de l'appareil.

• Si le rançongiciel ne peut pas être supprimé de l'appareil (souvent le cas avec les programmes malveillants furtifs), l’appareil doit être réinitialisé au moyen des supports ou des images d'installation d'origine.

  • Avant de procéder à la réinitialisation à partir de supports/images de sauvegarde, vérifier qu’ils ne sont pas infectés par des maliciels.

• Si les données sont critiques et doivent être restaurées, mais ne peuvent être récupérées à partir de sauvegardes non affectées, rechercher les outils de déchiffrement disponibles sur nomoreransom.org.

• La politique est de ne pas payer la rançon, sous réserve des enjeux en cause. Il est également fortement recommandé de faire appel aux services d’un chef de projet expert en cyberattaques (breach coach).

• Protéger les systèmes pour éviter toute nouvelle infection en mettant en œuvre des correctifs ou des rustines pour empêcher toute nouvelle attaque.

 

Piratage de compte – Intervention spécifique
 

S’il a été confirmé qu'un piratage de compte s'est produit, il faudra effectuer les étapes suivantes :
 

• Aviser nos clients et fournisseurs qu’ils pourraient recevoir des courriels frauduleux de notre part, et spécifier de ne pas répondre ou cliquer sur les liens de ces courriels.

• Vérifier si on a encore accès au compte en ligne.

  • Sinon, communiquer avec le support de la plateforme pour tenter de récupérer l’accès.

• Changer le mot de passe utilisé pour se connecter à la plateforme.

• Si le mot de passe est réutilisé ailleurs, changer également tous ces mots de passe.

• Activer le double facteur d’authentification pour la plateforme.

• Supprimer les connexions et les appareils non légitimes de l’historique de connexion.

 

Perte ou vol d’un appareil – Intervention spécifique
 

S’il a été confirmé qu'une perte d’équipement s'est produite, il faudra effectuer les étapes suivantes :
 

• Le vol ou la perte d'un bien, tel qu'un ordinateur, un ordinateur portatif ou un appareil mobile, doit être signalé immédiatement aux autorités policières locales. Cela inclut les pertes/vols en dehors des heures d’ouverture normale et pendant les week-ends.

• Si l'appareil perdu ou volé contenait des données sensibles et qu’il n'est pas crypté, effectuer une analyse de sensibilité, du type et du volume des données volées, y compris les numéros de cartes de paiement potentiellement concernés.

• Dans la mesure du possible, verrouiller/désactiver les appareils mobiles perdus ou volés (p. ex. : téléphones intelligents, tablettes, ordinateurs portatifs, etc.) et procéder à un effacement des données à distance.

 

​

​

Législation
 

Nous nous engageons à respecter les dispositions de la Loi 25 du Québec sur la protection des renseignements personnels.
Cette politique peut être modifiée pour rester conforme à la loi et refléter les changements dans nos pratiques.
Les utilisateurs sont invités à consulter régulièrement cette politique. Des avis par courriel peuvent être envoyés en cas de mise à jour importante.​​

​

Dernière mise à jour : 4 septembre 2025