1 Introduction
Le Groupe PECB inc. (ci-après « PECB », « nous » et autres pronoms apparentés) est le responsable du traitement des données et le sous-traitant des informations fournies à des fins d'inscription, de candidature, de formation, d'examen et de certification, ainsi que de services de soutien.
Comme indiqué dans notre politique de protection des données, nous nous engageons à traiter les informations de nos employés, clients, parties prenantes et autres parties intéressées avec prudence et en toute confidentialité. Cette politique décrit la manière dont nous collectons, stockons, traitons et sécurisons nos données.
Les règles énoncées dans ce document concernent toute forme de données, qu'elles soient stockées électroniquement, sur papier ou sur tout autre support de stockage.
2 Éléments de protection de la vie privée
Dans le cadre de nos activités, nous recueillons et traitons toutes les informations ou données qui permettent d’identifier un individu, y compris, sans que soit limitée la portée générale de ce qui suit, le nom complet, le numéro de téléphone, les identifiants du compte et l'adresse du domicile.
L'utilisation par PECB des données à caractère personnel est régie par la Loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE), le Règlement général européen sur la protection des données (RGPD) et d'autres lois nationales sur la protection de la vie privée qui offrent le même niveau de protection des données que le RGPD.
Nous nous engageons à traiter toutes les données à caractère personnel sous notre contrôle conformément aux principes de protection des données.
Les données que nous traitons seront :
- Traitées de manière licite, loyale et transparente
- Recueillies uniquement à des fins spécifiques, explicites et limitées (limitation de la finalité)
- Adéquates, pertinentes et non excessives (minimisation des données)
- Exactes et mises à jour, si nécessaire
- Conservées pendant une durée n'excédant pas celle nécessaire (conservation)
- Traitées avec la sécurité et la confidentialité appropriées
3 Rôles et responsabilités
Tous les employés et collaborateurs de PECB sont tenus de veiller à ce que la collecte, le stockage, le traitement et la protection des données soient effectués de manière appropriée. Les coordonnées de notre délégué à la protection des données sont les suivantes :
Personne : Délégué à la protection des données
E-mail : dpo@pecb.com
Téléphone : 1-844-426-7322
Voici les responsabilités de personnes ou de services spécifiques :
3.1. Délégué à la protection des données
- Informer et conseiller le responsable du traitement ou le sous-traitant et leurs employés sur les obligations qui leur incombent en vertu des lois sur la protection des données
- Servir de personne-ressource pour les demandes des personnes concernant le traitement de leurs données à caractère personnel et l'exercice de leurs droits
- Superviser et mettre en œuvre des stratégies de protection des données
- Effectuer des évaluations et des audits réguliers pour garantir la conformité au RGPD
3.2. Responsable de la sécurité de l’information
- Assurer régulièrement la supervision et l'amélioration continue des programmes de sensibilisation à la cybersécurité et la gestion des risques
- Collaborer avec le comité de sécurité et diriger la conception, la mise en œuvre, l'exploitation et le maintien du système de management de la sécurité de l'information (SMSI) basé sur les normes de la série ISO/IEC 27000
- S'assurer que des tests périodiques sont effectués pour évaluer la posture de sécurité de l'information
- Diriger la conception et le déroulement des activités connexes de surveillance et d'amélioration de la conformité afin d'assurer la conformité aux politiques de sécurité interne ainsi qu'aux lois et règlements applicables
- Développer et gérer les mesures afin de garantir la conformité aux exigences des diverses lois, normes et réglementations en matière de sécurité.
3.3. Responsable des systèmes informatiques
- Se conformer strictement à toutes les politiques de PECB relatives à la non-divulgation, à la non-concurrence et à la confidentialité de l’information
- Se tenir constamment à jour sur les diverses technologies et divers outils Web
- Effectuer les mises à niveau matérielles et logicielles des systèmes réseau et installer les correctifs de sécurité le cas échéant
- Vérifier et surveiller l’état général des réseaux et des dispositifs réseau
- Effectuer une surveillance quotidienne du système, vérifier l’intégrité et la disponibilité de l’ensemble du matériel, des ressources du serveur, des systèmes et des processus informatiques, examiner les journaux du système et des applications et vérifier l'achèvement des tâches programmées telles que les sauvegardes
- Mettre en œuvre, configurer et maintenir les réseaux informatiques, les logiciels et la sécurité numérique
3.4. Service de la conformité
- S'assurer que l'accès aux données à caractère personnel des détenteurs de certification, des formateurs, auditeurs, examinateurs, candidats à l'examen et surveillants ne sera pas partagé ou fourni à des personnes non autorisées
- S'assurer que les documents et données supplémentaires fournis par les demandeurs sont stockés de manière appropriée et centralisée afin de garantir la confidentialité, l'intégrité et la disponibilité des données
3.5. Service du développement des affaires
S'assurer que l'accès aux données à caractère personnel des revendeurs et agents agréés par PECB :
- Est réservé au personnel autorisé
- Ne sera pas partagé ou fourni à des personnes non autorisées
3.6. Administrateur système
S'assurer que l'accès aux données à caractère personnel des membres enregistrés sur le site Web de PECB :
- Est réservé au personnel autorisé
- Ne sera pas partagé ou fourni à des personnes non autorisées
4 Lignes directrices générales
- Les données à caractère personnel des parties prenantes sont réservées aux employés qui en ont besoin pour accomplir leur travail conformément à leurs responsabilités professionnelles.
- Le partage informel des données est interdit. Lorsque l'accès à des informations confidentielles est nécessaire, les employés doivent en faire la demande à leur supérieur immédiat.
- Tous les employés de PECB doivent suivre une formation complète pour les aider à comprendre leurs responsabilités dans le traitement des données à caractère personnel.
- Les données traitées par les employés doivent être sécurisées et stockées conformément aux directives de stockage des données présentées dans la section ci-dessous.
- En particulier, les identifiants de compte et les mots de passe doivent être conservés dans un stockage chiffré à accès restreint.
- Les données à caractère personnel ne doivent pas être divulguées ou communiquées à des personnes non autorisées, que ce soit au sein de l'entreprise ou à l'extérieur.
- En cas de doute sur un aspect quelconque de la protection des données, les employés doivent demander l'aide de leur supérieur immédiat ou du délégué à la protection des données.
5 Stockage des données
Ces directives décrivent le stockage et le processus de stockage sécurisé des données. Les données stockées sur papier doivent être conservées dans un lieu de stockage sécurisé limité au seul personnel autorisé. Cette directive s'applique également aux données stockées électroniquement et imprimées pour des raisons spécifiques.
- Les fichiers sur papier doivent être conservés dans un tiroir ou un classeur verrouillé.
- Les employés ayant accès aux dossiers papier doivent assurer la confidentialité et appliquer une politique de bureau propre.
- Lorsqu'ils ne sont plus nécessaires, les dossiers imprimés doivent être déchiquetés et éliminés en toute sécurité.
Lorsque des données sont stockées électroniquement, elles doivent être protégées contre tout accès non autorisé, toute suppression accidentelle et toute tentative de piratage malveillant.
- Les données doivent être protégées par des mots de passe forts, changés régulièrement et jamais partagés entre les employés.
- Les données ne doivent pas être stockées sur des supports amovibles (comme un CD ou un DVD). Si cela est nécessaire pour des raisons professionnelles, les supports amovibles doivent être verrouillés et sécurisés.
- Les données ne doivent être stockées que sur des serveurs désignés dans les locaux de PECB et ne doivent être téléchargées que sur des services de cloud computing approuvés.
- Les exigences minimales en matière de chiffrement sont AES 128 bits. Ceci s'applique aux données en transit ou inactives, qu'elles soient stockées dans les locaux ou dans le cloud.
- La communication sécurisée est assurée chez PECB par TLS (Transport Layer Security) en utilisant Microsoft Exchange, Sendinblue, ou Amazon SES lors de la communication par e-mail.
- Les serveurs contenant des données à caractère personnel doivent être situés dans un endroit sécurisé dont l'accès est réservé au seul personnel autorisé. Le site doit être surveillé et son accès contrôlé.
- Les données doivent être sauvegardées quotidiennement. Ces sauvegardes doivent être testées régulièrement, conformément aux procédures de sauvegarde standard de l'entreprise.
- Les données ne doivent jamais être sauvegardées directement sur des ordinateurs portables ou d'autres appareils mobiles (par exemple, des tablettes ou des téléphones intelligents).
- Tous les serveurs et ordinateurs contenant des données doivent être protégés par un logiciel de sécurité approuvé et un pare-feu.
- Toutes les données entrant dans les systèmes et le site Web de PECB sont stockées comme uniques et des mesures visant à empêcher l'escalade des privilèges sont prises.
- Toutes les données qui entrent dans la base de données du site Web de PECB sont protégées par des certificats qui garantissent une communication chiffrée lors de la réception et de l'envoi d'informations.
6 Utilisation des données
- Toutes les données recueillies par PECB sont strictement destinées aux services liés à PECB. Elles sont utilisées pour fournir des réponses ou des services complets. Aucun autre service non lié à PECB ne sera proposé à partir des données recueillies.
- Lorsqu'ils travaillent avec des données à caractère personnel, les employés doivent s'assurer que leurs écrans d'ordinateur sont toujours verrouillés lorsqu'ils sont laissés sans surveillance.
- Les données doivent être chiffrées avant d'être transférées par voie électronique.
- Les employés ne doivent pas enregistrer de copies de données à caractère personnel sur leurs ordinateurs. Ils doivent toujours accéder à la copie centrale de toute donnée et la mettre à jour.
7 Exactitude des données et mesures à prendre
Afin de protéger les données, PECB prend des mesures raisonnables et s'engage à :
- Restreindre et surveiller l'accès aux données sensibles
- Mettre en place des procédures efficaces de collecte des données
- Fournir aux employés une formation sur la confidentialité et les mesures de sécurité en ligne
- Construire des réseaux sécurisés pour protéger les données en ligne contre les cyberattaques
- Établir des procédures claires pour signaler les violations de la vie privée ou l'utilisation abusive des données
- Inclure des clauses contractuelles ou communiquer des déclarations sur la façon dont nous traitons les données
- Mettre à jour les données continuellement
- Veiller à ce que les bases de données marketing soient vérifiées par rapport aux fichiers de suppression de l'industrie
- Installer des journaux de suivi pour surveiller les activités des employés et s’assurer que les données ne sont pas utilisées à mauvais escient
- Installer un pare-feu et un logiciel de protection qui empêchent les employés de partager et de distribuer à l'extérieur les données provenant des appareils de PECB en détectant les grandes quantités de données transférées par e-mail ou sur des disques externes.
- Établir des pratiques de protection des données (déchiquetage des documents, serrures sécurisées, chiffrement des données, sauvegardes fréquentes, autorisation d'accès, etc.)
8 Demandes d’accès d'une personne concernée
Toutes les personnes et tous les organismes qui font l'objet de données personnelles et autres données détenues par PECB ont le droit de :
- Demander quelles informations PECB détient à leur sujet et pourquoi
- Demander comment y avoir accès
- Être informés de la manière de les mettre à jour
- Être informés de la manière dont l'entreprise remplit ses obligations en matière de protection des données
Nos clients peuvent demander de telles informations directement par le biais d’une demande d'accès d’une personne concernée par e-mail à l'adresse information.security@pecb.com, ou par le biais du formulaire numérique disponible ici. Nous vérifierons toujours l'identité de toute personne effectuant une demande d'accès avant de lui transmettre des informations. Une confirmation sera demandée à la personne concernée en utilisant l'adresse e-mail qu'elle a utilisée pour créer un compte auprès de PECB.
La première copie des données demandée sera fournie gratuitement. Des frais de 30 USD seront facturés pour les copies supplémentaires. Nous nous efforçons de répondre à la demande dans un délai de 14 jours.
8.1 Modification des données
Nos clients peuvent demander la modification ou la correction des données par e-mail à information.security@pecb.com par le biais du formulaire numérique disponible ici. PECB vérifiera l'identité de toute personne faisant une demande avant de modifier ou de corriger toute information.
8.2 Effacement des données
Nos clients peuvent demander l'effacement de leurs données par e-mail à information.security@pecb.com ou par le biais du formulaire numérique disponible ici. La personne concernée recevra toutes les informations nécessaires avant l'effacement.
Avant de procéder à l'effacement, la personne concernée recevra de notre délégué à la protection des données une déclaration expliquant le résultat de l'effacement des données. L'effacement des données peut être demandé à tout moment.
9 Enfants
Notre site Web n'est pas destiné aux enfants ni aux personnes de moins de 16 ans. PECB ne recueille pas sciemment d’informations personnelles identifiables (IPI) auprès de personnes de moins de 16 ans. Nous nous efforçons de nous conformer aux dispositions du Commissariat à la protection de la vie privée du Canada (CPVP) et du Règlement général sur la protection des données de l'Union européenne (RGPD de l’EU). Si vous êtes le parent ou le gardien d'un enfant ou d’une personne de moins de 16 ans et que vous pensez que celui-ci nous a fourni des informations le concernant, veuillez nous contacter à l'adresse dpo@pecb.com.
10 Divulgation de données
Dans certaines circonstances, lorsque nécessaire, PECB peut divulguer des données aux organismes chargés de l'application de la loi sans le consentement de la personne concernée. Toutefois, le responsable du traitement des données s'assurera que la demande est licite, en demandant l'aide du conseil d'administration et des conseillers juridiques de l'entreprise, le cas échéant.
11 Déclaration de protection de la vie privée
Notre Déclaration de protection de la vie privée est disponible sur notre site Web. Elle énonce le type d'informations que nous recueillons, l'objectif de la collecte et de l'utilisation, les processeurs tiers impliqués et la manière dont nous protégeons les données des clients. Cette déclaration de protection de la vie privée est disponible ici : https://pecb.com/fr/pecb-privacy-statement.