Le Groupe CSA, ses filiales et entreprises associées (collectivement : le «Groupe CSA») s’engagent à protéger vos renseignements personnels. Nous ne les partageons pas, nous ne les vendons pas et nous n’y accédons pas sauf pour vous fournir nos services prévus par contrat, ou aux fins auxquelles vous avez consenti.

Le présent document résume les politiques et pratiques en matière de sécurité des données que nous avons mises en œuvre dans le cadre de notre programme de sécurité. Les définitions des termes «responsable du traitement des données» et «sous-traitant des données» sont celles qu’énonce le Règlement général sur la protection des données de l’UE 2016/679 (RGPD).

La protection de nos locaux et de nos installations de traitement des données

Les données personnelles sont situées dans des serveurs à l’intérieur de centres de données de niveau 1 ou supérieur (utilisés par les sous-traitants des données), ou dans des salles sécurisées consacrées aux serveurs dans les locaux du Groupe CSA. Les sous-traitants des données ont mis en œuvre, dans tous les locaux du Groupe CSA, des contrôles de sécurité pour empêcher les personnes non autorisées d’accéder physiquement à l’équipement de traitement des données contenant des données personnelles. Ces contrôles de sécurité comprennent notamment :

  • Des zones de sécurité établies
  • Des contrôles d’autorisation d’accès pour les employés et les tiers
  • Des systèmes d’alarme
  • L’utilisation de cartes d’identité de proximité ou d’un dispositif d’authentification biométrique aux fins d’accès
  • La surveillance vidéo ou des registres d’accès
  • Des procédures d’accès pour les visiteurs

La protection de nos systèmes

Le Groupe CSA a mis en œuvre des mesures pour prévenir et détecter l’intrusion par des personnes non autorisées dans ses systèmes de traitement des données. Les contrôles des systèmes comprennent notamment l’utilisation des mesures suivantes :

  • Des contrôles d’accès mis en œuvre selon les responsabilités professionnelles et l’utilisation de procédures d’autorisation
  • Des contrôles d’accès privilégié pour les administrateurs, gérés séparément
  • L’enregistrement chronologique des données d’accès
  • L’utilisation d’un pare-feu de la nouvelle génération et de restrictions à l’accès réseau
  • La détection de logiciels malveillants et les mesures de prévention connexes à de multiples étapes
  • L’utilisation d’identités gérées de manière centralisée, de mots de passe difficiles à deviner, de méthodes d’authentification multifactorielle et de certificats numériques
  • La surveillance des intrusions et les interventions à la suite d’infractions détectées d’autres évènements opérationnels ou liés à la sécurité
  • La surveillance de la conformité aux mesures de sécurité et l’analyse des vulnérabilités
  • Les mises à jour des correctifs du système et des logiciels de sécurité
  • Les évaluations indépendantes et les tests d’intrusion

La protection de nos données

L’accès aux renseignements personnels contrôlés ou traités par le Groupe CSA, de même que leur divulgation, est protégé au moyen de règles d’autorisation d’accès ou par le cryptage. Les personnes autorisées ayant accès aux systèmes contenant des renseignements personnels ne peuvent y accéder que dans la mesure et la portée des permissions qui leur sont accordées compte tenu de leurs responsabilités professionnelles, et que pour fournir des services ou accomplir des tâches qui ont été divulgués aux personnes concernées par les données. Lorsque ce sont des tiers qui traitent des renseignements personnels contrôlés par le Groupe CSA, leur accès à ces données doit être assorti de contrôles équivalents. Lesdits contrôles comprennent notamment :

  • L’accès contrôlé aux renseignements personnels par des règles fondées sur le rôle professionnel, des authentifiants de connexion uniques et le principe de droit d’accès minimal
  • L’utilisation du cryptage au cours des transferts et du repos, à l’aide de solides algorithmes
  • Des systèmes qui conservent des registres d’accès pendant une période de temps raisonnable
  • Une formation visant la conscientisation des employés, et des politiques sur l’utilisation des renseignements personnels et sur l’accès à ceux-ci
  • Des examens réguliers des comptes, des privilèges d’accès et des activités des administrateurs

Garantir la disponibilité de nos données

Le Groupe CSA a mis en œuvre des mesures pour garantir que les renseignements personnels sont protégés contre les pertes ou la destruction accidentelle découlant de catastrophes éventuelles chez nos sous-traitants des données. Ces mesures comprennent notamment :

  • Des exigences et des ententes de service relatives au rendement du système, au temps de disponibilité, à l’entreposage de copies de sauvegarde séparées physiquement et au rétablissement après catastrophe, le tout assorti de systèmes de sécurité appropriés et de contrôles du traitement
  • Des politiques et procédures relatives à la sauvegarde, des plans de rétablissement après catastrophe et des mises à l’épreuve liées
  • Une surveillance de la disponibilité en temps réel des systèmes d’application et des réseaux

La gestion de nos tiers sous-traitants des données

Le Groupe CSA demeure responsable de tout renseignement personnel traité par un tiers sous-traitant des données et il a mis en œuvre des mesures pour garantir que de telles données soient protégées à un niveau au moins aussi élevé que s’il les traitait directement. Outre les exigences à l’endroit du sous-traitant des données décrites ci-dessus, le Groupe CSA prend également les mesures qui suivent :

  • Des examens de la diligence raisonnable relativement à la sécurité et aux contrôles de disponibilité des sous-traitants des données, à leur capacité de réalisation, à leurs dossiers financiers et à d’autres risques
  • L’examen des vérifications ou des évaluations indépendantes du sous-traitant des données
  • La garantie qu’un mécanisme juridique est en place pour permettre légalement au Groupe CSA de transmettre les renseignements personnels des résidents de l’Union européenne au sous-traitant des données
  • L’exigence d’un libellé non ambigu des contrats et des ententes qui comprend des clauses précises liées à l’utilisation et à la séparation des données, et qui confirme que le Groupe CSA demeure exclusivement propriétaire des données et que lui seul en assure le contrôle
  • La gestion des niveaux de services et le recours à des gestionnaires des relations chez les sous-traitants de données indispensables