Politique de Confidentialité

Contexte

La présente politique sur la sécurité de l’information est un ensemble de règles et de directives que notre institution met en place pour garantir la confidentialité, l’intégrité et la disponibilité de ses informations et systèmes. Cette politique contribue à la protection contre les cybermenaces telles que le piratage, les logiciels malveillants et les violations de données, et elle aide également notre organisation à se conformer aux lois et réglementations pertinentes, notamment la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (LRQ, chapitre. G1.03) et la Directive sur la sécurité de l’information crée des obligations aux établissements collégiaux en leur qualité d’organismes publics.

Le contenu spécifique de la politique sur la sécurité de l’information variera en fonction de des risques spécifiques auxquels elle est confrontée. Elle est utilisée pour protéger un large éventail d’informations sensibles, notamment :

Les informations personnelles des élèves et du personnel, telles que les noms, adresses, numéros de téléphone et numéros de sécurité sociale
Les dossiers médicaux et autres informations médicales
Les dossiers scolaires et les relevés de notes
Les informations financières, telles que les données de paiement et de facturation
Les données de propriété intellectuelle
Les mots de passe et identifiants de connexion
Les configurations des réseaux et des systèmes
La conservation et destruction des données
La réponse aux incidents et rapports.

Outre la protection de ces informations sensibles, la politique de sécurité de l’information technologique du collège couvre également des sujets tels que l’utilisation acceptable de la technologie fournie par le collège, notamment les directives relatives à l’utilisation d’Internet, du courrier électronique et des médias sociaux. Elle porte également sur les mesures de sécurité physique des équipements technologiques et des centres de données, ainsi que sur les procédures de réponse aux incidents et aux violations de la sécurité.

Dans notre collège, nous nous engageons à protéger votre vie privée. Cette politique de confidentialité explique entre autres comment nous recueillons, utilisons et partageons les informations vous concernant lorsque vous visitez notre site Web ou utilisez nos services en ligne.

Parties prenantes

Les parties prenantes concernées par la politique sur la sécurité de l’information incluent :

Les étudiants : La politique sur la sécurité de l’information peut affecter les étudiants de plusieurs façons, y compris la façon dont ils peuvent accéder et utiliser les ressources du collège telles que les ordinateurs, les réseaux et les services en ligne.
Le corps professoral : La politique sur la sécurité de l’information peut également avoir un impact sur les membres du corps enseignant en établissant des lignes directrices sur la façon dont ils peuvent utiliser et accéder aux ressources du collège, ainsi que sur la façon dont ils peuvent stocker et partager des informations sensibles.
Le personnel : Les membres du personnel peuvent être affectés par la politique sur la sécurité de l’information de la même manière que le corps enseignant, y compris la manière dont ils peuvent accéder aux ressources du collège et les utiliser, et la manière dont ils peuvent traiter les informations sensibles.
Les administrateurs : les administrateurs du collège sont responsables de la mise en oeuvre et de l’application de la politique sur la sécurité de l’information, ainsi que de l’éducation de la communauté collégiale sur cette politique.
Le personnel informatique : Les membres du personnel des technologies de l’information (TI) sont responsables du maintien de la sécurité des systèmes d’information et des réseaux du collège, et de la réponse aux incidents de sécurité.

Dans l’ensemble, la politique sur la sécurité de l’information inclut également d’autres groupes de personnes physiques ou morales, tels que les fournisseurs, les partenaires et les consultants qui utilisent les actifs informationnels.

Cadre légal et administratif

La politique sur la sécurité s’inscrit principalement dans un contexte régi par :

La Charte des droits et libertés de la personne (LRQ, chapitre C-12);
Le Code civil du Québec (LQ, 1991, chapitre 64);
La Politique-cadre sur la gouvernance et la gestion des ressources informationnelles des organismes publics; Politique sur la sécurité de l’information 5
La Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (LRQ, chapitre G-1.03);
La Loi concernant le cadre juridique des technologies de l’information (LRQ, chapitre C1.1);
La Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (LRQ, chapitre A-2.1);
La Loi sur les archives (LRQ, chapitre A-21.1);
Le Code criminel (LRC, 1985, chapitre C-46);
Le Règlement sur la diffusion de l’information et sur la protection des renseignements personnels (chapitre A-2.1, r. 2);
La Directive sur la sécurité de l’information gouvernementale;
La Loi sur le droit d’auteur (LRC, 1985, chapitre C-42).

Protection de l’information

Nous prenons des mesures raisonnables pour protéger la sécurité des informations personnelles des étudiants, des professeurs et du personnel par la mise en oeuvre de la politique sur la sécurité de l’information qui inclut:

A. Le contrôle de l’accès: limiter l’accès aux informations sensibles aux seules personnes qui en ont besoin pour accomplir leurs tâches professionnelles. Cela peut se faire par l’utilisation de comptes d’utilisateurs et de mots de passe, ainsi que par des méthodes plus fortes comme l’authentification à deux facteurs.

B. Le Cryptage des données: cryptez les données sensibles, à la fois en stockage et en transit, pour empêcher tout accès ou interception non autorisé. Cela inclut le cryptage des e-mails, ainsi que le cryptage des données stockées sur les ordinateurs portables et autres appareils mobiles (tablettes).

C. La sécurité du réseau: protéger le réseau du collège contre les menaces externes telles que les pirates et les logiciels malveillants. Cela se fait par l’utilisation de pare-feu, de systèmes de détection et de prévention des intrusions et d’autres outils de sécurité.

D. La sécurité physique: protégez les actifs physiques tels que les serveurs et les centres de données contre tout accès non autorisé ou toute altération. Il s’agit de portes verrouillées, de caméras de sécurité et de systèmes d’accès par badge.

E. La formation et sensibilisation: sensibilisez les étudiants, le corps enseignant et le personnel aux meilleures pratiques en matière de sécurité de l’information et à l’importance de protéger les données sensibles. Il s’agit de rappels réguliers sur l’importance des mots de passe forts et les dangers des escroqueries par hameçonnage, ainsi que de programmes de formation plus formels.

Collecte d'informations

Nous recueillons des informations vous concernant de différentes manières:

Informations que vous nous fournissez: nous recueillons les informations que vous nous fournissez, telles que votre nom, votre adresse électronique, votre numéro de téléphone et d’autres coordonnées.
Informations que nous recueillons automatiquement: lorsque vous visitez notre site web, nous recueillons automatiquement certaines informations sur votre appareil et votre visite, telles que votre adresse IP, votre type de navigateur et votre type d’appareil.

Utilisation des informations

Nous utilisons les informations que nous recueillons à votre sujet à quelques fins différentes:

Pour fournir et améliorer nos services : nous utilisons vos informations pour fournir et améliorer les services que nous proposons, par exemple en répondant à vos demandes de renseignements et en vous inscrivant à des cours de langue.
Pour communiquer avec vous : nous utilisons vos informations pour communiquer avec vous, par exemple en vous envoyant des courriels ou des messages texte concernant votre compte ou les cours à venir.
Pour l’analyse et la recherche : nous utilisons vos informations pour mieux comprendre comment notre site web et nos services sont utilisés, et pour les améliorer au fil du temps.

Partage des informations

Nous ne partageons vos informations personnelles avec des tiers, sauf dans les circonstances suivantes:

Avec votre consentement: nous pouvons partager vos informations avec des tiers si vous nous avez donné votre consentement explicite pour le faire.
Pour des raisons juridiques: nous pouvons partager vos informations si nous sommes tenus de le faire par la loi ou en réponse à une demande légale.

Risques acceptables

Dans la présente politique sur la sécurité de l’information, il y aura un certain niveau de risque considéré comme acceptable, tel que:

Les violations de données à faible impact: une violation de données qui implique l’exposition de données à faible impact, comme un répertoire accessible au public des noms et des coordonnées des professeurs et du personnel, peut être considérée comme un risque acceptable.
Perte de données limitée: un incident de sécurité qui entraîne la perte d’une petite quantité de données, ou de données qui peuvent être facilement récupérées ou remplacées, peut être considéré comme un risque acceptable.
Temps d’arrêt mineur du système: un incident de sécurité qui entraîne une brève période d’indisponibilité du système, tant que cette indisponibilité n’a pas d’impact significatif sur le fonctionnement de l’organisation, peut être considéré comme un risque acceptable.
Événements à faible probabilité : un incident de sécurité qui a une faible probabilité de se produire, comme une cyberattaque par un État-nation, peut être considéré comme un risque acceptable.

Il est important de noter que le niveau de risque acceptable varie en fonction des besoins et des objectifs spécifiques de notre organisation. Ce qui peut être considéré comme un risque acceptable pour notre organisation peut ne pas l’être pour une autre.

Rôles et responsabilités

La mise en oeuvre de la politique sur la sécurité de l’information inclut différentes parties qui ont les responsabilités suivantes:

La direction: la direction de l’établissement est chargée de définir l’orientation générale et les priorités en matière de sécurité de l’information, ainsi que de veiller à ce que des ressources suffisantes soient consacrées à cet effet.
Le département informatique: le service informatique est chargé de mettre en oeuvre et de maintenir les contrôles et systèmes techniques qui soutiennent la politique sur la sécurité de l’information. Cela inclut la gestion de la sécurité du réseau, la mise en place et l’application de contrôles d’accès, et la surveillance des incidents de sécurité.
Responsable de la sécurité de l’information: le (RSI) relève du directeur générale et chargé de superviser les efforts de l’institution en matière de sécurité de l’information. Le responsable de la sécurité de l’information est également chargé d’identifier les besoins en matière de sécurité des actifs informationnels, d’élaborer et d’appliquer la politique sur la sécurité de l’information, ainsi que de coordonner avec les autres départements pour assurer la conformité. De plus, il participe à l’exécution des enquêtes relatives à des contraventions réelles ou apparentes à la présente politique et autorisées par le directeur général.
Utilisateurs: tous les membres de la communauté du collège, y compris les étudiants, le corps enseignant et le personnel, sont tenus de respecter la politique sur la sécurité de l’information et d’utiliser les ressources informatiques de l’établissement de manière responsable et sécurisée. Cela inclut l’utilisation de mots de passe forts, la protection des données sensibles et le signalement de tout incident ou problème de sécurité.
Partenaires externes: nos partenaires externes sont également soumis à la politique sur la sécurité de l’information du collège. Il est important que nos partenaires comprennent et suivent la politique pour aider à protéger les données et les systèmes de l’établissement.

Sanctions

Une violation de la sécurité ou de la politique peut nuire à la réputation du collège, ce qui peut avoir des conséquences à long terme. Cela peut entraîner une perte de confiance de la part des étudiants, du corps enseignant et d’autres parties prenantes, voire des pertes financières.

Les sanctions sont des conséquences qui peuvent être imposées aux individus ou aux groupes qui violent la politique sur la sécurité de l’information. Elles dépendent de la nature de la violation de la politique et de la gravité de la violation. Les sanctions qui seront appliquées en cas de violation de la politique sur la sécurité de l’information du collège sont les suivantes:

Des mesures disciplinaires: selon la nature de la violation de la politique, une personne qui enfreint la politique sur la sécurité de l’information peut faire l’objet de mesures disciplinaires. Il peut s’agir d’un avertissement, d’une réprimande ou de conséquences plus graves comme la suspension ou le licenciement.
Perte d’accès: une personne qui enfreint la politique sur la sécurité de l’information peut se voir retirer l’accès à certains systèmes ou ressources. Par exemple, elle peut se voir interdire l’accès à certains réseaux ou bases de données.
Action en justice: dans les cas où la violation de la politique implique une activité illégale, comme le piratage ou le vol de données sensibles, le collège peut décider d’intenter une action en justice contre la personne concernée.

Diffusion et mise à jour de la politique

Le RSI, assisté par le responsable du département des technologies de l’information (TI), est responsable de la diffusion et de la mise à jour de la politique. La Politique sur la sécurité de l’information sera révisée au plus tard quatre ans après son adoption.

Entrée en vigueur

La présente politique entre en vigueur à la date de son adoption par le Conseil d’administration en date du 20 juin 2022.