Gestion des données
Environics Analytics (EA) a mis en place une politique et des pratiques de gouvernance des données, qui créent les systèmes de gestion des données assurant que l’ensemble des renseignements de l’entreprise et des clients sont exacts, accessibles et protégés et le demeurent tout au long de leur cycle de vie.
La politique doit établir la responsabilité de l’organisation à l’égard des renseignements et des données dans l’ensemble des unités d’affaires, fonctions, services et systèmes d’Environics Analytics, ainsi que les procédures utilisées pour les gérer.
Sécurité des données
Le service des TI et le Bureau de gouvernance des données d’EA sont chargés de fournir et de soutenir les systèmes, les services et les infrastructures informatiques nécessaires à la gestion et à l’utilisation de l’ensemble des données et des renseignements. Le service des TI d’EA exécute les tâches d’administration du système généralement acceptées, notamment la sécurité physique des sites, la surveillance des équipements, l’administration des systèmes de sécurité et d’autorisation, les procédures de sauvegarde et de récupération, la planification de la capacité et le contrôle des performances des systèmes. Nous évaluons et améliorons régulièrement nos mesures de sécurité afin de rester à la pointe des menaces en constante évolution.
Les cadres d’audit de sécurité sur lesquels l’EA s’arrime comprennent la norme ISO/IEC 27001 (notre approche de la gestion et de la protection des renseignements sensibles). Cette norme définit les exigences relatives à l’établissement, à la mise en œuvre, à la maintenance et à l’amélioration continue de nos systèmes de gestion de la sécurité de l’information; NIST SP 800-53 (contrôles de la sécurité); SOC1 (contrôles du service à la clientèle et des finances); SOC2 (contrôles de la sécurité, de la disponibilité, de l’intégrité du traitement, de la confidentialité et des renseignements personnels); règles de sécurité relatives au Health Insurance Portability and Accountability Act (HIPAA) (protection des renseignements personnels électroniques). Ces normes permettent d’identifier les vulnérabilités, d’évaluer les risques et de mettre en œuvre des mesures de sécurité efficaces.
Intendance des données
L’EA a mis en place une équipe chargée de l’intendance des données afin de s’assurer que tous les responsables et leurs services prennent soin des données. Les responsables de l’intendance des données désignées au sein de chaque groupe fonctionnel sont chargés d’apporter un soutien à leurs collègues en matière de gouvernance des données et de fournir une expertise et une rétroaction au Bureau de gouvernance des données. Tous les travaux en lien avec les données doivent être réalisés en conformité avec les politiques et pratiques de gouvernance.
Transfert de données
Environics Analytics travaille avec ses clients pour s’assurer que l’information et les données sont transmises avec la plus grande sécurité. Les processus de transmission sont décrits dans la Politique d’information et de classification intégrée aux politiques de sécurité. Le Bureau de gouvernance des données gère les contrôles du protocole de transfert de fichiers sécurisés. Toutes les communications des clients transmises sur Internet sont cryptées (256 bits). Environics Analytics utilise le cryptage sur ses propres serveurs de courrier électronique pour assurer le cryptage point à point grâce au mécanisme TLS opportuniste dont les versions prises en charge sont les versions 1.2 et 1.3.
Inventaire des données
Tous les fichiers de données clients que EA recueille (données entrantes) sont enregistrés par le Bureau de gouvernance des données, qui s’engage à enregistrer l’emplacement des données sur le réseau d’EA et, également, à mettre à jour la documentation relative au flux des travaux et au flux des données. L’accès à ces données est limité au personnel qui en a besoin. Des contrôles d’autorisation sont établis et appliqués pour chaque ensemble de données reçu.
Conservation et destruction
Les modalités de conservation et de destruction des renseignements au sujet de l’entreprise sont établies selon les exigences d’utilisation de l’entreprise et aux politiques de conservation des données. Les données sont généralement conservées entre trois et sept ans, selon leur classification. Les modalités de conservation et de destruction des renseignements au sujet des clients sont déterminées selon les exigences du client, telles qu’elles sont décrites dans le contrat ou l’énoncé des travaux. Si un client ou un fournisseur n’exige pas la conservation de ses données, nous demandons la communication préalable de toute exception avant que les données ne parviennent à Environics Analytics.
À la demande d’un client de détruire ses données, le Bureau de gouvernance des données d’Environics Analytics s’engage a) à vérifier quels sont les fichiers spécifiques à détruire, b) à exécuter la destruction et c) à envoyer au client une « lettre de certification de la destruction des données » dans laquelle seront confirmés les fichiers qui ont été détruits et la date de leur destruction. La destruction est conforme à la publication spéciale (SP) 800-88 du NIST, Guidelines for Media Sanitization. Ce processus est supervisé par le Bureau de gouvernance des données.
Dépersonnalisation et anonymisation des données
Les renseignements dépersonnalisés sont des informations pour lesquelles le risque de réidentification de la personne est considérablement réduit ou éliminé dans le contexte dans lequel les renseignements doivent être utilisés.
L’anonymisation est un mécanisme qui veille à ce que les renseignements au sujet d’une personne « ne permettent plus de l’identifier directement ou indirectement », en toute conformité avec les « meilleures pratiques généralement admises ». Les données anonymisées exigent que la personne ne soit plus, de manière irréversible, identifiable, directement et indirectement, ce qui nécessite la suppression des identifiants directs et indirects. Les renseignements anonymes sont des renseignements qui ne peuvent être réidentifiés dans aucun contexte.
Le Bureau de gouvernance des données d’EA s’engage à documenter et à guider le personnel d’EA dans l’exécution des processus associés à la dépersonnalisation, à l’anonymisation des données et à la pseudonymisation ou à tout autre mécanisme semblable. Nous utilisons des évaluations rigoureuses des risques de réidentification par des tiers pour empêcher la réidentification.
Pour qu’un ensemble de données soit considéré comme dépersonnalisé, tout renseignement directement identifiable doit être supprimé. Les valeurs d’un ensemble de données peuvent être transformées de diverses manières afin de supprimer tout renseignement permettant d’identifier une personne ou à l’égard de laquelle il est raisonnable de s’attendre à ce que les renseignements puissent être utilisés, seuls ou avec d’autres, pour identifier une personne. Différentes techniques peuvent être appliquées en fonction du type et de la nature des identifiants.
Pour tout renseignement complémentaire à ce sujet, cliquez ici.
Respect des normes les plus strictes en matière de protection de la vie privée
La certification Privacy by Design ISO 31700-1 valide qu'une entreprise intègre pleinement les principes de confidentialité et de protection des données dans la conception et le développement de produits, services et systèmes dès le départ.
Vous avez des questions ou des préoccupations? Communiquez avec nous.
Environics Analytics (EA) a nommé un chef de la protection des renseignements personnels pour assurer l’imputabilité, gérer efficacement un programme de gestion de la confidentialité conçu pour protéger la confidentialité, et pour définir des politiques et des processus. Il est possible de communiquer avec EA pour signaler un incident de sécurité, faire part de vos préoccupations et de votre rétroaction concernant les pratiques d’EA en matière de confidentialité et de sécurité en envoyant un courriel, en téléphonant ou en écrivant au chef de la protection des renseignements personnels aux coordonnées ci-dessous.
De plus, les demandes d’accès individuel ou toute autre demande concernant nos pratiques de confidentialité doivent être envoyées au chef de la protection des renseignements personnels aux mêmes coordonnées ci-dessous.
EA s’engage à répondre dans les meilleurs délais à vos demandes.
Responsable de la protection des renseignements personnels
James P. Smith - Chef de la protection des renseignements personnels d’Environics Analytics
Courriel : Privacy@environicsanalytics.com
Téléphone : 888.339.3304 x1498
Ou par courrier
À l’attention de James P. Smith, Chef de la protection des renseignements personnels d’Environics Analytics
33, rue Bloor, suite 400
Toronto (Ontario) M4W 3H1
Canada
Si vous avez un problème de confidentialité ou d’utilisation des données non réglé que nous n’avons pas résolu de manière satisfaisante, veuillez communiquer (sans frais) avec notre fournisseur tiers de règlement des différends basé aux États-Unis à l’adresse suivante : https://feedback-form.truste.com/watchdog/request.