Toubib®

(Dossier Médical Électronique)

Par Logipro enr.

Politique de Confidentialité

 

De l'employeur,

de ses employés et de ses tiers.

Rev. Janvier  2019

 

 

 

 

 


 

1. OBJET DE LA POLITIQUE

                La présente politique constitue le cadre général concernant les accès, l’utilisation et la sécurité des technologies de l’information et des renseignements confidentiels de Logipro. Elle oriente les comportements attendus du personnel quant à l’utilisation du matériel informatique, des logiciels, les accès et l’utilisation du réseau informatique (intranet et extranet) et le respect des renseignements confidentiels. Cette politique souligne l’importance d’assurer les opérations électroniques pour une prestation de services de qualité. Celle-ci permet, en outre, de préserver la confidentialité, la disponibilité, l’intégrité et la valeur des biens.

2. CADRE LÉGAL ET RÈGLEMENTAIRE

                 • La Chartre des droits et libertés de la personne (L.R.Q.,c.C-12);

                • Le Code civil du Québec (L.Q. 1991, c C-64); • La Loi sur les droits d’auteur (L.R.C., C-42);

                • Le Code criminel (C-46);

                • La Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (L.R.Q., C.A-2.1);

3. CADRE NORMATIF

                La présente politique s’appuie sur la norme internationale ISO/CEI 27002 :2005, Techniques de sécurité : Code de bonne pratique pour la gestion de la sécurité de l’information.

4. DÉFINITIONS

                Quelques définitions en regard de la terminologie sont proposées ici aux fins de cette politique.

        Entreprise désigne la personne morale qu’est Logipro, entreprise de développement de logiciels dont Toubib.

        Propriétaire désigne la direction, qui est le principal utilisateur d’une application et dont il est l’ultime responsable (imputable) de son utilisation et du traitement de l’information y découlant.

                Responsable de la protection des renseignements personnel : Luc Aubin propriétaire.

                 Employé désigne toute personne travaillant au sein de l’entreprise.

                Personnel désigne toute personne travaillant pour de l’entreprise comme employé ou tiers. 

Tiers  désigne toute personne travaillant en sous-traitance au nom de l’entreprise.

Rustine désigne un programme destiné à corriger les défauts, les bogues d’un logiciel.

 

5. CHAMP D’APPLICATION DE LA POLITIQUE

                La présente politique s’applique sans exception au personnel, organismes et à tous les tiers utilisant les installations technologiques de Logipro. La politique énonce les principes qui permettent aux utilisateurs d’obtenir les accès requis pour leur permettre d’effectuer leurs travaux.

 

6. LES OBJECTIFS VISÉS

                Cette politique vise les objectifs suivants :

        • D’assurer que le personnel observe les bonnes pratiques et les règles quant à l’utilisation des technologies de l’information;

        • D’assurer que les normes en matière de sécurité informatique soient dûment mises en application;

        • De réviser périodiquement les résultats des vérifications et contrôles, notamment pour y relever les anomalies et autres incidents;

        • De recommander les actions à prendre pour corriger les situations anormales ou dangereuses, notamment, les processus opérationnels et les grandes stratégies en matière informatique et les achats d’équipement;

        • D’informer la direction de l'entreprise des travaux, activités et incidents en matière de sécurité informatique.

 

7. PROPRIÉTÉ DES DONNÉES

                Toute information de nature administrative installée dans les ressources informatiques de l'entreprise est la propriété unique de l'entreprise.

                 Il est interdit de poser un acte visant à détruire ou porter atteinte à l’intégrité des données des autres utilisateurs des ressources informatiques ou des données d’autres organismes. 


8. CLASSIFICATION DE L’INFORMATION

                L’attribution de la classification revient aux gestionnaires des services (propriétaire), qui eux, détermineront les droits d’accès accordés aux usagers sous leur responsabilité. Une information peut être catégorisée sous trois grandes classes en respect de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (L.R.Q., C.A-2.1) :

            a) Publique

Cette information peut être distribuée sans restriction à l’intérieur comme à l’extérieur de l'entreprise. Elle est généralement informative. Sa divulgation ne risque pas de causer des dommages ou préjudices à l'entreprise.

            b) Privée

Cette information est strictement d’usage interne. Les utilisateurs peuvent s’en servir pour effectuer leur travail. Il pourrait y avoir des impacts indirects sur l'entreprise si les informations de cette classe étaient dévoilées au public.

            c) Confidentielle

L’information de cette catégorie doit être protégée par des obligations légales ou contractuelles. Elle est généralement stratégique. Elle nécessite le plus haut niveau de sécurité. Sa divulgation pourrait causer des dommages importants à l'entreprise.

9. ACCÈS AUX TECHNOLOGIES DE L’INFORMATION

                L’accessibilité au réseau entraine une certaine responsabilité pour le personnel. Celui-ci doit respecter les différents règlements, directives et les objectifs visés quant à l’accès et l’utilisation des technologies de l’information mises à leur disposition. Respectant ces principes d’imputabilité, la règle générale inhérente à l’attribution d’un code d’accès est : Un utilisateur, un code d’accès personnel et aucun code d’accès générique.

9.1 Code d’accès et mot de passe

Les accès aux systèmes doivent être maintenus à jour promptement lors des mutations et des départs. La direction met en place des mesures de contrôles appropriées pour faciliter la communication lors des arrivées, des départs et des mutations du personnel.

                Le choix des mots de passe, leur utilisation et leur gestion répondent aux normes de l'industrie.

L’utilisation du réseau, y compris le réseau sans fil, est strictement contrôlée pour prévenir l’usage non autorisé des équipements. La direction configure le matériel et les logiciels correctement contre les tentatives d’intrusion.


9.2 Accès à distance

                La direction doit assurer les procédures visant à:

a) Configurer le réseau pour assurer un niveau suffisant de performance et de fiabilité dans le but de répondre aux exigences en matière de la sécurité des systèmes.

b) Configurer le matériel et les logiciels d’accès à distance correctement contre les tentatives d'intrusion;

c) Contrôler l'accès à distance par des techniques robustes d'identification, d'authentification et de chiffrage;

d) Accorder l’accès à distance aux utilisateurs ou tiers qui en ont besoin dans le cadre de leurs fonctions seulement.

10. IMPARTITION ET TIERS

La présente politique s’applique autant aux processus impartis qu’aux opérations internes de Logipro. Les tiers sont tenus de satisfaire aux exigences de cette politique, des normes de sécurité, de la documentation technique et des procédures de sécurité au même titre que le personnel de Logipro. Chaque accès par des tiers aux applications logicielles stratégiques est autorisé par la direction et est dûment consigné dans un registre administré par celle-ci.

11. EXIGENCES

Le personnel doit satisfaire aux exigences de base de cette politique, des normes en matière de sécurité, de la documentation technique et des procédures de sécurité.

11.1 Programme de sécurité

                Tout membre du personnel se doit de respecter les consignes de sécurité de l'entreprise soit:

                a) Verrouiller les accès de l'entreprise et activer l’alarme lors de la fermeture des bureaux.

b) S'assurer que les voûtes de stockage de données ainsi que les locaux de matériel de télécommunication soient verrouillés en tout temps.

c) S'assurer que toutes données saisies chez un client doit être immédiatement détruites après usage (par formatage ou déchiquetage).

                d) Que la divulgation de renseignements confidentiels est, en tout temps, strictement défendue.

e) Qu’aucune information (usager, personnelle ou clinique) n'est conservée sur des terminaux mobiles ou amovibles (p.ex. ordinateurs portatifs, PDA, téléphones cellulaires, terminaux audio/vidéo).

11.2 Formation et sensibilisation

Tout membre du personnel doit prendre conscience qu'il travaille dans un domaine dont les données sont sensibles et que la protection des renseignements personnels est importante et obligatoire.

                La direction assignera les privilèges d’accès et des limites reliées à leurs tâches à tout employé.

 

11.3 Utilisation du courrier électronique et d’internet

Le courrier électronique et Internet sont strictement utilisés pour les besoins de l'entreprise. Les fichiers joints aux messages sont envoyés avec discernement pour éviter de transmettre l’information classifiée et protégée. Les pièces jointes contenant de l’information confidentiel doivent toujours être en format Zip crypté.       

Le téléchargement d'information à partir d'internet et l’ouverture des attachements de courriers électroniques doivent être faits avec soin pour limiter l’exécution de code malveillant.

 

11.4 Sécurité des installations informatiques

La direction délimite les aires à accès restreint et installe les systèmes de sécurité ainsi que le matériel nécessaire selon une évaluation des menaces et des risques.

La direction s’assure également de mettre en place les mesures nécessaires pour protéger les équipements et l’information qu’ils contiennent.

La direction s’assure de mettre en place les mesures appropriées pour effacer complètement le contenu des médias de stockage contenant des renseignements classifiés et protégés et des logiciels sous licence avant leur mise au rebus.

 

11.5 Sécurité physique de l’espace de travail

Il est strictement interdit d’utiliser le matériel informatique à d’autres fins que celles utilisées pour les besoins de l'entreprise seulement.  La direction s’assure du maintien de mesures suffisantes pour sécuriser les postes de travail laissés sans surveillance.

Le personnel doit prendre des mesures appropriées pour protéger adéquatement les renseignements classifiés et protégés en leur possession.


11.6 Acquisition et entretien de matériels et de logiciels

Toute acquisition de produit matériel ou logiciel est approuvée par la direction. En ce sens, elle s’assure que:

a) L’acquisition de nouveaux produits commerciaux est compatible avec les orientations de l'entreprise;

b) L’acquisition et le développement des nouveaux produits tiennent compte des exigences de sécurité;

                                c) Les nouveaux produits sont compatibles avec les systèmes en place;

                                d) Les produits utilisés sont dûment enregistrés;

e) Les nouveaux logiciels et les rustines sont appliqués seulement après avoir été testés et approuvés par le propriétaire de l’application.

f) Tout équipement qui quitte nos locaux doit-être au préalable, autorisé par le responsable de la sécurité,vérifier et reformater.

11.7 Copie de sécurité

La direction met en place des mesures suffisantes pour protéger l’actif informationnel de l'entreprise. Elle met en place une procédure de sauvegarde et de recouvrement, effectue des tests de recouvrement à intervalle régulier, conserve les copies dans un lieu physique distinct et effectue régulièrement un suivi sur le matériel de sauvegarde.

11.8 Support à distance

Lors de support à distance avec un utilisateur, le personnel pourrait avoir accès à de l’information confidentiel. Cette information doit rester confidentiel et il est strictement interdit de l’enregistrer, la transférer ou de la divulguer de quelque façon que ce soit sous peine de sanctions.

11.9 Continuité des opérations

Pour assurer la prestation continue des services essentiels, la direction prépare un plan de suite à un incident. Ce plan prévoir :

a) Une structure définissant les autorités et les responsabilités pour le développement et l’approbation du plan de continuité;

b) Une analyse d’impact pour inventorier par ordre de priorité les services et les biens essentiels;

c) Des plans, des mesures et des préparatifs pour assurer la disponibilité continue des services et des biens essentiels, et de tout autres services ou bien tel qu’indiqué par une évaluation des menaces et des risques;

d) Des activités de revue, de mise à l’essai et de vérifications du plan de continuité. La direction applique un mécanisme de redondance des composantes critiques et un entretien régulier de l’équipement pour assurer la prestation continue des services essentiels lors d’une panne, sans devoir recourir systématiquement au plan de continuité des opérations.

 

11.10 Enquêtes sur les incidents de sécurité

La direction  implante des procédures de compte rendu et d’enquête relativement aux incidents de sécurité et prend des mesures correctives pour y donner suite.

12. RENSEIGNEMENTS PERSONNELS ET CONFIDENTIELS  

Les données ne sont pas hébergées par Logipro, ils sont normalement directement sur les serveurs personnel de l’acquéreur qui en est responsable ou chez un hébergeur autorisé canadien dont l’acquéreur a mandaté et avec lequel une entente de confidentialité reconnue a été signée.

12.1 Responsabilité de l’acquéreur

L’acquéreur est en tout temps responsable de gérer l’accès, la sécurité, la sauvegarde et le bon fonctionnement des ses données dans ses locaux.

12.2 Analyse anonymisée

Logipro certifie qu’il ne fait aucun type d’analyse sur les données en sa possession ou en possession de l’acquéreur.

Logipro certifie qu’aucun renseignement n’est divulgué, créé, exporté, conservé ou distribué à des tiers sous quelque forme que ce soit.

12.3 Transfert de données, importation et exportation

Lorsque Logipro doit importer ou exporter des données d’un autre ou vers une autre DME, il peut être en possession temporaire de données confidentielles. Ces données sont gardées sur un serveur sécurisé, dans un sous-dossier assurant le cloisonnement des données dont la finalité est distincte et compresser dans fichier Zip Crypté dont seul les personnes autorisés y on accès. Un calendrier de conservation est maintenu et les données sont détruites dès la fin des travaux.  

12.4 Plaintes et questions relatives à la protection des renseignements personnels

Toutes les plaintes ou questions relative à la protection des renseignements personnels  seront transférées à Luc Aubin qui en est responsable.  Il sera en mesure de répondre à vos questions, de gérer les plaintes, de prendre les dispositions nécessaires afin d’assurer la continuité de la protection des renseignements personnels. 

13. DONNÉES FICTIVES

Logipro possède et maintient une banque de données fictive et ou anonymisée .

Cette banque est la seule source de données auxquelles les employés ont accès pour les fins de formation, de développement et d’essai.

14. SANCTIONS

Toute contravention à la présente politique, y compris aux règles, règlements ou directives découlant de ladite politique, peut mener à la suspension des privilèges d’accès aux technologies de l’information de Logipro. Des mesures administratives, disciplinaires ou légales pourront être enclenchées auprès des contrevenants.

15. EXAMEN

                La présente politique sera réexaminée au besoin.

16. ENTREE EN VIGUEUR ET ABROGATION

                La présente Politique a été adoptée par la direction de Logipro le premier janvier 2018 et est entrée en vigueur le jour de son adoption. La présente Politique abroge tout autre document ou texte adopté antérieurement portant sur les mêmes objets.