La Clinique Omicron Inc. accorde une importance primordiale à la protection des renseignements personnels qu’elle détient. Nous avons mis en place des mesures de sécurité physiques, administratives et technologiques rigoureuses afin de prévenir tout accès non autorisé, perte, vol, divulgation, modification ou destruction des données.
10.1. Mesures physiques, administratives et technologiques
Pour assurer la sécurité des renseignements personnels, la Clinique Omicron applique un cadre de sécurité complet, incluant :
– Mesures physiques
– Contrôle d’accès sécurisé aux installations (clés électroniques, cartes d’accès, surveillance vidéo)
– Espaces de travail sécurisés pour la gestion des dossiers sensibles
– Classeurs verrouillés pour les documents papier confidentiels
– Mesures administratives
– Politiques internes de sécurité de l’information et de gestion des données
– Sensibilisation et formation continue des employés sur la protection des renseignements personnels
– Ententes de confidentialité signées par tout le personnel, y compris les employés, consultants et sous-traitants
– Évaluations régulières des risques liés à la sécurité des renseignements personnels
– Mesures technologiques
– Cryptage des données sensibles, tant en transit qu’au repos, notamment dans les dossiers médicaux électroniques
– Pare-feu, antivirus et solutions de détection des intrusions pour protéger les systèmes informatiques
– Sauvegardes régulières des données avec des mécanismes de restauration sécurisée
– Utilisation de l’authentification à deux facteurs (2FA) pour l’accès aux systèmes critiques
10.2. Gestion des accès et protection des systèmes
L’accès aux renseignements personnels est limité aux personnes autorisées qui en ont besoin dans l’exercice de leurs fonctions. La Clinique Omicron met en œuvre des procédures strictes pour gérer les droits d’accès :
– Contrôle des accès logiques
– Attribution de comptes d’utilisateurs individuels avec des identifiants et des mots de passe complexes
– Gestion des privilèges d’accès selon les rôles et responsabilités des employés (principe du moindre privilège)
– Désactivation rapide des accès pour les employés ou les partenaires n’ayant plus de lien avec la clinique
– Sécurisation des systèmes et des réseaux
– Surveillance continue des activités sur les systèmes pour détecter toute activité suspecte
– Mise à jour régulière des logiciels et des systèmes d’exploitation pour corriger les vulnérabilités
– Sécurisation des appareils mobiles et des connexions à distance via des réseaux privés virtuels (VPN)
10.3. Gestion des incidents de confidentialité
Malgré les mesures de sécurité en place, des incidents de confidentialité peuvent survenir. La Clinique Omicron a établi un processus de gestion des incidents afin de réagir rapidement et efficacement :
– Détection et signalement des incidents
– Obligation pour tous les employés de signaler immédiatement tout incident suspect (accès non autorisé, perte de données, vol d’équipement, etc.)
– Point de contact désigné : le Responsable de la protection des renseignements personnels (RPRP) est chargé de la gestion des incidents
– Évaluation des risques
– Analyse de l’incident pour déterminer la nature et l’ampleur de la violation des données
– Évaluation des risques de préjudice pour les personnes concernées
– Mesures correctives
– Contention de l’incident pour en limiter l’impact (désactivation des comptes compromis, restauration des données à partir de sauvegardes)
– Mise en œuvre de correctifs pour éviter la récurrence de l’incident
– Notification des incidents
– Avis aux personnes concernées lorsqu’un incident présente un risque sérieux de préjudice, avec des recommandations pour atténuer les impacts
– Déclaration de l’incident à la Commission d’accès à l’information du Québec (CAI) si la loi l’exige
– Suivi post-incident
– Documentation complète de l’incident et des mesures prises
– Révision des politiques et des procédures de sécurité si nécessaire
Ce cadre de sécurité reflète l’engagement de la Clinique Omicron à protéger les renseignements personnels de manière proactive et à répondre de manière appropriée à toute menace à la confidentialité des données.