Nos politiques de gestion et de protection des renseignements personnels
Nous nous engageons à protéger les renseignements personnels et confidentiels recueillis dans le cadre de l’exécution des mandats qui nous sont confiés et à assurer la sécurité des informations détenues en mettant en place des mesures de sécurité appropriées aux circonstances.
Pour ce faire, nous avons adopté des politiques et des pratiques encadrant notre gouvernance à l’égard de ces renseignements personnels et confidentiels visant à en assurer la protection. Des informations au sujet de celles-ci vous sont présentées ci-après. Ils ne sont utilisés que dans le cours de ses activités professionnelles, uniquement afin de fournir la prestation des services demandés et conformément aux exigences légales. Nous ne vendons jamais les renseignements personnels que nous détenons.
Par renseignements personnels, on entend tout renseignement qui concerne une personne physique, qui permet de l’identifier directement ou indirectement et qui n’a pas un caractère public au sens de la Loi sur la protection des renseignements personnels dans le secteur privé.
Les renseignements personnels et confidentiels ainsi protégés incluent leur support physique ou technologique ainsi que le système ou la technologie de l’information par lesquels ces renseignements sont traités, transmis ou conservés aux fins de l’utilisation prévue (les « Renseignements »).
Nos politiques s’appliquent à nos employé(e)s, avocat(e)s, notaires, associé(e)s, consultants, fournisseurs et partenaires d’affaires (les « Usagers »).
Les raisons pour lesquelles ces informations sont nécessaires sont expliquées aux clients afin d’obtenir leur consentement éclairé.
Consultez l’entièreté de notre Politique relativement à la confidentialité et à la protection des renseignements personnels.
Politique de sécurité de l’information
Cette politique définit la responsabilité de chacun des Usagers, selon les circonstances et le degré de sensibilité des Renseignements auxquels ils ont accès, afin d’en assurer la protection et l’utilisation raisonnable et appropriée, de réduire les risques d’incident et d’en minimiser les effets, le cas échéant.
Ainsi, les Usagers s’engagent formellement à ne pas divulguer ou utiliser les Renseignements à d’autres fins que dans l’exercice de leurs fonctions et dans le respect du secret professionnel et à ne pas les divulguer sans avoir préalablement obtenu le consentement de la personne au sujet de laquelle des renseignements sont détenus ou de son représentant, à moins qu’une loi ne les autorise à le faire.
Les Usagers s’engagent également à n’accéder aux Renseignements que dans le cadre des opérations de Stein Monast et uniquement par l’entremise des outils fournis et approuvés par Stein Monast. Ils ne doivent pas tenter d’accéder à des Renseignements ou de les sauvegarder sur des systèmes autres que ceux que nous leur fournissons ou en utilisant des services infonuagiques commerciaux que nous n’avons pas approuvés.
Les Usagers doivent utiliser des mots de passe robustes et prendre toutes les mesures nécessaires pour prévenir la divulgation non autorisée de ces mots de passe. Les ordinateurs portables, appareils cellulaires et autres outils informatiques laissés sans surveillance doivent être physiquement sécurisés et inaccessibles aux personnes non autorisées.
Les Usagers ne bénéficient d’aucune expectative de vie privée dans le cadre de l’utilisation qu’ils font des systèmes d’information mis à leur disposition dans le cadre de leur travail. Nous conservons ainsi le droit de vérifier et de surveiller toute utilisation des systèmes d’information en tout temps et sans préavis.
Nous fournissons les protections physiques et électroniques raisonnables et appropriées pour prévenir l’accès non autorisé aux Renseignements, tant dans nos installations physiques que dans notre environnement informatique. L’accès à distance utilise la méthode de double indentification de l’Usager.
Lorsque les Renseignements doivent être partagés avec un mandataire, un fournisseur, un sous-traitant ou un consultant dans l’exercice de nos fonctions ou lors de l’exécution d’un mandat professionnel, nous obtenons, préalablement à tout accès de sa part, un engagement écrit à prendre les mesures nécessaires pour assurer la confidentialité et l’intégrité des Renseignements au sens de notre Politique de sécurité de l’information et des lois applicables et à ne conserver aucune information au-delà de la durée nécessaire au mandat ou contrat.
Politique de gestion des incidents en matière de sécurité de l’information
Un incident en matière de sécurité de l’information (« Incident ») signifie un événement qui porte atteinte ou qui est susceptible de porter atteinte à la disponibilité, à l’intégrité ou à la confidentialité de l’information détenue par Stein Monast, incluant les Renseignements.
S’appliquant conjointement avec notre Politique de sécurité de l’information, cette politique a pour objectif de nous assurer, de façon raisonnable eu égard aux circonstances, que chaque Incident potentiel, appréhendé ou réel de sécurité de l’information soit détecté, identifié, signalé, contenu, documenté, analysé et qu’il y soit remédié rapidement, conformément aux exigences légales, de façon à limiter au mieux tout impact négatif.
Ainsi, tout Incident réel ou soupçonné doit être signalé au gestionnaire de la politique et au service informatique bureautique de Stein Monast. Il pourra s’agir, par exemple, de l’accès à l’information ou aux systèmes informatiques par une personne non autorisée, de l’accès physique à une zone sécurisée ou sensible, du partage non autorisé d’identifiant de connexion ou de mot de passe, de la perte d’un appareil contenant des Renseignements, de piratage, d’un défaut de fonctionnement d’un logiciel ou du matériel, de l’envoi d’information à un mauvais destinataire, etc.
Ce signalement déclenche la tenue d’une enquête qui permet de colliger toute l’information pertinente, d’évaluer la gravité de l’Incident et de prendre rapidement toutes les mesures correctrices raisonnables et appropriées requises, le cas échéant, afin de contenir sans délai toute violation réelle ou potentielle de la sécurité des Renseignements.
Lorsque l’Incident est contenu et les Renseignements sécurisés, une évaluation de l’étendue et des répercussions de l’Incident est effectuée après enquête exhaustive et collecte des informations pouvant être recueillies. Lorsque la cause de l’Incident est identifiée, une stratégie de correction doit être planifiée et appliquée.
Cette politique porte également sur la manière dont les personnes touchées seront avisées. Ainsi, si certains Renseignements d’un client ont été compromis, un avis écrit lui sera transmis dans un délai maximal de trente jours, fournissant notamment une description générale de l’Incident, la liste des Renseignements compromis, une description des mesures que nous avons prises pour protéger les Renseignements et éviter la survenance d’un Incident similaire et les coordonnées de la personne pouvant être contactée pour obtenir plus d’information. Un avis à la Commission d’accès à l’information sera également transmis lorsque l’Incident présente un risque sérieux qu’un préjudice soit causé.
Politique de fermeture des dossiers
Les Renseignements obtenus et détenus par Stein Monast le sont pour les fins des mandats professionnels qui lui sont confiés et pour la gestion et les opérations courantes de la société.
Les Renseignements obtenus et détenus pour les fins des mandats professionnels confiés doivent être conservés dans chacun des dossiers ouverts spécifiquement pour chaque mandat et utilisés pour fournir les services professionnels convenus.
Les obligations professionnelles qui s’imposent à nos avocat(e)s et notaires nous obligent à conserver une copie du dossier, incluant les Renseignements, pour une période de sept (7) ans après la fin du mandat donné à un(e) avocat(e) et de dix (10) ans dans le cas d’un(e) notaire. Lorsque ce délai est écoulé, le dossier et les Renseignements qu’il contient sont détruits de façon sécuritaire.