Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

FORMULAIRE DE DÉCLARATION D’UN INCIDENT DE SÉCURITÉ PORTANT ATTEINTE À DES RENS

FORMULAIRE DE DÉCLARATION D’UN INCIDENT DE SÉCURITÉ PORTANT ATTEINTE À DES RENSEIGNEMENTS PERSONNELS N/Réf.(Cette rubrique est remplie par la commission) : Cliquez ici pour entrer du texte. Note importante : 1. Vous êtes invités à déclarer l’incident de sécurité à la Commission d'accès à l'information (Commission) 2. Veuillez remplir ensuite le « Formulaire de déclaration d’incident » et le transmettre à l’adresse qui suit. 3. Assurez-vous de ne pas transmettre de renseignements personnels. Commission d'accès à l'information 525, boulevard René-Lévesque Est, Bureau 2.36 Québec (Québec) G1R 5S9 Téléphone sans frais : 1 888 528-7741 - Télécopieur : 418 529-3102 - Courrier électronique : cai.communications@cai.gouv.qc.ca 1. ORGANISME PUBLIC−¿ ENTREPRISE CONCERNÉE 1.1. NOM DE L’ORGANISME PUBLIC OU DE L’ENTREPRISE CONCERNÉS Cliquez ici pour entrer du texte. 1.2. SECTEUR D’ACTIVITÉ Cliquez ici pour entrer du texte. 1.3. NOM ET COORDONNÉES DE LA PERSONNE À CONTACTER AU SEIN DE L’ORGANISME PUBLIC OU DE L’ENTREPRISE QUI RÉPONDRA AUX QUESTIONS DE LA COMMISSION RELATIVEMENT À L’INCIDENT Cliquez ici pour entrer du texte. 1.4. NOM ET COORDONNÉES DE LA PERSONNE DÉSIGNÉE RESPONSABLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS AU SEIN DE L’ORGANISME PUBLIC OU DE L’ENTREPRISE Cliquez ici pour entrer du texte. 1.5. NOM ET COORDONNÉES DE LA PERSONNE DÉSIGNÉE RESPONSABLE DE LA SÉCURITÉ DE L’INFORMATION AU SEIN DE L’ORGANISME PUBLIC OU DE L’ENTREPRISE Cliquez ici pour entrer du texte. 2. DESCRIPTION DE L’INCIDENT 2.1. TYPE D’INCIDENT PAR EXEMPLE : DIVULGATION DE RENSEIGNEMENTS PERSONNELS PAR INADVERTANCE À LA SUITE D’UNE ERREUR TECHNIQUE OU HUMAINE, VOL OU PERTE D’ORDINATEUR PORTABLE Cliquez ici pour entrer du texte. 2.2. DESCRIPTION DE L’INCIDENT ET DE SA CAUSE PRÉCISEZ LE CONTEXTE, LA CAUSE OU LA SOURCE PAR EXEMPLE : INTRUSION DANS UN SYSTÈME INFORMATIQUE OU AUTRE, HAMEÇONNAGE, MESURES INADÉQUATES DE CONTRÔLE D’ACCÈS À DES RENSEIGNEMENTS PERSONNELS Cliquez ici pour entrer du texte. 2.3. DATE ET LIEU DE L’INCIDENT Cliquez ici pour entrer du texte. 2.4. DATE À LAQUELLE L’INCIDENT A ÉTÉ PORTÉ À LA CONNAISSANCE DE L’ORGANISME PUBLIC OU DE L’ENTREPRISE PRÉCISEZ LA FAÇON DONT IL A ÉTÉ CONNU Cliquez ici pour entrer du texte. 2.5. DATE DE TRANSMISSION DU PRÉSENT FORMULAIRE À LA COMMISSION : Cliquez ici pour entrer du texte. P a g e 1 | 5 3. PERSONNES CONCERNÉES PAR L’INCIDENT 3.1. PERSONNES CONCERNÉES QUI POURRAIENT SUBIR UN PRÉJUDICE INDIQUEZ LES CATÉGORIES DE PERSONNES TELLES QUE: CLIENT, PATIENT, CONSOMMATEUR, EMPLOYÉ OU AUTRE ET PRÉCISEZ LE NOMBRE Cliquez ici pour entrer du texte. 3.2. TIERCES PERSONNES CONCERNÉES PAR L’INCIDENT INDIQUEZ SI, OUTRE LES PERSONNES DIRECTEMENT CONCERNÉES PAR L'INCIDENT, D’AUTRES PERSONNES POURRAIENT ÉGALEMENT ÊTRE CONCERNÉES Cliquez ici pour entrer du texte. 4. RENSEIGNEMENTS PERSONNELS EN CAUSE 4.1. DESCRIPTION DES RENSEIGNEMENTS PERSONNELS NATURE, PAR EXEMPLE : NUMÉRO D’ASSURANCE SOCIALE, NUMÉRO DE CARTE DE CRÉDIT ET RENSEIGNEMENT DE NATURE MÉDICALE OU FINANCIÈRE DEGRÉ DE SENSIBILITÉ, PAR EXEMPLE : RENSEIGNEMENTS DE NATURE MÉDICALE, NUMÉRO D’ASSURANCE MALADIE OU AUTRE IDENTIFIANT NOMBRE DE FICHIERS OU DE BASES DE DONNÉES NOMBRE DE DONNÉES Cliquez ici pour entrer du texte. 4.2. TYPE DE SUPPORT DOCUMENT PAPIER, ÉLECTRONIQUE, CLEF USB OU AUTRE Cliquez ici pour entrer du texte. 5. ÉVALUATION DU RISQUE D’UTILISATION MALVEILLANTE ET DE PRÉJUDICE AUX PERSONNES CONCERNÉES 5.1. EST-CE QUE LES RENSEIGNEMENTS PERSONNELS ÉTAIENT CHIFFRÉS OU CRYPTÉS ? PRÉCISER LE TYPE DE CHIFFREMENT EN RÉFÉRANT, LE CAS ÉCHÉANT, LA MÉTHODE, AU STANDARD OU À LA NORME RETENUE. PRÉCISER LES MESURES PRISES POUR PRÉSERVER LA CONFIDENTIALITÉ DE LA CLEF DE CHIFFREMENT ET ÉVITER LE DÉCHIFFREMENT DES DONNÉES Cliquez ici pour entrer du texte. 5.2. À VOTRE AVIS, DE QUELLE FAÇON LES RENSEIGNEMENTS PERSONNELS POURRAIENT ÊTRE EXPLOITÉS PAR DES PERSONNES MALVEILLANTES ET QUEL EST LE TYPE DE PRÉJUDICE POUVANT ÊTRE CAUSÉ AUX PERSONNES CONCERNÉES PAR L’INCIDENT? PRÉCISEZ LES TYPES D’UTILISATION MALVEILLANTE POSSIBLES DES RENSEIGNEMENTS PERSONNELS ET LES RÉPERCUSSIONS OU CONSÉQUENCES NÉGATIVES QUI POURRAIENT EN RÉSULTER. PAR EXEMPLE : DOMMAGE ÉCONOMIQUE OU SOCIAL (VOL ET USURPATION D’IDENTITÉ OU FRAUDE, PERTE LIÉE AUX AFFAIRES, PERTE D’OCCASIONS D’EMPLOI), RÉPERCUSSIONS SUR LA SANTÉ PHYSIQUE OU PSYCHOLOGIQUE (STRESS), DOMMAGES MORAUX (ATTEINTE À LA RÉPUTATION, HUMILIATION, DIFFAMATION, DISCRIMINATION). Cliquez ici pour entrer du texte. 5.3. À VOTRE AVIS QUEL EST LE NIVEAU DE PRÉJUDICE QUE POURRAIENT SUBIR LES PERSONNES CONCERNÉES. PRÉCISER : FAIBLE, MOYEN OU ÉLEVÉ EN INDIQUANT LES FAITS QUI VOUS AMÈNENT À ÉTABLIR CE NIVEAU DE PRÉJUDICE. Cliquez ici pour entrer du texte. 6. NOTIFICATION AUX PERSONNES CONCERNÉES ET À D’AUTRES ENTITÉS 6.1. NOTIFICATION AUX PERSONNES CONCERNÉES PAR L’INCIDENT (DATE, INFORMATION TRANSMISE ET MODALITÉS DE TRANSMISSION) JOINDRE UNE COPIE DE LA NOTIFICATION, LORSQUE TRANSMISE Cliquez ici pour entrer du texte. 6.2. NOTIFICATION AUX AUTORITÉS POLICIÈRES OU À D’AUTRES ENTITÉS. PAR EXEMPLE : UN ORDRE PROFESSIONNEL, UNE PERSONNE OU ORGANISATION QUI FOURNIT DES SERVICES À L’ORGANISME P a g e 2 | 5 PUBLIC OU À L’ENTREPRISE COMME UNE AGENCE DE CRÉDIT Cliquez ici pour entrer du texte. 6.3. NOTIFICATION AUX AUTRES AUTORITÉS DE PROTECTION DES RENSEIGNEMENTS PERSONNELS (DATE ET INFORMATION TRANSMISE) PAR EXEMPLE, NOTIFICATION AUX BUREAUX DES COMMISSAIRES À LA VIE PRIVÉE, DE L’ALBERTA, DU CANADA ET DE LA COLOMBIE-BRITANNIQUE JOINDRE UNE COPIE DE LA NOTIFICATION, LORSQUE TRANSMISE Cliquez ici pour entrer du texte. 6.4. INDICATION SI L’INCIDENT A ÉTÉ RENDU PUBLIC OU SI L’ORGANISME PUBLIC OU L’ENTREPRISE PRÉVOIT LE FAIRE Cliquez ici pour entrer du texte. 7. MESURES DE SÉCURITÉ QUI, AU MOMENT DE L’INCIDENT, ÉTAIENT DÉJÀ EN PLACE AU SEIN DE L’ORGANISME PUBLIC OU DE L’ENTREPRISE 7.1. MESURES DE SÉCURITÉ ADMINISTRATIVES, PHYSIQUES ET TECHNIQUES  VOTRE ORGANISME PUBLIC OU VOTRE ENTREPRISE A-T-IL ADOPTÉ UNE POLITIQUE SUR LA SÉCURITÉ DE L’INFORMATION ET LA PROTECTION DES RENSEIGNEMENTS PERSONNELS? INDIQUEZ LE OU LES TITRES DU OU DES DOCUMENTS ET LA DATE DE MISE EN ŒUVRE. DANS LE CAS OÙ IL N’Y A PAS DE POLITIQUE À CET EFFET, INDIQUEZ S’IL EST PROJETÉ D’EN ADOPTER EN PRÉCISANT LE DÉLAI PRÉVU Cliquez ici pour entrer du texte. VOTRE ORGANISME PUBLIC OU VOTRE ENTREPRISE A-T-IL ADOPTÉ UNE POLITIQUE, DES DIRECTIVES OU PROCÉDURES SUR L’UTILISATION D’APPAREILS INFORMATIQUES MOBILES À L’EXTÉRIEUR DU LIEU DE TRAVAIL ? INDIQUEZ LE TITRE DU DOCUMENT, LA DATE DE MISE EN ŒUVRE ET DE LA DERNIÈRE RÉVISION. DANS LE CAS OU DE TELS DOCUMENTS N’EXISTENT PAS, INDIQUEZ S’IL EST PROJETÉ D’ADOPTER ET DE METTRE EN ŒUVRE DE TELS DOCUMENTS D’ENCADREMENT EN PRÉCISANT LE DÉLAI PRÉVU Cliquez ici pour entrer du texte.  VOTRE ORGANISME PUBLIC OU VOTRE ENTREPRISE A-T-IL ADOPTÉ UNE POLITIQUE, DES DIRECTIVES OU PROCÉDURES SUR LA GESTION DES INCIDENTS DE SÉCURITÉ POUVANT PORTER ATTEINTE À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS, NOTAMMENT DES PROCÉDURES POUR DÉTECTER, CONSIGNER, RAPPORTER ET RÉPONDRE AUX INCIDENTS INCLUANT LES MESURES DE MITIGATION DES RISQUES ASSOCIÉS À DE TELS INCIDENTS ET DES STRATÉGIE DE PRÉVENTION POUR ÉVITER QU’ILS SE REPRODUISENT ? INDIQUEZ LE TITRE DES DOCUMENTS, LA DATE DE MISE EN ŒUVRE ET DE LA DERNIÈRE RÉVISION. DANS LE CAS OU DE TELS DOCUMENTS N’EXISTENT PAS, INDIQUEZ S’IL EST PROJETÉ D’ADOPTER, DE PRODUIRE ET DE METTRE EN ŒUVRE DE TELS DOCUMENTS D’ENCADREMENT EN PRÉCISANT LE DÉLAI PRÉVU INDIQUER SI UNE PERSONNE EST DÉSIGNÉE RESPONSABLE DE LA GESTION DES INCIDENTS ET SI UN REGISTRE DES INCIDENTS EST TENU. Cliquez ici pour entrer du texte.  DANS LE CAS DE CONTRATS AVEC DES TIERS TELS DES PRESTATAIRES OU DES FOURNISSEURS DE SERVICE, VOTRE ORGANISME PUBLIC OU VOTRE ENTREPRISE A-T-IL ADOPTÉ DES POLITIQUES, PROCÉDURES OU DIRECTIVES ÉTABLISSANT LES EXIGENCES EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS? CETTE PARTIE DOIT ÊTRE REMPLIE DANS LE CAS OÙ L’INCIDENT IMPLIQUE UNE TIERCE PARTIE INDIQUEZ LE TITRE DU DOCUMENT, LA DATE DE MISE EN ŒUVRE ET DE LA DERNIÈRE RÉVISION. DANS LE CAS OU DE TELS DOCUMENTS N’EXISTENT PAS, INDIQUEZ S’IL EST PROJETÉ D’ADOPTER ET DE METTRE EN ŒUVRE DE TELS DOCUMENTS D’ENCADREMENT EN PRÉCISANT LE DÉLAI PRÉVU Cliquez ici pour entrer du texte.  VOTRE ORGANISME PUBLIC OU VOTRE ENTREPRISE OFFRE-T-IL, DE FAÇON RÉGULIÈRE, DES SÉANCES DE FORMATION ET DE SENSIBILISATION AUPRÈS DE SON PERSONNEL SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS ET SUR LES POLITIQUES ET DIRECTIVES EN VIGUEUR? INDIQUEZ SI VOTRE ORGANISME PUBLIC OU VOTRE ENTREPRISE OFFRE DES SESSIONS DE SENSIBILISATION ET DE FORMATION SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS ET SUR LES POLITIQUES ET DIRECTIVES EN VIGUEUR AUPRÈS DES HAUTES P a g e 3 | 5 AUTORITÉS, AUX GESTIONNAIRES ET AU PERSONNEL DE CELUI-CI EN PRÉCISANT LA FRÉQUENCE ET LA DATE DE LA DERNIÈRE ACTIVITÉ À CET ÉGARD. DANS LE CAS OÙ DE LA FORMATION, SÉANCE D’INFORMATION OU QUE LA DERNIÈRE ACTIVITÉ A EU LIEU IL Y A PLUS D’UN AN, INDIQUEZ LES ACTIONS QUE VOUS PRÉVOYEZ PRENDRE À CET ÉGARD EN PRÉCISANT LE DÉLAI PRÉVU Cliquez ici pour entrer du texte.  VOTRE ORGANISME PUBLIC OU VOTRE ENTREPRISE A-T-IL ADOPTÉ UNE POLITIQUE, DES PROCÉDURES OU DIRECTIVES RELATIVEMENT AUX MESURES DE SÉCURITÉ PHYSIQUE (LOCAL ET CLASSEUR FERMÉ À CLEF, ACCÈS LIMITÉS ET AUTRE)? INDIQUEZ LE TITRE DU DOCUMENT, LA DATE DE MISE EN ŒUVRE ET DE LA DERNIÈRE RÉVISION. DANS LE CAS OÙ DE TELLES MESURES D’ENCADREMENT DE LA SÉCURITÉ PHYSIQUE N’EXISTENT PAS, INDIQUEZ SI VOUS AVEZ L’INTENTION D’EN ADOPTER EN PRÉCISANT LE DÉLAI PRÉVU Cliquez ici pour entrer du texte. uploads/Management/ cai-fo-decl-incident-securite.pdf