Politique de confidentialité

Conformité à la Loi 25 — Québec · Version 1.2 — mise à jour le
En bref.
Nous collectons uniquement ce qui est nécessaire pour vous servir, nous sécurisons vos données (chiffrement, MFA , sauvegardes), nous ne revendons pas vos informations et nous respectons la Loi 25. Vous pouvez exercer vos droits auprès du RPRP : rp@sipinformatique.ca.

1. Objectif

La présente Politique décrit nos pratiques de protection des renseignements personnels dans le cadre de nos services TI, de support à distance et d’infogérance.

Elle vise à satisfaire aux exigences de la Loi 25 , ainsi qu’aux bonnes pratiques (ex. ISO/IEC 27001/27002 , SOC 2 ).

Pourquoi ces normes ?

Ces référentiels servent de guide pour structurer la sécurité (gouvernance, contrôles, audits) et démontrer la diligence raisonnable.

2. Portée

Renseignements de clients, prospects, fournisseurs et employés, dans les contextes sur site, à distance (TeamViewer Host) et infonuagique (ex. Microsoft 365 / Entra ID / Azure ).

Accès “au besoin de savoir”

Les accès sont limités aux intervenants qui en ont besoin pour fournir le service demandé, avec journalisation et révocation à la fin du mandat.

3. Types de renseignements recueillis

  • Identification & contact : nom, fonction, courriel et téléphone professionnels.
  • Métadonnées techniques : hôte, IP, sessions (date/heure, durée, intervenant).
  • Journaux administratifs : connexions, changements de configuration (traçabilité).
  • Contrats & facturation : mandats, heures, tickets, infos de facturation.

Pas d’accès aux contenus des clients sauf si requis et autorisé (billet, courriel ou mandat).

Minimisation

Nous ne collectons que les données nécessaires à l’exécution du service demandé et rien de superflu.

4. Utilisation des renseignements

  • Services TI (diagnostic, incidents, maintenance, migrations, conseils).
  • Sécurité (traçabilité, détection d’anomalies, prévention de la fraude).
  • Relation d’affaires (communications, gestion des tickets, facturation).
  • Obligations légales et normatives.

Pas de profilage marketing ni de revente.

Consentement explicite vs implicite

Explicite : contrat, bon de commande, approbation écrite.
Implicite : demande de service ponctuelle; l’accès reste limité et documenté.

5. Sécurité & sauvegardes

  • Accès : MFA , rôles, révocation.
  • Chiffrement & supports : BitLocker / OPAL .
  • Postes & réseaux : segmentation, correctifs, antivirus/EDR , logs.
  • Sauvegardes : copies chiffrées, rétention limitée, tests de restauration.
  • Gouvernance : NDA, sensibilisation, registre des incidents; notification à la CAI en cas de risque de préjudice sérieux.
Sauvegardes & droit à l’effacement. La suppression immédiate d’un renseignement peut être impossible tant que des sauvegardes historiques le contiennent. L’accès est alors bloqué; la donnée disparaît à l’échéance de la rétention .
Journalisation

Enregistrement des accès et actions pour enquête, audit et amélioration de la sécurité.

6. Destruction & recyclage

Fin de vie des équipements/supports (PC, serveurs, disques, clés USB, téléphones, imprimantes) :

  • Effacement/destruction selon NIST 800-88 ou DoD 5220.22-M .
  • Recyclage : centres agréés; respect environnemental et confidentialité.
  • Traçabilité : registre (date, type, méthode, fournisseur) et certificat sur demande.
Chiffrement préalable

Si le support est chiffré, la destruction de la clé rend les données inaccessibles; une destruction physique peut s’ajouter selon la sensibilité.

7. Journaux TeamViewer (10 ans)

Les accès à distance via TeamViewer Host génèrent des journaux conservés par TeamViewer GmbH jusqu’à 10 ans (traçabilité, audit, sécurité). SIP ne les utilise que pour la sécurité et la vérification d’interventions; aucun enregistrement vidéo local par défaut.

Qu’est-ce qui est journalisé ?

Typiquement : date/heure de connexion, identifiant de l’intervenant, durée, hôte distant. Pas de contenu d’écran, sauf si capture explicitement autorisée.

8. Droits des personnes

  • Accès (copie de vos renseignements)
  • Rectification (corriger des erreurs)
  • Retrait du consentement (pour l’avenir, si applicable)
  • Suppression ou portabilité (export)

Délai maximal : 30 jours. Des limites légales peuvent s’appliquer (droits d’autrui, sécurité, rétention minimale).

Anonymisation

Transformation irréversible pour qu’une personne ne soit plus identifiable; alternative à la suppression quand la conservation statistique est utile.

9. Sous-traitance & transferts

Sous-traitants (ex. TeamViewer, Microsoft, hébergeurs, distributeurs) sous ententes contractuelles de confidentialité et sécurité. Certains traitements/hébergements peuvent se faire hors Québec/Canada avec garanties contractuelles appropriées; SIP demeure responsable envers ses clients.

Exemples de garanties

Clauses contractuelles, évaluations d’impact, exigences de localisation, audits de conformité.

10. Conservation & rétention

Conservation uniquement pour la durée nécessaire, puis suppression, anonymisation ou archivage sécurisé.

  • Facturation & conformité : jusqu’à 7 ans.
  • Journaux techniques & TeamViewer : jusqu’à 10 ans.
Critères de durée

Exigences légales, besoins opérationnels, sécurité, litiges potentiels.

11. Cookies & suivi Web

Cookies pour sécurité, fonctionnement et mesure d’audience agrégée (sans profilage publicitaire). Gérez vos préférences dans votre navigateur; certaines fonctions peuvent être limitées.

Types de cookies

Nécessaires (session, sécurité), fonctionnels (préférences), statistiques (agrégées, anonymisées). Pas de cookies publicitaires tiers.

12. Prestations sans contrat formel

Services TI sur demande (à l’heure) possibles sans contrat écrit. L’intervention vaut consentement limité aux accès nécessaires; autorisations spécifiques documentées si contenu sensible.

Exemples

Appel de dépannage ponctuel, billet unique; l’accès est circonscrit au périmètre nécessaire.

13. Traitement des demandes (30 jours – Loi 25)

Adressez vos demandes au RPRP :

Denis Jasmin — RPRP

Courriel : rp@sipinformatique.ca

Adresse postale/coordonnées : à compléter au besoin

Signature SIP

Délai maximal : 30 jours. Des informations complémentaires peuvent être requises pour vérifier l’identité et préciser la demande.

14. Mises à jour & acceptation

Cette Politique peut être mise à jour. La version en vigueur et la date de mise à jour sont affichées en haut de page. En utilisant nos services (incluant TeamViewer Host), vous reconnaissez l’avoir lue et acceptée. Les modifications importantes seront communiquées sur ce site ou par courriel, lorsque pertinent.

15. Coordonnées (RPRP)

SIP Informatique (Service Informatique Personnalisé)
RPRP : Denis Jasminrp@sipinformatique.ca
Site : https://sipinfo.ca

Politique de confidentialité · Version 1.2 (Octobre 2025) · Prochaine révision : Octobre 2026

Document vérifié et approuvé par le RPRP, Denis Jasmin, le 28 octobre 2025.

16. Glossaire (termes simplifiés)

  • MFA : deuxième étape d’authentification (ex. code sur téléphone) en plus du mot de passe.
  • BitLocker : chiffrement des disques Windows; protège les données si l’appareil est perdu/volé.
  • OPAL : norme de chiffrement matériel intégrée dans certains SSD.
  • EDR : outil qui détecte et bloque des menaces sur les postes (au-delà d’un antivirus classique).
  • Journalisation (logs) : enregistrement des accès et actions pour enquête et audit.
  • Rétention : durée de conservation avant suppression/anonymisation.
  • Anonymisation : transformation irréversible pour ne plus identifier une personne.
  • Portabilité : remise de vos données dans un format structuré et lisible par machine.
  • Minimisation : collecte limitée au strict nécessaire.
  • CAI : Commission d’accès à l’information (Québec), autorité de contrôle.
  • ISO/IEC 27001/27002 : normes internationales de gestion et de contrôle de la sécurité.
  • SOC 2 : rapport d’audit indépendant sur les contrôles de sécurité et confidentialité d’un fournisseur.
  • Entra ID / Azure / M365 : identité et services cloud de Microsoft (messagerie, fichiers, Teams, etc.).
  • NIST 800-88 : guide d’effacement sécurisé des supports.
  • DoD 5220.22-M : ancienne méthode de sur-écriture multiple de supports.