Politique de confidentialité
Services opérationnels de sécurité numérique (DSOS)
Dans le cadre du DSOS, vos données personnelles sont collectées et traitées par Securitas Intelligent Services AB (situé en Suède, numéro d'enregistrement 556655-4670), ainsi que par le Délégué à la protection des données (situé au Canada), ci-après nommées collectivement "Securitas".
1. Champ d’application de l’avis de confidentialité
Securitas accorde une grande importance à la vie privée et s'engage donc à protéger les données personnelles de tous ses employés avec le plus grand soin possible, et à ne traiter les données personnelles que de manière loyale et légale. Le présent avis de confidentialité s'applique aux employés de Securitas pour les données personnelles collectées et traitées par Securitas dans le cadre du DSOS.
Le présent avis de confidentialité contient l’information essentielle sur les types de renseignements personnels que Securitas, en tant que responsable du traitement des données, recueille, sur la manière dont Securitas utilise ces renseignements personnels, pour quelle finalité, sur les personnes avec lesquelles Securitas les partage, sur la manière dont Securitas protège ces informations et sur vos droits légaux concernant vos renseignements personnels.
Étant donné que le DSOS implique la surveillance des appareils des utilisateurs finaux sur le lieu de travail (tel que votre téléphone ou ordinateur professionnel), il est important que vous vous familiarisiez avec cet avis de confidentialité et le dossier d'information DSOS (bientôt disponible) afin de vous assurer que vous compreniez la portée de cette activité, ce que Securitas peut voir et ce que nous ne pouvons pas voir. Si vous désirez avoir plus d’information sur le dossier d'information DSOS, veuillez contacter le Délégué à la protection des données via privacy.officer@securitas.ca.
2. Description du DSOS
Le DSOS est un service de cybersécurité et de réponse aux incidents, soutenu par une équipe mondiale d'intervention en cas d'urgence cybernétique (l'équipe CERT), qui surveille l'environnement informatique de l'utilisateur final et le réseau de Securitas pour détecter, par exemple, les vulnérabilités, les menaces et les comportements malveillants afin de garantir sa conformité aux politiques de confidentialité et de sécurité de l'entreprise. En plus de la surveillance de la sécurité, des incidents et des réponses, le DSOS comprend également des analyses de sécurité numérique. Cela signifie qu'ils recherchent activement les brèches et les hôtes infectés dans l'environnement.
Le DSOS utilise un certain nombre de solutions cloud (infonuagique) de tierces parties hébergées aux États-Unis. Veuillez-vous référer à la section sur les tiers ci-dessous pour plus d'informations.
3. Traitement des données personnelles
Les données personnelles peuvent être définies comme toute information permettant d’identifier une personne physique, directement ou indirectement.
Dans le but d’assurer un service efficace, Securitas collecte les données personnelles suivantes via le DSOS :
- ZScaler: Adresse IP, URLs, Département, Nom du dispositif/propriétaire, Identifiant de l’utilisateur
- Knowi: Adresse IP et noms d’utilisateurs.
- CrowdStrike: Adresse IP, noms d'utilisateur, adresse électronique professionnelle (observée à partir des données brutes collectées sur l'appareil final (par exemple, les journaux d'événements Windows - natifs du système d'exploitation Windows).
- Rapid7: Adresse IP, utilisateur local, activité de l'utilisateur, comptes de système et de service.
- NVISO: Information sur la réponse aux incidents
Securitas traite vos données personnelles en respectant les exigences de la Loi sur la protection des renseignements personnels et les documents électroniques ainsi que les lois provinciales applicables. Un test de « mise en balance » a été réalisé afin de garantir le respect de vos droits et libertés en tant que personnes concernées dans la mise en place et le fonctionnement des services. Securitas s’assure à ce que les données soit utilisées à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances. Pour plus d'information sur le test de « mise en balance » effectué, veuillez contacter votre délégué à la protection des données ou votre délégué à la protection de la vie privée local.
4. Comment Securitas utilisera les renseignements personnels
La finalité du traitement des données personnelles dans le cadre du DSOS est la sécurité de l'information et la réponse aux incidents : fournir une résilience en matière de cybersécurité aux entités de Securitas dans le monde entier. Pour ce faire, Securitas collecte, stocke, accède, consulte et surveille vos données. Securitas partage également des données personnelles avec des tiers spécifiques qui fournissent des solutions à la DSOS. Veuillez-vous référer à la section sur les tiers pour plus d'information.
5. Vos droits en tant que personne concernée
À tout moment, en tant que personne concernée, vous disposez de certains droits que vous pouvez exercer en ce qui concerne vos données personnelles. Ces droits sont conformes aux exigences décrient à l’Annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques.
Vos droits en tant que personne concernée peuvent être exercés gratuitement en envoyant un e-mail à privacy.officer@securitas.ca.
Veuillez noter que Securitas se réserve le droit de demander des informations supplémentaires afin de confirmer votre identité et de s’assurer que la demande provient bel et bien de vous avant d’y répondre.
Voici les droits que vous avez :
Droit d’accès
Vous avez le droit, à tout moment et gratuitement, d'accéder à vos données personnelles et de demander une copie des données personnelles que Securitas collecte à votre sujet dans le DSOS. Le fichier de vos renseignements sera généralement mis à votre disposition par des moyens sécurisés dans un délai de 30 jours. Des prolongations sont possibles en cas de demandes complexes.
Dans le cas où Securitas ne serait pas en mesure de vous donner accès aux données personnelles vous concernant (par exemple, si cela devait porter atteinte de manière déraisonnable à la vie privée d'une autre personne ou constituer une menace sérieuse pour la vie, la santé ou la sécurité d'une personne), nous vous en informerons dans un délai de 30 jours. Il s’agit de cas d’exception qui sont prévus par le Principe 4.9 de la Loi sur la protection des renseignements personnels et les documents électroniques.
Veuillez noter que Securitas peut appliquer des frais administratifs pour fournir l'accès à vos renseignements dans un nombre limité de cas. Si vous demandez une copie de vos données en utilisant des moyens électroniques (tels que le courrier électronique), alors Securitas fournira une copie de vos informations sous forme électronique, sauf si vous nous demandez de faire autrement.
Droit à la rectification
Vous avez toujours le droit de demander que des données personnelles incorrectes soient corrigées, ou des données incomplètes soient complétées.
Droit à effacement (Droit d’être oublié)
Vous pouvez demander que vos données personnelles soient effacées des systèmes de Securitas. La demande d'effacement de vos données personnelles ne peut pas toujours être accordée en raison d'obligations contractuelles ou légales. Nous tiendrons compte de ces obligations lorsque nous répondrons à votre demande.
Droit d’opposition
Vous avez le droit de vous opposer au traitement de vos données personnelles puisque le traitement a lieu sur la base de l'intérêt légitime de Securitas. Nous cesserons le traitement, sauf si nous pouvons prouver qu'il existe des motifs légitimes impérieux pour le traitement ou pour l'exercice de droits légaux.
Droit à la limitation du traitement
Dans certains cas, vous avez le droit de demander la limitation du traitement de vos données personnelles. Securitas continuera à stocker vos données mais en limitera l'utilisation.
Droit de déposer une plainte
Si, à quelconque moment, vous pensez que Securitas porte atteinte à votre vie privée, vous avez le droit de déposer une plainte auprès d'Integritetsskyddsmyndigheten (l'autorité suédoise pour la protection de la vie privée), ou auprès de l'autorité de surveillance de votre pays de résidence, soit le Commissariat à la protection de la vie privée du Canada.
6. Tiers & transferts internationaux
Securitas fait appel aux tiers suivants, hébergés aux États-Unis, pour fournir des solutions de services cloud (infonuagique) au DSOS :
- CrowdStrike, prévient et détecte les logiciels malveillants ou tout autre comportement anormal. Cette solution permet d'obtenir une visibilité à l'échelle globale de ce qui se passe sur l'hôte (ex. : environnement).
- ZScaler, met en place un proxy web sur l'environnement et surveille et enregistre les activités.
- Knowi, donne à tous les membres de l'équipe informatique et à l'équipe CERT un aperçu de la sécurité informatique et de la santé générale.
- Rapid7, la plateforme rassemble, la bibliothèque de Rapid7 sur la recherche de vulnérabilité, l’exploitation des connaissances, le comportement global des attaquants, les données de numérisation à l’échelle d’Internet, l’analyse de l’exposition et la production de rapports en temps réel, le tout dans le but de recueillir des données sur les vulnérabilités et les transformer en réponse, de manière évolutive, disponible et efficace.
Ces sociétés sont des sociétés réglementées par la FISA, ce qui signifie qu'elles sont soumises à des pouvoirs d'enquête prépondérants de la part des autorités fédérales américaines, qui disposent d'un large champ d'action pour accéder aux données personnelles. Securitas a pris des mesures à la fois contractuelles (en mettant en œuvre les clauses contractuelles types de l'Union Européenne), ainsi que des mesures techniques et organisationnelles (telles que l'anonymisation et ou le cryptage) pour garantir que vos données personnelles bénéficient du même niveau de protection que celui prévu par la Loi sur la protection des renseignements personnels et les documents électroniques, lorsqu'elles sont traitées par ces tiers réglementés par la FISA.
Securitas oblige contractuellement les tiers du DSOS à ne traiter vos données personnelles que conformément aux instructions de Securitas.
7. Conservation de vos données personnelles
Securitas reconnaît l'importance de la protection des données personnelles. Nous ne conservons pas vos données personnelles plus longtemps que ce qui est strictement nécessaire à la réalisation des objectifs pour lesquels nous avons reçu les données. En tant que procédure standard, nous effacerons vos données personnelles du DSOS dans un délai raisonnable après que vous ayez quitté l'entreprise et que vous ne soyez plus un employé de Securitas. Pour des informations plus détaillées sur la conservation et l'effacement de vos données, veuillez contacter votre responsable de la protection de la vie privée.
Dans tous les cas, les données personnelles peuvent être conservées pendant une période plus longue s'il existe une raison légale ou réglementaire de le faire.
Nous garantissons de ne fournir qu'un accès limité aux données archivées et de supprimer ou de rendre anonymes vos données personnelles si le délai de conservation est dépassé.
8. Sécurité et confidentialité de vos données personnelles
Securitas utilise des mesures de sécurité techniques et organisationnelles pour empêcher la destruction, la perte, la falsification, l'altération, l'accès non autorisé ou la divulgation de vos données personnelles à des tiers et tout autre traitement non autorisé de ces données.
Nous avons tout mis en œuvre pour assurer la confidentialité, l'intégrité et la disponibilité des systèmes et services d'information qui traitent les données personnelles. Ces mesures comprennent des mesures de sécurité physiques et opérationnelles, le contrôle d'accès, l'authentification multifactorielle, le cryptage, l'anonymisation et la pseudonymisation. Tous nos employés et les tiers engagés par nous sont tenus de respecter la confidentialité et la sécurité de vos données.
9. Nos coordonnées
Si vous avez des commentaires, des questions ou des préoccupations concernant l'une des informations contenues dans le présent Avis de confidentialité, ou tout autre problème lié au traitement de vos données personnelles par Securitas, veuillez-nous contacter en utilisant les coordonnées ci-dessous.
Pour contacter Securitas Intelligent Services AB veuillez utiliser les coordonnées suivantes :
Contactez notre équipe de la protection des données
Securitas Intelligent Services AB
Att: Data Privacy
P.O. Box 12307
102 28 Stockholm
Suède
Email: privacy@securitas.com
Contactez notre délégué à la protection des données
Securitas Intelligent Services AB
Att: Data Protection Officer
P.O. Box 12307
102 28 Stockholm
Suède
Email: dpo@securitas.com
Pour contacter votre entité Securitas locale, veuillez-vous référer aux coordonnées suivantes :
Securitas Canada Limitée
Att : Délégué à la protection des données
235 Yorkland Blvd, Suite 400
North York, ON, M2J 4Y8
Canada
Email : privacy.officer@securitas.ca
10. Changements à notre Avis de confidentialité
Securitas peut modifier ou mettre à jour cet Avis de confidentialité de temps à autre pour refléter les changements dans ses pratiques concernant le traitement de vos données personnelles, ou les changements dans la loi applicable. Lorsque nous apporterons des modifications à notre Avis de confidentialité, nous changerons la date et le numéro de version de la " dernière mise à jour " de notre Avis de confidentialité. Les changements importants vous seront notifiés à l'avance.
Cet Avis de confidentialité a été mis à jour le : 2021-08-24