Accepter les similitudes, aimer les différences, dans toutes nos affaires

Politique de sécurité des informations

Le sixième principe de protection des données Cette politique exige que les organisations mettent en œuvre des mesures technologiques et organisationnelles appropriées pour garantir la sécurité des données personnelles. La Région 9 décrit les procédures à suivre pour assurer la sécurité des données (mesures organisationnelles) et les mesures technologiques à adopter.

Portée de cette politique

Cette politique s'applique à toute personne traitant des données personnelles provenant de la Région 9 ou agissant pour son compte. Cela inclut les responsables, les personnes chargées de liaison avec les administrateurs, les présidents et membres des comités, les coordinateurs de service ou les représentants à l'Assemblée, les organisateurs de l'Assemblée annuelle et du congrès, ainsi que les autres membres des services d'OA. Chacun est responsable de veiller à ce que les données personnelles qu'il traite soient conservées en toute sécurité et ne soient divulguées (ni oralement, ni par écrit, ni accidentellement) à aucun tiers non autorisé.

Principes généraux

OA est une association anonyme, et notre 12e Tradition stipule que : « L’anonymat est le fondement spirituel de toutes ces Traditions, nous rappelant sans cesse de privilégier les principes aux personnalités. » Nous traitons les informations concernant les autres membres avec confidentialité. Cette politique est conforme à la 12e Tradition. Les informations personnelles ne doivent être ni partagées de manière informelle, ni divulguées à des personnes non autorisées. Les données doivent être conservées en toute sécurité et, si elles ne sont plus nécessaires, supprimées ou détruites de manière sécurisée. En cas de perte ou de vol de données, ce fait doit être signalé immédiatement, conformément à la procédure décrite dans ce document. Une attention particulière doit être portée lors du transfert de données afin d’éviter toute perte pendant le transport.

Documents papier

Lorsque des données personnelles sont stockées sur support papier (par exemple : un registre des participants à une réunion), elles doivent être conservées dans un endroit sécurisé, hors de portée des personnes non autorisées.

Les documents papier doivent être conservés dans un tiroir ou une armoire fermée à clé, ou détruits conformément à la réglementation en vigueur s'ils ne sont plus nécessaires à nos activités ou à nos exigences d'audit. Les copies papier doivent être déchiquetées ou incinérées de manière sécurisée lorsqu'elles ne sont plus utilisées. Déchirer ou froisser les documents n'est pas une méthode d'élimination sûre.

Les listes de présence aux assemblées doivent être détruites lorsqu'elles ne sont plus nécessaires, conformément à la politique de confidentialité.

Données électroniques

Les ordinateurs et appareils utilisés pour accéder aux données personnelles doivent être équipés de logiciels à jour, car les logiciels anciens ne bénéficient pas des correctifs de sécurité. Les mises à jour de sécurité doivent être installées.

Les appareils doivent impérativement être équipés d'un logiciel antivirus/antimalware installé et maintenu à jour. Ce logiciel sera fourni par la Région si nécessaire.

Il est indispensable d'utiliser des mots de passe robustes pour sécuriser vos appareils électroniques et les services permettant d'accéder à vos données (messagerie, Google Workspace, etc.). Vos mots de passe ne doivent en aucun cas être réutilisés, partagés, enregistrés dans un fichier ou stockés dans un gestionnaire de mots de passe ou un navigateur non sécurisé. L'utilisation d'un logiciel de gestion de mots de passe, protégé par un mot de passe fort, est fortement recommandée. Vous trouverez des conseils sur le choix et l'utilisation des mots de passe en ligne. ici.

Si vous utilisez un ordinateur partagé, les services protégés par mot de passe doivent être fermés une fois votre travail terminé. Ne laissez aucun fichier ni dossier ouvert et verrouillez l'écran lorsque vous vous en éloignez.

Le réseau Wi-Fi domestique doit être crypté au niveau de sécurité le plus élevé disponible (idéalement WPA2). Voici quelques suggestions pour sécuriser votre réseau Wi-Fi domestique :

  • Modifiez le nom d'utilisateur et le mot de passe de l'administrateur de votre routeur afin qu'ils ne soient pas la norme pour votre routeur.
  • Modifiez le nom de diffusion de votre Wi-Fi (le SSID) afin qu'il ne décrive pas le routeur.
  • Activez les pare-feu et désactivez les réseaux invités.
  • Maintenez le micrologiciel à jour.
  • À moins que votre routeur ne soit verrouillé, désactivez le WPS (le bouton à une pression pour vous connecter à votre routeur).

Les réseaux Wi-Fi ouverts ne doivent pas être utilisés pour accéder à des données personnelles.

Appareils mobiles

Il est essentiel de veiller tout particulièrement à la sécurité des appareils mobiles : ils doivent être protégés par un mot de passe et, idéalement, chiffrés. Les périphériques USB non chiffrés sont particulièrement vulnérables, car ils sont très faciles à perdre. Dans l’idéal, les appareils devraient être équipés d’un logiciel d’effacement à distance permettant de les supprimer en cas de vol.

Google Suite

Les responsables de la région 9, les agents de liaison du conseil d'administration, les présidents et membres des comités, les coordinateurs de service ou les représentants de l'assemblée, ainsi que les autres membres de l'OA, utilisent Google Workspace pour sauvegarder leurs informations. L'authentification à deux facteurs doit être activée et un mot de passe robuste utilisé.

Les documents doivent être enregistrés au bon emplacement et les copies multiples d'un même document sont interdites. Tout document contenant des données personnelles doit être enregistré sous un nom de fichier se terminant par « PD », par exemple : « Factures du site web (PD) ». Chaque membre du bureau, agent de liaison avec les administrateurs, président de comité et coordinateur de service est responsable de son propre espace de stockage partagé Google Drive et de ses autres dossiers.

Les documents doivent être supprimés conformément aux règles d'archivage et de conservation énoncées dans la politique de confidentialité.

Le responsable du numérique de la région 9 et le président du comité numérique sont les administrateurs de Google Workspace. Ils gèrent l'accès aux lecteurs partagés et autres dossiers Google Workspace, en veillant à ce que cet accès soit réservé aux membres actuels du bureau, aux personnes-ressources des administrateurs, aux présidents et membres des comités, aux coordinateurs de service ou aux représentants de l'assemblée, ainsi qu'aux autres membres de l'OA et aux membres sortants en période de passation de pouvoir. Une fois la passation de pouvoir terminée, leur accès aux lecteurs et dossiers partagés est supprimé ou réduit.

Email

Les responsables de la région 9, les agents de liaison des administrateurs, les présidents de comité, les membres de comité, les coordinateurs ou représentants de service et les autres membres de l'OA utiliseront les comptes de messagerie de la région 9 lorsqu'ils traiteront des données personnelles pour la région 9 ; ces comptes de messagerie seront fournis dans le cadre de leur licence Google Suite.

Le courrier électronique n'est pas sécurisé. La plupart des courriels transmis sur Internet sont envoyés en clair, ce qui les rend vulnérables à l'interception. Réfléchissez bien aux informations que vous transmettez par courriel. Par exemple, utilisez des formulaires chiffrés pour envoyer vos informations bancaires plutôt que le courrier électronique.

Il est fortement recommandé d'utiliser des adresses électroniques génériques autant que possible, à tous les niveaux du service OA dans la région 9 (veuillez consulter le Manuel des politiques OA de la région 9). Les comptes de messagerie doivent être protégés par un mot de passe sécurisé et les fonctions de sécurité activées.

Il convient d'être extrêmement prudent lors de l'ouverture des pièces jointes aux courriels, car elles peuvent contenir un virus, un cheval de Troie, un logiciel espion ou tout autre logiciel malveillant. Les attaques par rançongiciel sont désormais courantes et sont lancées par le biais de courriels frauduleux qui semblent provenir d'un organisme légitime (par exemple, l'administration fiscale) et qui contiennent une facture ou un bon de commande. Si ce document est ouvert, un logiciel malveillant s'installe et chiffre toutes les données de l'appareil infecté. Une rançon est alors exigée pour obtenir la clé de déchiffrement. Conformément au RGPD, la « corruption de données » constitue une violation de données ; par conséquent, toute attaque par rançongiciel doit être signalée comme telle au président de la région 9, conformément à la politique ci-dessous.

Lors de l'envoi d'un courriel à une liste de diffusion, ou à plusieurs destinataires, l'adresse courriel de l'expéditeur est utilisée dans le champ « À », tandis que les destinataires sont listés dans le champ « CCI » (copie carbone invisible). Ainsi, les adresses courriel ne sont pas partagées entre tous les membres de la liste.

Des documents contenant des données personnelles peuvent être joints aux courriels, qu'ils soient envoyés ou reçus. Ces documents doivent être conservés en lieu sûr. Les courriels contenant ces pièces jointes doivent également être conservés en lieu sûr et supprimés conformément aux règles d'archivage et de conservation définies dans la Politique de confidentialité.

Utilisation des informations anonymisées sur le site Web et dans les publications

Les noms et prénoms ne seront pas utilisés dans le contenu du site web, les documents imprimés ni les autres publications de la Région 9 d'OA, sauf si une dérogation est signée au moment de la soumission. Cette approche minimise le traitement des données personnelles, réduit le risque de divulgation accidentelle et respecte les principes du RGPD relatifs à la minimisation des données, à la protection de la vie privée et au respect des droits des personnes.

Violation de données

Relevant du président de la région 9

Le RGPD exige que la région 9 d'OA notifie sans délai et au plus tard 72 heures après avoir pris connaissance d'une violation de données à l'autorité nationale compétente, sauf si cette violation est peu susceptible d'engendrer un risque pour les droits et libertés des personnes concernées. La région 9 a désigné le Bureau du commissaire à l'information du Royaume-Uni comme autorité nationale compétente.

Une violation de données personnelles désigne toute atteinte à la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles transmises, stockées ou traitées de toute autre manière, qu'ils soient accidentels ou illicites. Cela peut inclure la perte d'une clé USB contenant les coordonnées des membres d'OA, ou l'envoi accidentel de ces coordonnées par courriel à des personnes non autorisées à les recevoir.

Toute personne manipulant des données personnelles en lien avec OA (responsables, agents de liaison des administrateurs, présidents de comité, membres de comité, coordinateurs de service ou représentants de l'assemblée, et autres membres de service d'OA) doit en informer le président de la région 9 dès qu'elle a connaissance d'une violation de données (chair@oaregion9.orgToute personne ayant des inquiétudes concernant la confidentialité des données ou le risque de violation doit en informer le président.

Notification au Bureau du commissaire à l'information

Le président examinera si la violation est susceptible d'entraîner un risque pour les droits et libertés des personnes concernées. Si un tel risque est improbable, la violation ne sera pas signalée à la CNIL, mais consignée dans le modèle de déclaration des violations de données. Des mesures correctives seront définies et un calendrier de mise en œuvre sera établi.

En cas de risque pour les personnes concernées, le président notifiera la violation au Bureau du commissaire à l'information, en décrivant :

  1. la nature de la violation de données personnelles, y compris, si possible, les catégories et le nombre approximatif de personnes concernées et les catégories et le nombre approximatif d'enregistrements de données personnelles concernés
  2. Le nom et les coordonnées de la personne auprès de laquelle des informations complémentaires peuvent être obtenues. Il peut s'agir du président ou d'une autre personne chargée de gérer la violation de données.
  3. les conséquences probables de la violation des données personnelles
  4. les mesures prises ou envisagées par le responsable du traitement pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures visant à atténuer ses effets négatifs potentiels

Cette notification aura lieu dans les 72 heures suivant la notification de l'infraction au président, sauf si cela s'avère impossible, auquel cas elle aura lieu dès que possible, et les raisons du retard seront indiquées.

S’il n’est pas possible de fournir toutes les informations ci-dessus simultanément, celles-ci pourront être fournies par étapes sans délai supplémentaire indu.

Le président consignera l'infraction dans le modèle, en indiquant la nature de l'infraction, la date et la manière dont elle a été signalée, la date à laquelle elle a été portée à la connaissance du Bureau du commissaire à l'information, les effets de l'infraction et les mesures correctives prises, ainsi que toute réponse du Bureau du commissaire à l'information, y compris toute mesure obligatoire.

Notification aux personnes concernées

Lorsque la violation de données à caractère personnel est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques, et qu’il est impossible d’empêcher la réalisation de ce risque, le président en informera la ou les personnes concernées sans délai indu. Les informations suivantes seront communiquées, en langage clair et simple :

  1. La nature de la violation des données personnelles
  2. Le nom et les coordonnées de la personne auprès de laquelle des informations complémentaires peuvent être obtenues. Il peut s'agir du président ou d'une autre personne chargée de gérer la violation de données.
  3. les conséquences probables de la violation des données personnelles
  4. les mesures prises ou envisagées par le responsable du traitement pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures visant à atténuer ses effets négatifs potentiels

La notification doit être envoyée directement à la personne concernée, sauf si cela implique des efforts disproportionnés, auquel cas elle peut être publiée sur le site web.

Délégation

Le président peut déléguer ses responsabilités en vertu de cette section à une personne nommée, mais il restera responsable en dernier ressort de veiller à ce que toute infraction soit correctement consignée et (le cas échéant) notifiée.

Version

Cette politique a été élaborée le 5 mai 2020 et approuvée par l'Assemblée de la région 9 en octobre 2021.

La politique a été révisée et approuvée le 16 janvier 2026.

Toute question concernant cette politique ou toute demande d'information relative à la protection des données doit être adressée au président de la région 9 (chair@oaregion9.org)

Retour en haut de la page
Région OA 9

GRATUIT
CONSULTER