Politique de sécurité de l’information

Le Conseil canadien des normes de la radiotélévision (CCNR) est un organisme national d’autoréglementation volontaire créé par les radiodiffuseurs privés du Canada pour traiter les plaintes des auditeurs et des téléspectateurs concernant des émissions qu’ils ont entendues ou vues sur l’une des stations participantes. Le CCNR administre cinq codes d’industrie qui couvrent différents sujets liés à la déontologie, la violence à la télévision, la représentation équitable, la déontologie journalistique, et la propriété mixte, et définissent des lignes directrices pour les émissions de radio et de télévision.

Le CCNR a révisé sa politique de confidentialité en octobre 2018. Cette politique explique de quelle façon le CCNR traite les informations personnelles et à quelles fins il les utilise, en particulier comment il conserve les informations recueillies auprès des personnes qui visitent son site web ou qui ont recours à son processus de règlement des plaintes.

La politique de sécurité de l’information vise à protéger la confidentialité, l’intégrité et la disponibilité de l’information conformément aux obligations légales et aux exigences raisonnables des parties qui contrôlent l’information, les responsables et les gestionnaires de l’information, ainsi que les utilisateurs autorisés. Elle vise aussi à tenir les individus responsables en cas d’ingérence ou d’accès, d’utilisation, de divulgation, de suppression ou de modification non autorisés ou inappropriés des informations personnelles et des services. Tout employé du CCNR, consultant ou employé d’un fournisseur qui transgresse cette politique sera soumis à des sanctions pouvant aller jusqu’au renvoi ou à la résiliation du contrat.

Les situations pouvant éventuellement mener à des mesures correctives ou disciplinaires sont notamment les suivantes :

• Divulgation non autorisée d’une information personnelle;
• Divulgation non autorisée d’un code d’accès ou d’un mot de passe;
• Utilisation ou tentative d’utilisation du code d’accès ou du mot de passe d’une autre personne;
• Installation ou utilisation d’un logiciel non autorisé sur les ordinateurs du CCNR;
• Destruction intentionnelle et non autorisée d’informations que détient le CCNR;
• Tentative d’obtenir un code d’accès à des fins qui ne seraient pas reliées aux activités officielles, notamment en fournissant de la documentation frauduleuse afin d’obtenir accès.

L’information et les services connexes sont conservés de façon à satisfaire aux exigences juridiques et opérationnelles pendant tout leur cycle de vie. Le système des contrôles de sécurité destinés à protéger les services fournis par le CCNR doit être conçu et exploité de façon à ce que :

• Toutes les exigences de sécurité pour les entreprises soient respectées;
• Il y ait diversité et redondance dans les fonctions de sécurité afin qu’une panne éventuelle des mécanismes de contrôle ne puisse pas entraîner un grave préjudice;
• Les dommages résultant d’une faille dans la sécurité demeurent limités, avec un danger minime qu’ils se répandent au-delà de limites prédéterminées; et,
• Le système soit conçu de façon à faire lui-même la preuve de son efficacité et comprenne des mécanismes d’autocorrection.

Le système des contrôles de sécurité et les mécanismes individuels de contrôle sont évalués et testés avant usage et périodiquement par la suite. Les technologies, produits et instruments qui en font partie doivent être configurés et exploités de manière à garantir que tous les contrôles de sécurité sont efficaces.

Les données transmises par courriel sont stockées et transmises par l’intermédiaire des centres de données sécurisés de Microsoft Canada et protégées par la suite de sécurité Microsoft Office 365.

Le CCNR conserve les données, y compris les informations personnelles, uniquement sur des serveurs sécurisés ou à l’aide de solutions infonuagiques. Ces données sont protégées par des mécanismes de sécurité appropriés et conformes aux pratiques de l’industrie pour des installations similaires, qui incluent des mécanismes de protection du périmètre (coupe-feu), des détecteurs pour prévenir les intrusions, une protection contre les logiciels malveillants, ainsi que le cryptage des données et des sessions et le filtrage du contenu. Ces mécanismes de protection sont réévalués périodiquement pour tenir compte des nouveaux risques d’intrusion et des contre-mesures disponibles.

L’équipement téléphonique du CCNR se trouve dans une pièce fermée à clé, accessible uniquement au personnel du CCNR et aux fournisseurs externes qui ont besoin d’un accès pour effectuer leurs tâches.

Le centre des données du CCNR, situé à l’extérieur des locaux (à l’exception des terminaux informatiques, des ordinateurs personnels et de leurs périphériques), est équipé d’alimentation conditionnée, d’un système d’alimentation sans coupure (UPS)  et de génératrices au diesel, ainsi que de contrôles de l’environnement et de la température qui répondent aux exigences du système.

Les employés qui ont accès à la base de données du CCNR doivent se conformer aux exigences suivantes pour leur mot de passe :

• Un mot de passe ne se partage jamais avec d’autres, sauf le gestionnaire désigné de cette information;
• Le mot de passe se change régulièrement, tous les 5 à 6 mois;
• Le mot de passe comporte au minimum six caractères;
• On ne programme pas son mot de passe dans un ordinateur personnel et on ne le note pas dans un endroit où quelqu’un risque de le trouver et de s’en servir;.
• Pour créer un mot de passe, il ne faut absolument pas se servir de mots du dictionnaire, ou de données associées personnellement à l’utilisateur (prénom d’un enfant, nom du chien ou du chat, date d’anniversaire, etc.). Le mot de passe doit renfermer une combinaison de caractères alphanumériques (lettres majuscules et minuscules, chiffres et symboles).

Le réseau doit adopter les normes suivantes pour les mots de passe :

1) Les mots de passe acheminés par un réseau doivent être cryptés; 2) Les mots de passe doivent être inscrits dans un champ qui ne s’affiche pas; 3) Le logiciel du système doit obliger à changer les mots de passe et à respecter une longueur minimale; 4) Le logiciel du système doit désactiver le code d’identification de l’utilisateur quand plus de quatre mots de passe non valides ont été donnés en moins de 15 minutes. Le temps de désactivation sera fixé au minimum à 30 minutes; 5) Le logicial du système doit conserver l’historique des mots de passe et empêcher leur réutilisation.