Politique de confidentialité

Champ d’application

Hitachi Systems Trusted Cyber Management Inc. et ses filiales respectent et prennent au sérieux les questions relatives au droit à la vie privée et à la protection des données personnelles des personnes concernées (collectivement, « le groupe HSTCM », « nous », ou « nos »).

La présente politique sur la protection des données personnelles et de la vie privée (la « Politique ») s’applique à l’ensemble des traitements de données personnes effectuées par le groupe HSTCM sur les personnes concernées, à l’exception des employés.

Objectifs

Afin d’offrir des services de qualité à nos clients et d’assurer le bon fonctionnement de l’entreprise, nous devons avoir accès à certaines de vos données personnelles. Nous avons pour principe de protéger toutes les données personnelles que nous avons en notre possession ou dont nous avons la gestion.

Nous adoptons cette Politique afin de vous informer comment nous procédons pour recueillir, utiliser et communiquer les données personnelles dont nous avons besoin pour nous acquitter de nos responsabilités professionnelles et exploiter notre entreprise.

Nous nous assurons de gérer vos données avec toute la discrétion et la rigueur nécessaires en conformité avec les exigences légales et réglementaires en vigueur. Les pratiques dont il est question dans la Politique reflètent des exigences imposées par les lois fédérales et/ou provinciales en vigueur au Canada, en Europe, aux États-Unis, en Inde et entérine les principes de vie privée adoptés par Hitachi Ltd.

Définition des termes

Par « Données Personnelles », nous comprenons tout renseignement concernant une personne identifiable ou qui, pris séparément ou combiné avec d’autres données, permet d’identifier une personne.

Par « Personne Concernée », nous comprenons une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Par « Traitement », nous comprenons toutes opérations portant sur les données personnelles, notamment et de façon non-exhaustive : la collecte, l’utilisation, la divulgation, le partage, etc.

Par « Fin de traitement », nous comprenons l’objectif principal de l’utilisation de données personnelles. Les données sont collectées pour un but bien déterminé et légitime et ne sont pas traitées ultérieurement de façon incompatible avec cet objectif initial.

Par « Responsable de traitement », nous comprenons la personne physique ou morale qui détermine les fins et les moyens d’un traitement.

Par « Sous-traitant », nous comprenons la personne morale qui traite des données pour le compte d’un autre organisme (le responsable de traitement), dans le cadre d’un service ou d’une prestation.

Règles et pratiques relatives aux traitements des données personnelles

Détermination et limitation des finalités du traitement

Les Données Personnelles que nous recueillons sur vous sont traitées pour des fins spécifiques et déterminées préalablement à la collecte. Ces finalités sont les suivantes:

  • En tant que Responsable de traitement :
    • Acquisition de talents: recrutement, évaluation et vérification des antécédents des candidats à l’embauche
    • Gestion des prospects et des clients: Acquisition de nouveaux clients et campagnes de promotion de la marque, gestion des opportunités, gestion du compte client, suivi de la relation client
    • Sélection et gestion des fournisseurs
    • Gestion de la comptabilité: représentation et fluctuations du patrimoine et de la situation financière de l’entreprise
    • Gestion des litiges: Litige avec les clients, fournisseurs et autres parties prenantes
    • Sécurité des biens et des personnes: Vidéosurveillance et gestion des accès par badges des visiteurs dans les locaux de l’entreprise
    • Gestion des incidents de sécurité et violations de données: Surveillance, identification, évaluation des risques, notification et communication, documentation et archivage de la violation
    • Gestion des demandes des Personnes Concernées ou leurs ayants-droits: Réception, vérification de la validité, traitement, réponse, documentation et archivage de la demande
  • En tant que Sous-traitant, selon les instructions du client :
    • Services de sécurité gérés, incluant les services suivants :
      • Programme d’évaluation gérée de la vulnérabilité et programme de sensibilisation à la sécurité
      • Surveillance des compromissions et vulnérabilités web, surveillance des journaux, surveillance de la sécurité du Cloud et surveillance et gestion de l’intégrité des fichiers
      • Service de détection d’intrusions et de détection et réponse des points finaux et aux menaces du réseau
      • Réponse aux incidents et enquête numérique
      • Gestion des risques et de la gouvernance
      • Service de renseignements sur les menaces et surveillance DarkWeb et sur les cybermenaces
      • Cybersécurité gérée pour la conformité PCI-DSS
      • Protection DDoS
    • Services professionnels, incluant les services suivants :
      • Surveillance des compromissions web
      • Essais techniques
      • Services De Protection Des Données Personnelles
      • Services de cybersécurité cloud
      • Cybersécurité dès la conception
      • Services de conseil consultatif
      • Planification et traitement de la réponse aux incidents et équipe d’enquêtes numériques
    • Services et analyse de l’infonuagie et des centres de données (MARS and Hitachi DCA)
    • Ingénierie des solutions

Le groupe HSTCM s’efforce de limiter la collecte de Données Personnelles au strict nécessaire pour atteindre les objectifs pour lesquels elles sont collectées. Soyez assuré que nous ne divulguerons ni n’utiliserons vos Données Personnelles à des fins autres que celles prévues à l’origine, à moins que cela ne soit justifié par une base légale applicable, telle que l’obtention de votre consentement ou que cela soit prévu par la loi.

De plus, comme vous pourrez le constater dans la section Mesures de sécurité relatives aux données personnelles, nous limitons l’accès à vos Données Personnelles aux personnes ayant la qualité et la nécessité d’y accéder, et ce, pour une fin spécifique.

Collecte de données personnelles

Le groupe HSTCM traite des Données Personnelles qui peuvent être collectées de deux manières:

  • Directement auprès de vous, par le biais de formulaires, de courriers électroniques, de discussions, etc.
  • Indirectement auprès de vous, par le biais de l’utilisation d’outils technologiques ou de tierces parties (par ex : institutions financières, agence de référence, etc.)

Dans le cadre des fins identifiées ci-avant, nous devons recueillir des données personnelles vous concernant au titre de Responsable de traitement et de Sous-traitant, dans la limite de ce qui est approprié:

  • Des données relatives au recrutement comme des CV ou toute autre donnée pertinente pour un recrutement potentiel
  • Des données d’identification, telle que l’état civil, le nom, le prénom, date de naissance, image, documents d’identification
  • Des données relatives à la vie professionnelle, telle qu’une adresse postale, une adresse électronique ou un numéro de téléphone, société d’appartenance, fonction
  • Des données relatives au suivi de la relation commercial telle que la langue de communication, les échanges, les services fournis et détail des opérations
  • Des données techniques sur les visites ou toute autre donnée collectée à travers des témoins (témoins de connexion) ou d’autres outils similaires
  • Des données relatives au marketing et aux préférences de communication comme des commentaires, des réponses à des sondages
  • Des informations relatives aux litiges le cas échéant
  • Séquence vidéo issues de la vidéosurveillance, ainsi que des données de localisation associées aux badges d’accès
  • Des données relatives aux violations de données personnelles, incluant les informations d’investigation, telle que la date, l’heure, la cause, et les personnes impactées par l’évènement, les échanges courriels et autres messages et commentaires lié à l’incident, ainsi que les communications adressées aux personnes concernées le cas échéant
  • Les données nécessaires à la livraison de nos services, dans la limite des instructions du client, telle que des adresses IP, des données de journalisation et autres données techniques, des identifiants, etc.

Licéité du traitement

En règle générale, nous obtiendrons les Données Personnelles nécessaires directement auprès de vous, et ce avec votre consentement, sous réserve des exceptions prévues à la loi applicable[1] tel qu’une obligation légale, l’existence d’un contrat ou l’intérêt légitime des sociétés du groupe HSTCM.

Dans les mêmes conditions, nous pouvons également recueillir des Données Personnelles auprès de tiers dans la mesure où les lois applicables le permettent ou si nous avons obtenu votre consentement.

Vous avez le droit de refuser de nous fournir des Données Personnelles qui ne sont pas nécessaires aux fins du traitement.

Vous avez également le droit, sous réserve d’un préavis raisonnable et des restrictions légales ou contractuelles applicables, de retirer votre consentement à l’utilisation des Données Personnelles déjà collectées en contactant le délégué à la protection des données (informations de contact disponibles en section Demandes, Plaintes et/ou Commentaires).

Partage de données personnelles

Dans le cadre de nos activités, nous pouvons partager vos Données Personnelles:

  • Entre les sociétés du groupe HSTCM, nominativement:
    • Hitachi Systems Trusted Cyber Management Inc. localisée à Santa-Clara, Californie, Etats-Unis
    • Systèmes de Sécurité Hitachi Inc., localisée à Blainville, Québec, Canada
    • Hitachi Systems Security Europe SA, localisée à Sierre, Suisse
    • Cumulus Systems Private Ltd., localisée à Pune, Inde
  • À d’autres sociétés du groupe de sociétés Hitachi
  • À des prestataires de services et autres destinataires telles que les assureurs, banques, conseillers professionnels, etc.

Les Données Personnelles fournies sont alors limitées aux seules informations nécessaires à l’exécution de leurs services et aux activités de traitement susmentionnées. La protection de vos Données Personnelles est demandée à tous les destinataires afin de préserver la confidentialité de ces données.

En aucun temps, nous ne vendrons ni n’échangerons vos Données Personnelles. Nous demanderons votre consentement si nous souhaitons utiliser ou divulguer vos Données Personnelles à de nouvelles fins commerciales. Nous pourrions ne pas rechercher le consentement si la loi le permet (par exemple, la loi permet aux organisations d’utiliser les renseignements personnels sans consentement à des fins de recouvrement d’une dette).

Conservation des données personnelles

Vos Données Personnelles ne sont conservées qu’aussi longtemps que nécessaire aux fins énoncées dans la Politique et pour garantir le respect des lois applicables et les instructions de nos clients.

En outre, dépendamment de l’entité du groupe HSTCM avec laquelle vous faites affaires, vos données personnelles peuvent être conservés dans différentes localisation, et notamment au Canada, en Union Européenne et en Suisse ou au Japon et en Inde. En tout état de cause, nous veillons à ce que des mesures de sécurité et des accords contractuels adéquats soient mis en place pour protéger vos Données Personnelles.

Mesures de sécurité relatives aux données personnelles

Nous nous efforçons d’appliquer les mesures de sécurité nécessaires et appropriées pour assurer la protection des Données Personnelles en notre possession. Pour ce faire, nous suivons notamment les standards acceptés dans l’industrie tel que ISO/IEC 27001 et SOC 2 Type II.

Ces mesures sont adoptées, tenant compte de la sensibilité et des risques relatifs à la protection des Données Personnelles, et se répartissent en trois (3) grandes catégories:

  1. Mesures de sécurité logiques incluant sans s’y limiter la mise en place de pare-feu, surveillance continue de nos systèmes et de notre réseau, gestion des privilèges d’accès aux données, chiffrement des données, etc.
  2. Mesures de sécurité physiques incluant sans s’y limiter la mise en place de verrouillage des classeurs et restrictions d’accès aux locaux et équipements informatiques, climatisation de nos serveurs, alarme anti-intrusion, gestion d’incendie, vidéosurveillance et agents de sécurité, etc.
  3. Mesures de sécurité organisationnelles incluant sans s’y limiter la mise en place de politiques, procédures, formation et sensibilisation en matière de sécurité de l’information et protection des données personnelles, évaluation de risques de nos fournisseurs et évaluation des facteurs relatifs à la vie privée, accord contractuels renforcés, signature d’accord de confidentialité, etc.

Transferts internationaux de données personnelles

Les sociétés du groupe HSTCM font appel à des fournisseurs de services situés au Canada, en Suisse et Union Européenne, aux États-Unis, en Inde et dans d’autres pays du monde pour exécuter des mandats spécifiques dans le cours normal des affaires. Ainsi, certaines de vos Données Personnelles peuvent être transférés dans un autre pays et être assujettis aux lois de ce pays.

Nous avons pris des garanties appropriées pour que les Données Personnelles que nous traitons soient protégées conformément à nos politiques et pratiques en matière de protection de la vie privée lorsqu’elles sont transférées vers un pays tiers, en exigeant de nos prestataires de services qu’ils s’engagent à respecter leur obligation de préserver la confidentialité et la sécurité des Données Personnelles qui leur sont confiées. Cela inclut l’obligation de mettre en œuvre des mesures de sécurité efficaces, mais aussi l’interdiction de divulguer vos Données Personnelles à des tiers.

Si vous avez des questions ou si vous avez besoin de plus d’informations concernant les transferts internationaux de données, veuillez contacter le délégué à la protection des données (informations de contact disponibles en section Demandes, Plaintes et/ou Commentaires).

Droits des personnes concernées

Droit d’accès et de rectification

Vous pouvez demander l’accès à vos Données Personnelles ou l’information sur la façon dont nous traitons vos Données Personnelles. Vous pouvez également demander que les données détenues par les sociétés du groupe HSTCM soient rectifiées si elles s’avéraient inexactes, ambiguës ou incomplètes.

Droit à l’effacement (« Droit à l’oubli »)

Vous avez le droit d’obtenir des sociétés du groupe HSTCM l’effacement de vos Données Personnelles dans les meilleurs délais. Le droit à l’effacement ne s’applique pas dans la mesure où le traitement est nécessaire, notamment:

  • à l’exercice du droit à la liberté d’expression et d’information,
  • à des fins de recherche ou à des fins statistiques,
  • à l’exercice ou à la défense de droits en justice
  • en vertu d’une obligation légale.

Droit à la limitation de traitement

Vous aurez le droit d’obtenir des sociétés du groupe HSTCM une limitation du traitement lorsque l’un des éléments suivants s’applique:

  • pendant une durée permettant à aux sociétés du groupe HSTCM de vérifier l’exactitude des Données Personnelles alors que vous contestez l’exactitude de ces dernières,
  • le traitement est illicite et vous vous opposez à l’effacement de Données Personnelles et exigez à la place la limitation du traitement par limitation de leur utilisation,
  • les sociétés du groupe HSTCM n’ont plus besoin des Données Personnelles aux fins du traitement, mais celles-ci vous sont encore nécessaires pour la constatation, l’exercice ou la défense de droits en justice,
  • vous vous opposez au traitement pendant une vérification portant sur le point de savoir si les motifs légitimes poursuivis par les sociétés du groupe HSTCM prévalent sur les vôtres.

Lorsque le traitement a été limité, les Données Personnelles ne peuvent, à l’exception de leur conservation, être traitées qu’avec votre consentement ou pour la constatation, l’exercice ou la défense de droits en justice, ou pour la protection des droits d’une autre personne physique ou morale, ou encore pour des motifs importants d’intérêt public d’une autorité publique habilitée par loi.

Droit à la portabilité des données

Vous aurez le droit de recevoir les Données Personnelles que vous avez fournis aux sociétés du groupe HSTCM, dans un format structuré, couramment utilisé et lisible par machine, et vous aurez le droit de transmettre ces Données Personnelles à un autre Responsable du traitement sans que les sociétés du groupe HSTCM y fasse obstacle. Ce droit s’applique lorsque le traitement est fondé sur votre consentement et que le traitement est effectué à l’aide de procédés automatisés.

Droit d’opposition

Vous pouvez vous opposer, à tout moment, pour des raisons tenant à votre situation particulière, à un traitement des Données Personnelles vous concernant. Les sociétés du groupe HSTCM ne traiteront plus les Données Personnelles à moins qu’elles ne démontrent qu’il existe des motifs légitimes pour le traitement qui prévalent sur vos intérêts, droits et libertés ou pour la constatation, l’exercice ou la défense de droits en justice.

Décision individuelle automatisée, y compris le profilage

Vous pouvez demander de pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, à moins que la décision ne soit:

  • nécessaire à la conclusion ou à l’exécution d’un contrat entre vous et les sociétés du groupe HSTCM,
  • autorisée par les lois auxquelles les sociétés du groupe HSTCM sont soumises et qui prévoient également des mesures appropriées pour la sauvegarde de vos droits, libertés et des intérêts légitimes,
  • fondée sur votre consentement explicite.

Demandes, plaintes et/ou commentaires

Pour introduire une demande d’accès ou de rectification, exercer tout droit applicable, déposer une plainte, obtenir de l’information sur notre Politique ou nous faire part de vos commentaires, nous vous invitons à contacter notre délégué à la protection des données pour le groupe HSTCM :

  • à l’adresse courriel : dpo@hitachi-systems-security.com; ou
  • à l’adresse postale : Systèmes de Sécurité Hitachi Inc., à l’attention du Délégué à la protection des données, 244-955 boul. Michèle-Bohec, Blainville QC J7C 5J6.

Règlement général sur la protection des données (RGPD) – Représentant européen

Conformément à l’article 27 du règlement général sur la protection des données (RGPD), Systèmes de Sécurité Hitachi Inc. et Hitachi Systems Security Europe SA. ont désigné EDPO (European Data Protection Office) comme leur représentant dans l’UE. Vous pouvez contacter EDPO pour toute question relative au RGPD:

Règlement général sur la protection des données (UK GDPR) – Représentant du Royaume-Uni

Conformément à l’article 27 du règlement général sur la protection des données (UK RGPD), Systèmes de Sécurité Hitachi Inc. et Hitachi Systems Security Europe SA. ont désigné EDPO UK Ltd comme leur représentant du Royaume-Uni. Vous pouvez contacter EDPO UK pour toute question relative au UK RGPD:

Mise à jour de la politique

Les activités de traitement portant sur les Données Personnelles peuvent être modifiées par le groupe HSTCM à tout moment. Par conséquent, cette Politique peut faire l’objet d’une modification de temps à autre à l’avenir. Il est recommandé de la consulter à chacune de vos visites sur notre site Internet afin de rester informé de la manière dont nous traitons les Données Personnelles.

Mise à jour: 2023.09.25

[1] Union Européenne : Art. 6 et 7 du RGPD ; Suisse : Art. 34 et 36 de la nLPD ; Québec : Art. 18 et suivants de la Loi dans le secteur privée ; Inde : Art. 4 du DPDPA