Politique de sécurité de l’information

Le Conseil canadien des normes de la radiotélévision (CCNR) est un organisme national d’autoréglementation volontaire créé par les radiodiffuseurs privés du Canada pour traiter les plaintes des auditeurs et des téléspectateurs concernant des émissions qu’ils ont entendues ou vues sur l’une des stations participantes. Le CCNR administre cinq codes d’industrie qui couvrent différents sujets liés à la déontologie, la violence à la télévision, la représentation équitable, la déontologie journalistique, et la propriété mixte, et définissent des lignes directrices pour les émissions de radio et de télévision.

Le CCNR a révisé sa politique de confidentialité en octobre 2018. Cette politique explique de quelle façon le CCNR traite les informations personnelles et à quelles fins il les utilise, en particulier comment il conserve les informations recueillies auprès des personnes qui visitent son site web ou qui ont recours à son processus de règlement des plaintes.

La politique de sécurité de l’information vise à protéger la confidentialité, l’intégrité et la disponibilité de l’information conformément aux obligations légales et aux exigences raisonnables des parties qui contrôlent l’information, les responsables et les gestionnaires de l’information, ainsi que les utilisateurs autorisés. Elle vise aussi à tenir les individus responsables en cas d’ingérence ou d’accès, d’utilisation, de divulgation, de suppression ou de modification non autorisés ou inappropriés des informations personnelles et des services. Tout employé du CCNR, consultant ou employé d’un fournisseur qui transgresse cette politique sera soumis à des sanctions pouvant aller jusqu’au renvoi ou à la résiliation du contrat.

Les situations pouvant éventuellement mener à des mesures correctives ou disciplinaires sont notamment les suivantes :

L’information et les services connexes sont conservés de façon à satisfaire aux exigences juridiques et opérationnelles pendant tout leur cycle de vie. Le système des contrôles de sécurité destinés à protéger les services fournis par le CCNR doit être conçu et exploité de façon à ce que :

Le système des contrôles de sécurité et les mécanismes individuels de contrôle sont évalués et testés avant usage et périodiquement par la suite. Les technologies, produits et instruments qui en font partie doivent être configurés et exploités de manière à garantir que tous les contrôles de sécurité sont efficaces.

Les données transmises par courriel sont stockées et transmises par l’intermédiaire des centres de données sécurisés de Microsoft Canada et protégées par la suite de sécurité Microsoft Office 365.

Le CCNR conserve les données, y compris les informations personnelles, uniquement sur des serveurs sécurisés ou à l’aide de solutions infonuagiques. Ces données sont protégées par des mécanismes de sécurité appropriés et conformes aux pratiques de l’industrie pour des installations similaires, qui incluent des mécanismes de protection du périmètre (coupe-feu), des détecteurs pour prévenir les intrusions, une protection contre les logiciels malveillants, ainsi que le cryptage des données et des sessions et le filtrage du contenu. Ces mécanismes de protection sont réévalués périodiquement pour tenir compte des nouveaux risques d’intrusion et des contre-mesures disponibles.

L’équipement téléphonique du CCNR se trouve dans une pièce fermée à clé, accessible uniquement au personnel du CCNR et aux fournisseurs externes qui ont besoin d’un accès pour effectuer leurs tâches.

Le centre des données du CCNR, situé à l’extérieur des locaux (à l’exception des terminaux informatiques, des ordinateurs personnels et de leurs périphériques), est équipé d’alimentation conditionnée, d’un système d’alimentation sans coupure (UPS)  et de génératrices au diesel, ainsi que de contrôles de l’environnement et de la température qui répondent aux exigences du système.

Les employés qui ont accès à la base de données du CCNR doivent se conformer aux exigences suivantes pour leur mot de passe :

Le réseau doit adopter les normes suivantes pour les mots de passe :

1) Les mots de passe acheminés par un réseau doivent être cryptés;
2) Les mots de passe doivent être inscrits dans un champ qui ne s’affiche pas;
3) Le logiciel du système doit obliger à changer les mots de passe et à respecter une longueur minimale;
4) Le logiciel du système doit désactiver le code d’identification de l’utilisateur quand plus de quatre mots de passe non valides ont été donnés en moins de 15 minutes. Le temps de désactivation sera fixé au minimum à 30 minutes;
5) Le logicial du système doit conserver l’historique des mots de passe et empêcher leur réutilisation.