Responsable de la politique : Vincent Audette, PDG
Date d'entrée en vigueur : 19 juin 2026
Objectif
Garantir que l'information est classifiée, protégée, conservée et éliminée de façon sécuritaire conformément à son importance pour l'organisation.
Portée
Toutes les données, l'information et les systèmes d'information d'AUDLA Inc.
Politique
AUDLA Inc. classifie les données et les systèmes d'information conformément aux exigences légales, à la sensibilité et à la criticité pour l'entreprise afin d'assurer un niveau de protection approprié. Les propriétaires de données sont responsables d'identifier toute exigence additionnelle pour des données spécifiques ou toute exception aux exigences standard de traitement.
Les systèmes d'information et les applications sont classifiés selon la classification la plus élevée des données qu'ils stockent ou traitent.
Classification des données
Pour aider AUDLA Inc. et ses employés à comprendre facilement les exigences associées aux différents types d'information, l'entreprise a créé trois classes de données.
Confidentiel
Données hautement sensibles nécessitant les plus hauts niveaux de protection; l'accès est restreint à des employés ou départements spécifiques, et ces dossiers ne peuvent être transmis à d'autres qu'avec l'approbation du propriétaire des données ou d'un dirigeant de l'entreprise. Exemples :
- Données clients
- Renseignements personnels identifiables (PII)
- Données financières et bancaires de l'entreprise
- Salaires, rémunération et information de paie
- Plans stratégiques
- Rapports d'incident
- Rapports d'évaluation des risques
- Rapports de vulnérabilités techniques
- Identifiants d'authentification
- Secrets et clés privées
- Code source
- Données de litige
Restreint
Information propriétaire d'AUDLA Inc. nécessitant une protection rigoureuse; l'accès est restreint aux employés ayant un « besoin de savoir » selon les exigences d'affaires. Ces données ne peuvent être distribuées à l'extérieur de l'entreprise qu'avec approbation. Il s'agit du niveau par défaut pour toute information de l'entreprise, sauf indication contraire. Exemples :
- Politiques internes
- Documents juridiques
- Procès-verbaux de réunion et présentations internes
- Contrats
- Rapports internes
- Messages Slack
- Courriels
Public
Documents destinés à la consommation publique et pouvant être distribués librement à l'extérieur d'AUDLA Inc. Exemples :
- Matériel marketing
- Descriptions de produits
- Notes de version
- Politiques externes
Étiquetage
Les données confidentielles doivent être étiquetées « confidentiel » lorsque des copies papier sont produites pour distribution.
Traitement des données
Traitement des données confidentielles
Les données confidentielles sont assujetties aux exigences de protection et de traitement suivantes :
- L'accès pour les rôles non préapprouvés requiert une approbation documentée du propriétaire des données
- L'accès est restreint à des employés, rôles et/ou départements spécifiques
- Les systèmes confidentiels ne doivent pas permettre un accès non authentifié ou anonyme
- Les données clients confidentielles ne doivent pas être utilisées ou stockées dans des environnements non production
- Les données confidentielles doivent être chiffrées au repos et en transit sur les réseaux publics conformément à la politique de cryptographie
- Les sauvegardes doivent être chiffrées
- Les données confidentielles ne doivent pas être stockées sur des téléphones personnels, appareils ou médias amovibles incluant clés USB, CD ou DVD
- Les dossiers papier doivent être étiquetés « confidentiel » et entreposés et éliminés de façon sécuritaire conformément aux politiques et procédures de traitement et de destruction
- Les dossiers papier ne doivent être créés que selon un besoin d'affaires et évités lorsque possible
- Les dispositifs de stockage contenant des informations confidentielles doivent être effacés de façon sécuritaire avant élimination ou détruits physiquement
- Le transfert de données confidentielles à des personnes ou entités externes ne doit se faire que conformément à un contrat ou entente légale, et avec la permission écrite explicite de la direction ou du propriétaire des données
Traitement des données restreintes
Les données restreintes sont assujetties aux exigences de protection et de traitement suivantes :
- L'accès est restreint aux utilisateurs ayant un besoin de savoir selon les exigences d'affaires
- Les systèmes restreints ne doivent pas permettre un accès non authentifié ou anonyme
- Le transfert de données restreintes à des personnes ou entités externes ou utilisateurs non autorisés requiert l'approbation de la direction et ne doit se faire que conformément à un contrat ou entente légale, ou avec la permission du propriétaire des données
- Les dossiers papier doivent être entreposés et éliminés de façon sécuritaire conformément aux politiques et procédures applicables
- Les dispositifs de stockage contenant des informations restreintes doivent être effacés de façon sécuritaire avant élimination ou détruits physiquement
Traitement des données publiques
Aucune protection ou mesure de traitement spéciale n'est requise pour les données publiques. Les données publiques peuvent être distribuées librement.
Conservation des données
AUDLA Inc. conserve les données aussi longtemps que l'entreprise en a besoin ou pour respecter les exigences réglementaires ou contractuelles. Lorsque les données ne sont plus nécessaires, elles sont éliminées de façon sécuritaire ou archivées. Les propriétaires de données, en consultation avec les conseillers juridiques, peuvent déterminer les périodes de conservation de leurs données.
Les renseignements personnels identifiables (PII) doivent être supprimés ou anonymisés dès qu'ils n'ont plus d'utilité commerciale.
Les périodes de conservation sont documentées dans la matrice de conservation des données à l'annexe B de cette politique.
Élimination des données et des appareils
Les données classifiées restreintes ou confidentielles doivent être supprimées de façon sécuritaire lorsqu'elles ne sont plus nécessaires. AUDLA Inc. évalue les pratiques de données et d'élimination des fournisseurs tiers conformément à la politique de gestion des tiers. Seuls les tiers respectant les exigences d'AUDLA Inc. en matière d'élimination sécuritaire des données peuvent être utilisés pour le stockage et le traitement de données restreintes ou confidentielles.
AUDLA Inc. s'assure que toutes les données restreintes et confidentielles sont supprimées de façon sécuritaire des dispositifs de stockage avant ou au moment de leur élimination.
Les documents papier confidentiels et restreints doivent être déchiquetés ou autrement éliminés par une méthode sécuritaire.
Les PII sont collectés, utilisés et conservés uniquement aussi longtemps que l'entreprise a un objectif commercial légitime. Les PII sont supprimés et éliminés de façon sécuritaire à la fin du contrat conformément à la politique de l'entreprise, aux engagements contractuels et aux lois et règlements applicables. Les PII sont également supprimés en réponse à une demande vérifiée d'un consommateur ou d'une personne concernée, lorsque l'entreprise n'a pas d'intérêt commercial légitime ou d'obligation légale de les conserver.
Révision annuelle des données
La direction révise les exigences de conservation des données lors de la révision annuelle de cette politique. Les données sont éliminées conformément à cette politique.
Exigences légales
Dans certaines circonstances, AUDLA Inc. peut être assujettie à des procédures judiciaires exigeant la conservation de données associées à des suspensions légales, poursuites ou autres questions stipulées par les conseillers juridiques d'AUDLA Inc. Ces dossiers et informations sont exemptés de toute autre exigence de cette politique de gestion des données et doivent être conservés conformément aux exigences identifiées par le service juridique. Toutes ces suspensions et exigences spéciales de conservation font l'objet d'une révision annuelle avec les conseillers juridiques d'AUDLA Inc.
Conformité à la politique
AUDLA Inc. mesure et vérifie la conformité à cette politique par divers moyens, incluant notamment les rapports d'outils d'affaires et les audits internes et externes.
Exceptions
Les demandes d'exception à cette politique doivent être soumises à Vincent Audette, PDG, pour approbation.
Violations et application
Toute violation connue de cette politique doit être signalée à Vincent Audette, PDG. Les violations peuvent entraîner le retrait ou la suspension immédiate des privilèges système et réseau et/ou des mesures disciplinaires conformément aux procédures de l'entreprise, jusqu'au congédiement.
Historique des versions
| Version | Date | Description | Auteur | Approuvé par |
|---|---|---|---|---|
| 1.0 | 2026-06-13 | Première version | Vincent Audette, PDG | Vincent Audette, PDG |
Annexe A — Procédure interne de conservation et d'élimination
Vincent Audette, PDG d'AUDLA Inc., est responsable d'établir et d'appliquer les procédures de conservation et d'élimination des données pour les comptes et appareils gérés par AUDLA Inc.
Comptes clients
- Les comptes clients et leurs données doivent être supprimés dans les 90 jours suivant la fin du contrat par des processus manuels de suppression.
Appareils
Comme AUDLA Inc. n'utilise pas d'appareils mobiles ou de stockage portable gérés par l'entreprise, aucune procédure de collecte ou d'élimination d'appareils n'est requise.
Destruction d'appareils ou de médias électroniques
Lorsqu'un appareil est endommagé de façon à ce qu'AUDLA Inc. ne puisse pas accéder à la partition de récupération pour effacer le disque, AUDLA Inc. peut utiliser un service de recyclage électronique incluant la destruction des données avec certificat. AUDLA Inc. conserve les certificats de destruction pendant un an.
La destruction physique peut être optionnelle si l'appareil est vérifié comme chiffré avec chiffrement complet du disque, ce qui élimine le risque de récupération des données.
La direction révise cette procédure au moins annuellement.
Annexe B — Matrice de conservation des données
Le tableau suivant documente les périodes de conservation par système ou application.
| Système ou application | Description des données | Période de conservation |
|---|---|---|
| Plateforme client AUDLA Inc. (platform.audla.ca) | Données de projet client, gestion de fichiers, communications | Conservées aussi longtemps que nécessaire aux fins commerciales; supprimées sur demande du client ou à la fin du contrat, sauf obligation légale |
| Kulanz | Données financières de l'entreprise, grand livre, transactions bancaires via Plaid | Conservées aussi longtemps que nécessaire aux fins commerciales; supprimées sur demande du client ou à la fin du contrat, sauf obligation légale |
| AWS S3 (Amazon Web Services) | Médias, actifs et fichiers clients | Conservés aussi longtemps que nécessaire aux fins commerciales; supprimés sur demande du client ou à la fin du contrat, sauf obligation légale |
| AWS EC2 (Amazon Web Services) | Données de déploiement d'applications et de services | Conservées pendant la prestation active du service; éliminées lors de la mise hors service |
| PostHog | Analytique web et données de suivi par cookies | 90 jours |
| Dossiers financiers | Factures, registres de paiement, documents fiscaux | 7 ans (selon les exigences fiscales canadiennes) |
| Journaux de sécurité | Journaux d'événements de sécurité et système | 1 an |
| Politiques de sécurité | Politiques de sécurité et de conformité | 1 an après archivage |
| Contrats et documents juridiques | Contrats clients, ententes juridiques | 7 ans après la fin du contrat |
Version maîtresse: https://audla.ca/politiques/gestion-donnees