Sécurité et Protection de la vie privée

Chez Technologies innovatrices d’imagerie (TII), nous comprenons que la sécurité et la protection de la vie privée ne sont pas seulement des préoccupations pour nos partenaires et clients, ce sont des nécessités. Voilà pourquoi nous avons conçu la plateforme de collaboration Reacts pour répondre aux exigences de communication médicale les plus strictes et nous nous engageons à maintenir ainsi qu’à continuellement mettre à niveau nos technologies et processus selon l’évolution constante des besoins et des innovations de l’industrie.

Culture et processus

Les systèmes professionnels de collaboration à distance, médicaux ou autres, sont basés sur certaines exigences sous-jacentes telles que l’accessibilité et la convivialité, l’interactivité, la fiabilité, la sécurité, la confidentialité et la traçabilité. En s’appuyant sur ces principes de base, notre équipe de sécurité de l’information et de la protection de la vie privée s’assure que nous suivons les meilleures pratiques dans tout ce que nous faisons, y compris :

  • Pratiques d’emploi
  • Formation continue sur la sécurité et la protection de la vie privée
  • Contrôle d’accès strict et directives de stockage
  • Tests externes et audits de conformité réguliers
  • Surveillance et mises à jour de manière continue

Prenez note que les données d’un utilisateur qui sont contenues dans sa bibliothèque ou dans sa messagerie sécurisée Reacts ne sont pas accessibles pour les employés de TII et qu’aucune communications ou sessions vidéo ne sont enregistrées par TII.

Conception et technologie

La plateforme Reacts a été conçue sous la guidance de cliniciens et de visionnaires novateurs en tenant compte des besoins et contraintes des professionnels de la santé et des patients. L’architecture de la plateforme a ensuite été conçue par une équipe multidisciplinaire comprenant des experts en mise en réseau et en sécurité de l’information.

Tous les points d’accès aux API et services Reacts nécessitent des connexions sécurisées à l’aide de TLS (Transport Layer Security) et de méthodes de chiffrement standard de l’industrie. Les communications audio / vidéo de la plateforme utilisent le contexte de sécurité DTLS-SRTP pour chiffrer et déchiffrer les flux de bout en bout, tandis que la base de données et les sauvegardes sont chiffrées au repos à l’aide de Transparent Data Encryption (TDE) avec chiffrement en mode bloc AES 256. Reacts met également en oeuvre des mesures pour réduire les risques de gestion des données sur les appareils appartenant aux clients.

L’infrastructure, les machines virtuelles et les autres ressources infonuagiques de la plateforme Reacts sont hébergées dans deux régions canadiennes distinctes de Microsoft Azure, à l’aide des mécanismes appropriés de surveillance, de redondance et de reprise automatique après sinistre.

VOIR LE SURVOL DE LA SÉCURITÉ >

Conformité et audits

TII a mis en place des mesures techniques et organisationnelles appropriées relativement à la sécurité et à la confidentialité, incluant la certification de Reacts par le ministère de la santé et des services sociaux du Québec, et la revue régulière des meilleures pratiques de l’industrie et des lois LPRPDE, PHIPA, HIPAA, et RGPD sur la protection des renseignements personnels. Le processus de développement de Reacts comprend régulièrement des tests de pénétration et des évaluations de conformité par des parties indépendantes et spécialisées.

Pour ce qui est de la conformité de Technologies innovatrices d’imagerie (TII) avec différentes lois applicables au niveau de la sécurité et de la protection des informations personnelles, TII est principalement considéré à titre de sous-traitant (« Processor »), de partenaire d’affaires (« Business Associate ») et/ou de fournisseur de service concernant le traitement des informations personnelles découlant de l’utilisation de la plateforme Reacts. Ainsi, TII ne peut effectuer le traitement des informations personnelles autrement qu’en conformité avec les lois applicables et/ou tel que défini dans une entente écrite avec le réel responsable du traitement ou le gardien des informations personnelles, le cas échéant.

À la lumière de ce qui précède, TII prend ses décisions relativement à la sécurité et à la protection de la vie privée en considérant les meilleures pratiques de l’industrie ainsi que plusieurs lois relativement à la protection des informations personnelles, telles que LPRPDE, HIPAA, RGPD et PHIPA. TII est sujet à chacune de ces lois dans la mesure où elles sont applicables et doit s’y conformer. Conséquemment, TII a mis en place des mesures techniques et organisationnelles appropriées afin de protéger les informations personnelles, incluant les informations personnelles sensibles comme les informations personnelles sur la santé, tel qu’il est requis de le faire par les différentes lois mentionnées précédemment.

Parmi les différentes mesures mises en place par TII, nous retrouvons notamment les suivantes :

  • Reacts a obtenu la certification du ministère de la Santé et des Services sociaux du Québec;
  • TII dispose de politiques et de procédures concernant ses méthodologies relativement à la sécurité et la protection de la vie privée. Par exemple, TII a une politique concernant le contrôle des accès aux systèmes et aux informations. Ces politiques et procédures sont soumises à un examen continu, soit au besoin et au moins une fois par an;
  • TII s’assure d’avoir en place des mesures efficaces pour limiter la collecte, l’accès, l’utilisation et la divulgation des informations confidentielles et personnelles ainsi que pour que s’assurer que les informations résultant de l’utilisation de Reacts soient encryptées en transit et au repos;
  • TII veille à ce que les informations demeurent au Canada en terme de stockage et de sauvegarde;
  • TII s’assure d’avoir des accords en place avec ses tierces parties, qui peuvent inclure la conclusion d’un Business Associate Agreement (BAA) ou d’un Data Processing Agreement (DPA) lorsque cela est nécessaire. TII transigera avec une tierce partie uniquement après avoir effectué l’évaluation de ses mesures de sécurité et de protection de la vie privée;
  • TII s’assure que tous ses employés reçoivent une formation en matière de sécurité et de protection de la vie privée, incluant des activités de sensibilisation mensuelles à ce sujet. La formation est obligatoire lors de l’embauche, à chaque année, lorsque cela est nécessaire pour un poste particulier et au besoin (par exemple : HIPAA et RGPD);
  • TII a en place un processus de gestion des incidents et des violations potentielles des données;
  • Les utilisateurs peuvent accéder à leurs informations personnelles directement via leur compte Reacts et les modifier si elles sont inexactes ou incomplètes;
  • Le processus de développement de Reacts comprend des tests de pénétration et de conformité réguliers par des parties indépendantes et des sociétés tierces spécialisées concernant la sécurité, la disponibilité, l’intégrité du traitement et la protection des données personnelles. À cet effet, ces évaluations sont souvent inspirées des standards reconnus par l’industrie ou des lois sur la protection des informations personnelles (par exemple, le RGPD ou le standard ISO/IEC 27001).