Dans le cadre de vos fonctions, si vous devez consulter des documents contenant des renseignements personnels, cela doit se faire à l’intérieur des locaux de l’Université. Il n’est effectivement pas permis de sortir à l’extérieur de l’Université des documents contenant des renseignements personnels, peu importe leur support, à moins d’avoir obtenu l’autorisation préalable de son gestionnaire et de s’assurer de les protéger adéquatement. 

Par exemple, vous devez ajouter un mot de passe sur un document contenant des renseignements personnels sur votre clé USB.

Dans un contexte de travail en mode hybride, les membres du personnel doivent disposer d’un lieu de travail bien aménagé, sécuritaire et adéquat pour effectuer le travail à distance.

Il est bien entendu interdit de consulter des documents contenant des renseignements personnels dans un lieu public, comme un restaurant ou un métro.

Que ce soit à distance ou en présence, l’utilisation de systèmes informatiques comporte des risques, puisqu’ils constituent des portes d’entrée vers les renseignements personnels détenus par l’Université.

Pour assurer leur protection, l’appareil informatique (ordinateur, tablette, téléphone intelligent) doit obéir aux standards de l’Université en matière de sécurité de l’information.

Lors de projets de recherche se déroulant à l’extérieur de l’Université, et plus particulièrement à l’étranger, des mesures de protection supplémentaires peuvent être requises pour protéger adéquatement les renseignements personnels des personnes participant à votre projet de recherche. Nous vous invitons à consulter votre comité d’éthique de la recherche pour vous accompagner dans la détermination des mesures de protection appropriées au contexte de votre projet.

Un appareil électronique doit être verrouillé, et ce, même dans les locaux de l’Université :

• en tout temps, lorsqu’il n’est pas utilisé;

• chaque fois que vous le laissez sans surveillance;

• automatiquement après 10 minutes d’inactivité.

L’appareil informatique doit être entreposé dans un endroit sécuritaire et sous votre surveillance constante.

Travailler sur plusieurs dossiers en même temps peut mettre à risque les renseignements personnels et augmenter la probabilité qu’un incident se produise.

Par exemple, les renseignements personnels d’une personne peuvent être insérés par erreur dans le dossier d’une autre. Cette autre personne aura ainsi accès à des renseignements personnels qui ne la concernent pas. Il s’agit d’un incident de confidentialité qui peut avoir des impacts importants, même si la situation semble anodine. 

Par conséquent, il est fortement suggéré de fermer les applications et documents non utilisés et de ne traiter qu’un dossier personnel à la fois.

Le partage d’écran est également une situation nécessitant une vigilance accrue. Il est important de toujours vous assurer que la personne a le droit et le besoin de prendre connaissance des renseignements personnels concernés avant de partager votre écran. De plus, il est recommandé de partager uniquement une fenêtre précise afin d'éviter de partager tout son écran.

Il est formellement interdit de publier des renseignements personnels détenus par l’Université sur les médias sociaux, à moins d’avoir obtenu préalablement le consentement explicite de la personne concernée.

Il est important de communiquer les renseignements personnels dans un environnement pouvant assurer la discrétion tel qu’un bureau fermé, si la rencontre se déroule en présence, ou par le port d’un casque d’écoute, si elle se déroule à distance.

Lorsque le destinataire détient les mêmes permissions d’accès sur DocUM, la meilleure pratique consiste à transmettre un lien hypertexte vers le dossier où est stocké le document à partager. Si vous souhaitez créer un dossier partagé avec une autre unité sur DocUM, nous vous invitons, avec votre responsable informatique, à communiquer avec la Division des archives et de la gestion de l'information à soutien-archives@umontreal.ca afin que le dossier soit conforme.

Utilisation d’une adresse courriel personnelle

Il est formellement interdit de transmettre des renseignements personnels gérés par l’Université en utilisant votre courriel personnel.

Lignes directrices pour l’envoi de courriels

Si la transmission de documents avec DocUM est impossible, l’utilisation du courriel peut être envisagée en respectant certaines lignes directrices :

1. S’assurer que le destinataire a le droit et le besoin de prendre connaissance de ces informations.

2. Placer les renseignements personnels dans un document protégé par un mot de passe fort et mettre le document protégé en pièce jointe du courriel, en utilisant l’application Outlook de l’Université de Montréal.

3. Vérifier l’identité du destinataire du courriel et envoyer le courriel avec votre courriel institutionnel.

4. Communiquer le mot de passe à votre destinataire, idéalement par une autre voie de communication (Teams, téléphone ou, à défaut, par un courriel distinct).

5. Ajouter un avis de confidentialité à votre signature (modèle fourni à la page 5 du document - réservé aux membres du personnel UdeM).

Les renseignements confidentiels peuvent aussi être transmis par courriel à un ou des destinataires dont l’adresse est @umontreal.ca dans le corps du courriel (mais pas dans l’objet) ou dans une pièce jointe non protégée par un mot de passe si les renseignements concernent 4 personnes ou moins, et ce, quel que soit le nombre de destinataires.

Lignes directrices pour la réception de courriels

1. Ne pas rediriger le courriel institutionnel vers un courriel externe.

2. Enregistrer les courriels importants sur DocUM ou dans l'outil approuvé par votre comité d'éthique, dans le cas d'un projet de recherche.

3. Enregistrer les pièces jointes qui contiennent des renseignements personnels sur DocUM en s’assurant de retirer le mot de passe.

4. Supprimer les pièces jointes et les courriels de la boîte de réception après les avoir enregistrés sur DocUM.

5. Éliminer rapidement les courriels non importants et non nécessaires à la continuité administrative.

6. Vider régulièrement la corbeille.

7. Prévenir l’expéditeur si vous recevez un courriel contenant des renseignements personnels par erreur et supprimer le courriel de la boîte de réception et de la corbeille.