Traitez rapidement les atteintes à la vie privée
Protéger les renseignements personnels
Traitez rapidement les atteintes à la vie privée
Une atteinte à la vie privée est la collecte, la création, l’usage, le partage, la conservation ou la destruction inappropriée ou non autorisée de renseignements personnels.
Les atteintes à la vie privée peuvent survenir en raison d’erreurs innocentes ou d’actions intentionnelles commises par :
- les employés de la fonction publique;
- les fournisseurs de services tiers agissant pour le compte des institutions gouvernementales;
- des tiers avec des intentions malveillantes;
- d’autres parties internes ou externes.
Causes d’une atteinte à la vie privée
Voici des exemples de situations qui pourraient mener à une atteinte à la vie privée :
- le vol, la perte ou la disparition d’équipements ou d’appareils contenant des renseignements personnels qui n’ont pas été suffisamment chiffrés;
- documents perdus dans un bureau (également connu sous le nom de perte de contrôle positive);
- un courriel contenant des renseignements personnels envoyé à un destinataire non prévu;
- la divulgation involontaire de l’identité d’autres destinataires d’un courriel de nature sensible envoyé en copie conforme (cc) au lieu d’une copie conforme cachée (bcc); par exemple, un courriel concernant un processus de sélection de personnel;
- un hameçonnage ou l’utilisation de tactiques trompeuses pour inciter un employé à fournir ses renseignements personnels, soit directement, soit en se rendant sur un faux site Web;
- la collecte de renseignements personnels qui ne sont pas directement lies ou nécessaires à un programme;
- l’utilisation de renseignements personnels à des fins qui ne correspondent pas à l’objectif pour lequel ils ont été collectés à l’origine;
- un accès non autorisé à des renseignements personnels, comme l’espionnage;
- une cyberattaque touchant un tiers en vertu d’un contrat, d’une entente ou d’un accord avec l’institution;
- des mesures de contrôle d’accès qui n’ont pas les bons paramètres, ce qui permet l’affichage de renseignements par inadvertance.
Scénario : Pourquoi ne puis-je pas accéder à ces fichiers?
Qui
Marie est responsable de programme et souhaite embaucher un nouvel employé provenant d’une autre équipe de sa division.
Situation
Marie souhaite accéder à l’évaluation du rendement de l’employé afin de déterminer si son embauche représente un avantage pour son équipe. Lorsqu’elle tente de consulter l’évaluation du rendement, l’accès lui est refusé.
Résultat
Marie est frustrée, mais réalise que l’évaluation du rendement de l’employé n’est pas directement liée à son travail. Ainsi, les mesures de contrôle d’accès l’empêchent d’accéder de manière inappropriée à des renseignements personnels. Il s’agit là d’un exemple de mesure de protection qui a permis d’éviter une atteinte à la vie privée.
Atteintes substantielles à la vie privée
Les atteintes substantielles à la vie privée entrainent un risque réel de préjudice grave pour une personne. Cela comprend les lésions corporels, l’humiliation, dommage à la réputation ou aux relations, la perte d’emploi, le vol d’identité et les pertes financières.
Ces types d’atteintes doivent être signalés au Commissariat à la protection des renseignements personnels du Canada (le Commissariat) et au Secrétariat du Conseil du Trésor du Canada (SCT).
Prévention d’une atteinte à la vie privée
Idéalement, vous voulez empêcher les atteintes de se produire. La mise en œuvre de mesures de protection est une première étape importante, mais il est également conseillé de créer un plan pour faire face à une atteinte à la vie privée, avant qu’elle ne se produise.
Votre initiative doit avoir un plan d’intervention en cas d’atteintes à la vie privée qui affectent tout renseignement personnel sous son contrôle. Cela inclut les renseignements personnels partagés ou collectés par des tiers dans le cadre d’un contrat ou d’une entente.
Le plan d’intervention en cas d’atteinte à la vie privée doit :
- inclure les rôles et les responsabilités;
- s’harmoniser avec toute exigence en matière de sécurité;
- respecter les exigences de la politique de la vie privée.
Conseil sur la protection de la vie privée : Lorsque vous réagissez à une atteinte, veillez à ne pas prendre de mesures qui pourraient aggraver la situation ou mener à une autre atteinte, par exemple en communiquant des renseignements personnels supplémentaires.
Gérer une atteinte à la vie privée
Il existe quatre phases pour répondre à une atteinte à la vie privée :
Phase 1 : Identifier et contenir l’atteinte
Si votre initiative soupçonne une atteinte à la vie privée, les employés doivent essayer de la contrôler immédiatement. Ensuite, les employés doivent en aviser les responsables en matière de la protection de la vie privée et de la sécurité de l’atteinte potentielle ou confirmée.
Phases 2 : Effectuer une évaluation complète de l’atteinte
Votre initiative doit collaborer avec les experts en matière de protection de la vie privée pour décider si une évaluation complète de l’atteinte est nécessaire.
Phase 3 : Atténuer les risques et communiquer en interne
Lorsque l’atteinte est contenue, travaillez avec vos experts en matière de protection de la vie privée pour mettre en place des mesures visant à réduire le risque aux individus touchés et à l’institution, notamment en informant les individus touchés.
Phase 4 : Signaler et empêcher une nouvelle atteinte
Votre initiative doit mettre en place des mesures de prévention pour réduire le risque d’une future atteinte. Ces mesures doivent être mises en place dans un délai approprié.
À ce stade, les experts en matière de protection de la vie privée doivent rédiger un rapport officiel pour informer le Commissariat et le SCT si l’atteinte est considérée comme une atteinte substantielle.
Lisez les conseils complets et trouvez des outils pour vous aider à gérer une atteinte dans la trousse d’outils pour la gestion des atteintes à la vie privée.
Détails de la page
- Date de modification :