Traitez rapidement les atteintes à la vie privée

Traitez rapidement les atteintes à la vie privée

Une atteinte à la vie privée est la collecte, la création, l’utilisation, le partage, la conservation ou l’élimination inappropriée ou non autorisée de renseignements personnels. Une atteinte à la vie privée peut se produire au sein d’une institution ou hors site. Elle peut résulter d’erreurs commises par inadvertance ou d’actions malveillantes de la part d’employés, de tiers, y compris de partenaires dans le cadre d’ententes sur les échanges de renseignements ou de mauvais acteurs.

Principales causes d’une atteinte à la vie privée

La cause la plus fréquente d’une atteinte à la vie privée est l’erreur humaine, par exemple :

  • un courriel ou un courrier postal mal acheminé contenant des renseignements personnels, comme un courriel contenant des identifiants de connexion ou un colis postal contenant un passeport;
  • ne pas protéger l’équipement qui contient des renseignements personnels, par exemple en transférant un disque dur sans effacer ses données;
  • l’accès non autorisé à des renseignements personnels, par exemple en fouillant dans une base de données;
  • collecter plus de renseignements que nécessaire;
  • conserver des renseignements personnels plus longtemps que nécessaire ou plus longtemps que ce que vous avez indiqué dans votre plan de conservation.

Scénario: Pourquoi ne puis-je pas accéder à mes anciens fichiers?

Qui

Marie, agente de programme, reçoit un nouveau portefeuille de fichiers juste avant de partir en vacances pour un mois.

Situation

Lorsque Marie revient, elle essaie d’accéder à son ancien portefeuille et continue d’être refusé. Après trois tentatives, son compte est bloqué et elle doit demander un changement de mot de passe officiel auprès de l’administrateur du système.

Résultat

Marie est frustrée, mais réalise que le fait d’avoir obtenu un nouveau portefeuille avant ses vacances l’a empêchée d’accéder accidentellement à des fichiers qui ne sont pas les siens. Cela montre que les mesures de protection mises en place pour limiter les accès non autorisés fonctionnent.

Atteintes substantielles à la vie privée

Les atteintes substantielles à la vie privée impliquent un risque réel de préjudice important pour une personne. Cela comprend les dommages corporels, l’humiliation, l’atteinte à la réputation ou aux relations, la perte d’emploi, le vol d’identité et les pertes financières.

Ces types d’atteintes doivent être signalés au Commissariat à la protection des renseignements personnels du Canada (CPVP) et au Secrétariat du Conseil du Trésor du Canada (SCT).

Prévention d’une atteinte à la vie privée

Idéalement, vous voulez empêcher les atteintes de se produire. La mise en œuvre de mesures de protection est une première étape importante, mais il est également conseillé de créer un plan pour faire face à une atteinte à la vie privée, avant qu’elle ne se produise.

Votre initiative doit avoir un plan d’intervention en cas d’atteintes à la vie privée qui affectent tout renseignement personnel sous son contrôle. Cela inclut les renseignements personnels partagés ou collectés par des tiers dans le cadre d’un contrat ou d’une entente.

Le plan d’intervention en cas d’atteinte à la vie privée doit :

Conseil sur la protection de la vie privée : Lorsque vous réagissez à une atteinte, veillez à ne pas prendre de mesures qui pourraient aggraver la situation ou mener à une autre atteinte, par exemple en communiquant des renseignements personnels supplémentaires.

Gérer une atteinte à la vie privée

Il existe quatre étapes pour répondre à une atteinte à la vie privée :

Étape 1 : Identifier et contenir l’atteinte

Si votre initiative soupçonne une atteinte à la vie privée, les employés doivent essayer de la contrôler immédiatement. Ensuite, les employés doivent informer les responsables en matière de la protection de la vie privée et de la sécurité de l’atteinte potentielle ou confirmée.

Étape 2 : Effectuer une évaluation complète de l’atteinte

Votre initiative doit collaborer avec les experts en matière de protection de la vie privée pour décider si une évaluation complète de l’atteinte est nécessaire.

Étape 3 : Atténuer et communiquer les répercussions de l’atteinte

Lorsque l’atteinte est confinée, travaillez avec vos experts en matière de protection de la vie privée pour mettre en place des mesures visant à réduire le risque qu’elle se reproduise, notamment en informant le public.

Étape 4 : Empêcher une nouvelle atteinte

Votre initiative doit mettre en place des mesures de prévention pour réduire le risque d’une future atteinte. Ces mesures doivent être mises en place dans un délai approprié.

À ce stade, les experts en matière de protection de la vie privée devront rédiger un rapport officiel pour informer le CPVP et le SCT si l’atteinte est considérée comme une atteinte substantielle.

Gestion des atteintes à la vie privée

Détails de la page

Date de modification :