DOAD 1002-4, Gestion des incidents relatifs à la vie privée

Table des matières

  1. Introduction
  2. Définitions
  3. Aperçu
  4. Instruction sur la gestion des incidents relatifs à la vie privée
  5. Processus de gestion des incidents relatifs à la vie privée
  6. Commissariat à la protection de la vie privée du Canada
  7. Conformité et conséquences
  8. Responsabilités
  9. Références

1. Introduction

Date de publication : 2018-03-23

Application : La présente DOAD est une directive qui s’applique aux employés du ministère de la Défense nationale, ci-après nommés « employés du MDN », et une ordonnance qui s’applique aux officiers et aux militaires du rang des Forces armées canadiennes (FAC), ci-après nommés « militaires ».

Autorité approbatrice : Secrétaire général (Sec gén)

Demandes de renseignements : Directeur – Accès à l’information et protection des renseignements personnels (DAIPRP)

2. Définitions

atteinte à la vie privée (privacy breach)

Création, collecte, utilisation, divulgation, conservation ou disposition inappropriée ou non autorisée de renseignements personnels. (Directive sur les pratiques relatives à la protection de la vie privée, Conseil du Trésor)

divulgation (disclosure)

Communication de renseignements personnels par une méthode quelconque (c’est-à-dire la transmission, la présentation d’une copie ou l’examen d’un document) à toute entité ou personne. (Directive sur les pratiques relatives à la protection de la vie privée, Conseil du Trésor)

incident relatif à la vie privée (privacy incident)

Tout acte ou évènement qui cause ou pourrait causer une atteinte à la vie privée. (Banque de terminologie de la défense, fiche numéro 694742)

institution fédérale (government institution)

a) Tout ministère ou département d’État relevant du gouvernement du Canada, ou tout organisme, figurant à l’annexe;

b) toute société d’État mère ou filiale à cent pour cent d’une telle société, au sens de l’article 83 de la Loi sur la gestion des finances publiques.

(Article 3 de la Loi sur la protection des renseignements personnels)

pratiques relatives à la protection de la vie privée (privacy practices)

Toutes les pratiques relatives à la création, la collecte, la conservation, l’exactitude, la correction, l’utilisation, la divulgation et le retrait des renseignements personnels. (Directive sur les pratiques relatives à la protection de la vie privée, Conseil du Trésor)

3. Aperçu

3.1 La Loi sur la protection des renseignements personnels et le Règlement sur la protection des renseignements personnels constituent le cadre juridique régissant la collecte, la conservation, l’exactitude, le retrait, l’utilisation et la divulgation des renseignements personnels dans l’administration de programmes et d’activités par les institutions fédérales.

Nota Le terme « renseignements personnels » est défini à l’article 3 de la Loi sur la protection des renseignements personnels.

3.2 Les Canadiennes et les Canadiens tiennent à la protection de leur vie privée et de leurs renseignements personnels, et ils s’attendent à ce que les institutions fédérales respectent la lettre et l’esprit de la Loi sur la protection des renseignements personnels et du Règlement sur la protection des renseignements personnels. Le MDN et les FAC s’engagent à protéger la vie privée des individus en ce qui a trait aux renseignements personnels qui sont sous leur contrôle. Le MDN et les FAC reconnaissent que cette protection est essentielle pour préserver le lien de confiance.

3.3 Il incombe au sous-ministre, au chef d’état-major de la défense, aux conseillers de niveau un (N1) et aux commandants de commandement de veiller à ce que de saines pratiques relatives à la protection de la vie privée soient appliquées dans les opérations quotidiennes de leur organisation et à ce que l’accès aux renseignements personnels soit limité aux personnes qui en ont besoin dans l’exercice de leurs fonctions.

3.4 Le Sec gén a l’autorité fonctionnelle de publier, à l’intention des employés du MDN et des militaires, des instructions dans le domaine fonctionnel de protection de la vie privée qui lui est assigné.

3.5 En plus des responsabilités énoncées dans la présente DOAD, le DAIPRP a aussi des responsabilités particulières concernant les incidents de sécurité relatifs à la vie privée. Voir l’Instruction sur la gestion des incidents relatifs à la vie privée et les Ordonnances et directives de sécurité de la Défense nationale, chapitre 12 : Gestion des incidents de sécurité, pour de plus amples informations.

4. Instruction sur la gestion des incidents relatifs à la vie privée

4.1 En application du paragraphe 6.1.2 de la Directive sur les pratiques relatives à la protection de la vie privée du Conseil du Trésor, le Sec gén a publié l’Instruction sur la gestion des incidents relatifs à la vie privée afin de donner des directives et des conseils au sujet des incidents relatifs à la vie privée au sein du MDN et des FAC. Les incidents relatifs à la vie privée doivent être gérés et réglés conformément à l’Instruction sur la gestion des incidents relatifs à la vie privée et aux mesures mises en œuvre pour éviter que des atteintes à la vie privée se reproduisent.

4.2 L’Instruction sur la gestion des incidents relatifs à la vie privée est conforme aux articles 4 à 8 de la Loi sur la protection des renseignements personnels en ce qui concerne la collecte, la conservation, l’exactitude, le retrait, l’utilisation et la divulgation des renseignements personnels. Ces articles constituent ce qui est communément appelé le Code de pratiques équitables en matière de gestion des renseignements personnels.

4.3 Tous les renseignements personnels recueillis par le MDN et les FAC sont régis par la Loi sur la protection des renseignements personnels. Ces renseignements peuvent servir aux fins de rapports et d’enquêtes. Voir les Fichiers de renseignements personnels (FRP), POU 939, Incidents de sécurité et atteintes à la vie privée, pour de plus amples informations.

5. Processus de gestion des incidents relatifs à la vie privée

Officiers de liaison de la protection des renseignements personnels (OL PRP)

5.1 Afin de faciliter le processus de gestion des incidents relatifs à la vie privée au MDN et dans les FAC, chaque conseiller de N1 et commandant de commandement doit désigner une personne dans leur organisation qui agira à titre d’OL PRP. L’OL PRP assure la liaison avec le DAIPRP et aide à coordonner le processus de gestion des incidents relatifs à la vie privée.

Causes d’atteinte à la vie privée

5.2 Une atteinte à la vie privée peut découler d’un geste accidentel ou intentionnel du MDN ou des FAC, en tant qu’institutions, ou d’un individu. Voir l’Instruction sur la gestion des incidents relatifs à la vie privée pour obtenir une liste détaillée des causes possibles d’atteinte à la vie privée.

Signalement

5.3 Tout individu peut signaler un incident relatif à la vie privée. Un employé du MDN ou un militaire qui prend connaissance d’un tel incident ou en soupçonne l’existence doit le signaler :

5.4 Le DAIPRP doit obtenir tous les renseignements préliminaires possibles auprès de l’individu ayant signalé l’incident relatif à la vie privée, puis faire appel à l’OL PRP compétent, au besoin.

Limitation et rapport préliminaire

5.5 Le bureau de première responsabilité (BPR) est le gestionnaire du secteur de programme, ou le commandant de l’unité ou autre élément, où l’incident relatif à la vie privée s’est produit. Il doit :

5.6 Dans la plupart des cas, le BPR sera facilement identifiable. Si tel n’est pas le cas, ou s’il existe un différend quant à l’identité du BPR, le DAIPRP désignera le BPR compétent.

Évaluation

5.7 Le DAIPRP doit évaluer les renseignements sur l’incident relatif à la vie privée fournis par l’individu l’ayant signalé, l’OL PRP et le BPR, puis décider si une enquête est nécessaire.

Avis

5.8 Le DAIPRP décide s’il faut aviser les individus touchés et fournit des recommandations au BPR.

5.9 Le DAIPRP doit aviser le Commissariat à la protection de la vie privée du Canada (CPVP) et le Secrétariat du Conseil du Trésor de toute atteinte substantielle à la vie privée.

Enquête

5.10 Si le DAIPRP décide qu’une enquête sur un incident relatif à la vie privée est nécessaire, l’OL PRP, le BPR et le DAIPRP doivent suivre les directives énoncées dans l’Instruction sur la gestion des incidents relatifs à la vie privée en ce qui concerne :

Conclusions et recommandations

5.11 Le DAIPRP doit rendre un rapport sur les conclusions et les recommandations en réponse à tout incident relatif à la vie privée qui a été signalé. Le rapport comprend une décision sans appel quant à savoir si une atteinte à la vie privée a eu lieu ou non ainsi que les recommandations sur les mesures qu’il convient de prendre pour éviter qu’une telle atteinte ne se reproduise.

6. Commissariat à la protection de la vie privée du Canada

6.1 À titre d’agent du Parlement, le Commissaire à la protection de la vie privée relève directement de la Chambre des communes et du Sénat, et non du gouvernement au pouvoir, ce qui garantit son impartialité et son ouverture d’esprit quand il agit à titre d’ombudsman dans des affaires relatives à la vie privée. Il est chargé de superviser l’application de la Loi sur la protection des renseignements personnels afin de protéger les renseignements personnels qui sont sous le contrôle des institutions fédérales.

6.2 Le CPVP peut prendre l’initiative d’une plainte à l’égard d’une atteinte présumée à la vie privée s’il existe des motifs raisonnables de le faire. Le CPVP fait savoir au DAIPRP qu’une plainte a été formulée, et le DAIPRP sert alors d’agent de liaison entre le MDN et les FAC, d’une part, et le CPVP, d’autre part. Suite à l’enquête, le CPVP publie un rapport sur ses conclusions et ses recommandations.

7. Conformité et conséquences

Conformité

7.1 Les employés du MDN et les militaires doivent se conformer à la présente DOAD. Si des éclaircissements aux politiques ou aux instructions énoncées dans la présente DOAD sont nécessaires, les employés du MDN et les militaires peuvent demander des directives par l’entremise de leur voie de communication ou de leur chaîne de commandement, selon le cas. Les gestionnaires et les supérieurs militaires sont les principaux responsables, et détiennent les principaux moyens, d’assurer que les employés du MDN et les militaires se conforment à la présente DOAD.

Conséquences d’une non-conformité

7.2 Les employés du MDN et les militaires sont tenus de rendre compte respectivement à leur gestionnaire ou à leur supérieur militaire de tout cas de non-conformité aux directives énoncées dans la présente DOAD. La non-conformité à la Loi sur la protection des renseignements personnels, au Règlement sur la protection des renseignements personnels, à la présente DOAD ou à l’Instruction sur la gestion des incidents relatifs à la vie privée peut entraîner des conséquences tant pour le MDN et les FAC, en tant qu’institutions, que pour les employés du MDN et les militaires, en tant qu’individus. Tout cas de non-conformité soupçonnée pourrait faire l’objet d’une enquête. Les gestionnaires et les supérieurs militaires doivent prendre ou imposer les mesures correctives appropriées dans le cas où la non-conformité à la présente DOAD entraîne des conséquences pour le MDN ou les FAC. La décision d’un N1 ou d’un autre haut fonctionnaire de prendre des mesures ou d’intervenir dans un cas de non-conformité, sauf en ce qui concerne une décision faite en vertu du Code de discipline militaire à l’égard d’un militaire, dépend du degré de risque découlant du cas de non-conformité et des autres circonstances entourant ce cas.

7.3 La nature et la gravité des conséquences découlant d’une non-conformité seront proportionnelles aux circonstances entourant celle-ci. Une non-conformité pourrait entraîner une ou plusieurs des conséquences suivantes :

  1. l’ordre de suivre l’apprentissage, la formation, l’instruction ou le perfectionnement professionnel approprié;
  2. l’inscription d’observations dans l’évaluation du rendement individuel;
  3. le renforcement des mesures de suivi et de contrôle du rendement;
  4. la révocation de tout ou partie de l’autorité qu’accorde la présente DOAD à un employé du MDN ou à un militaire;
  5. le signalement des infractions soupçonnées aux autorités chargées de l’application de la loi;
  6. la révocation d’une habilitation de sécurité;
  7. la révocation de l’accès d’un usager aux documents ou systèmes;
  8. une affectation ou une réaffectation, y compris un transfert ou une mutation;
  9. l’imposition des conséquences particulières énoncées dans les lois et les codes de conduite applicables ainsi que les politiques et directives du MDN ou des FAC;
  10. l’application de toute autre mesure administrative, incluant l’imposition de mesures disciplinaires et le congédiement, à l’endroit d’un employé du MDN;
  11. l’application de toute autre mesure administrative ou disciplinaire, ou les deux, y compris la libération, à l’endroit d’un militaire;
  12. l’imposition de la responsabilité de Sa Majesté du chef du Canada, des employés du MDN ou des militaires.

Nota – En ce qui concerne la conformité des employés du MDN, voir le Cadre stratégique sur la gestion de la conformité du Conseil du Trésor pour de plus amples informations.

7.4 La non-conformité aux exigences de la Loi sur la protection des renseignements personnels et du Règlement sur la protection des renseignements personnels présente un risque pour le MDN et les FAC en tant qu’institutions et elle pourrait porter atteinte à leur réputation et entraîner la perte de la confiance du public, un examen minutieux de la part des médias, des pertes financières, des répercussions juridiques et un risque pour les opérations et intérêts nationaux.

Nota – Pour obtenir plus d’exemples de conséquences pour les institutions, voir l’annexe C du Cadre stratégique sur la gestion de la conformité.

8. Responsabilités

Tableau des responsabilités

8.1 Le tableau suivant énonce les responsabilités relatives à la présente DOAD :

Le, les ou l’… est chargé ou sont chargés de ou d’…
conseillers de N1 et les commandants de commandement
  • mettre en œuvre l’Instruction sur la gestion des incidents relatifs à la vie privée dans leur organisation pour traiter les incidents relatifs à la vie privée, y compris la nomination d’un OL PRP;
  • aviser le DAIPRP en cas de collecte, conservation, retrait, utilisation, divulgation, modification ou accès, quant aux renseignements personnels dans leur organisation, que l’on soupçonne être inapproprié ou non autorisé;
  • coopérer avec le DAIPRP pendant le processus de gestion des incidents relatifs à la vie privée;
  • informer les employés du MDN ou les militaires dans leur organisation de toute conséquence juridique, disciplinaire ou administrative que peut entraîner la collecte, la conservation, le retrait, l’utilisation, la divulgation, la modification ou l’accès inapproprié ou non autorisé quant aux renseignements personnels se rapportant à une activité ou à un programme en particulier.
DAIPRP
  • appliquer l’Instruction sur la gestion des incidents relatifs à la vie privée pour traiter les incidents relatifs à la vie privée au sein du MDN et des FAC;
  • veiller à ce que les enquêtes sur les incidents relatifs à la vie privée soient réalisées en temps opportun et de façon coordonnée avec les intervenants internes, au besoin;
  • aviser le CPVP et le Secrétariat du Conseil du Trésor de toute atteinte substantielle à la vie privée conformément aux Lignes directrices sur les atteintes à la vie privée du Conseil du Trésor;
  • donner des conseils aux conseillers de N1, à d’autres gestionnaires, aux commandants de commandement et aux commandants en ce qui concerne leurs responsabilités en matière d’avis pour ce qui est des incidents relatifs à la vie privée;
  • rendre une décision quant à savoir si un incident relatif à la vie privée ayant été signalé a entraîné une atteinte à la vie privée.
ASM
  • établir des procédures pour le traitement des incidents de sécurité touchant les renseignements personnels;
  • veiller à ce qu’une enquête soit menée sur tout incident de sécurité ayant entraîné une atteinte à la vie privée;
  • repérer les lacunes dans les systèmes ou les processus de sécurité mettant en cause des renseignements personnels, et de formuler des recommandations aux BPR, au besoin.
BPR
  • aviser le DAIPRP en cas de collecte, conservation, retrait, utilisation, divulgation, modification ou accès, quant aux renseignements personnels, que l’on soupçonne être inapproprié ou non autorisé;
  • prendre des mesures immédiates pour prévenir toute atteinte supplémentaire à la vie privée et d’assurer la sécurité des documents, systèmes ou sites Web touchés;
  • mettre en œuvre l’Instruction sur la gestion des incidents relatifs à la vie privée et de documenter tout incident relatif à la vie privée, conformément à l’Instruction;
  • coopérer avec le DAIPRP pendant le processus de gestion des incidents relatifs à la vie privée;
  • aviser l’ASM si une infraction à la sécurité met en cause des renseignements personnels;
  • aviser les représentants d’affaires publiques si un incident relatif à la vie privée est d’intérêt public et si des produits de communication sont nécessaires;
  • mener une enquête si le DAIPRP le demande, et de produire un rapport d’enquête conformément à l’Instruction sur la gestion des incidents relatifs à la vie privée.
OL PRP
  • agir conformément à l’Instruction sur la gestion des incidents relatifs à la vie privée à titre d’agent désigné par son conseiller de N1 ou par son commandant de commandement pour aider le DAIPRP dans la coordination du processus de gestion des incidents relatifs à la vie privée au sein de son organisation;
  • coopérer avec le DAIPRP pendant le processus de gestion des incidents relatifs à la vie privée;
  • assurer la liaison avec le DAIPRP et d’obtenir les renseignements nécessaires pendant l’évaluation des incidents relatifs à la vie privée et les enquêtes qui y sont afférentes.
employés du MDN et les militaires
  • se conformer à la Loi sur la protection des renseignements personnels, au Règlement sur la protection des renseignements personnels et à la présente DOAD;
  • protéger les renseignements personnels et de soulever leurs préoccupations au sujet de la conformité auprès de leur superviseur ou du DAIPRP, ou des deux;
  • signaler les incidents relatifs à la vie privée au DAIPRP ou au bureau chargé de la garde des renseignements personnels.

9. Références

Lois, règlements, politiques d’organismes centraux et DOAD – politique

Autres références

Détails de la page

Date de modification :