DOAD 1002-4, Gestion des incidents relatifs à la vie privée
Table des matières
1. Introduction
Date de publication : 2018-03-23
Application : La présente DOAD est une directive qui s’applique aux employés du ministère de la Défense nationale, ci-après nommés « employés du MDN », et une ordonnance qui s’applique aux officiers et aux militaires du rang des Forces armées canadiennes (FAC), ci-après nommés « militaires ».
Autorité approbatrice : Secrétaire général (Sec gén)
Demandes de renseignements : Directeur – Accès à l’information et protection des renseignements personnels (DAIPRP)
2. Définitions
atteinte à la vie privée (privacy breach)
Création, collecte, utilisation, divulgation, conservation ou disposition inappropriée ou non autorisée de renseignements personnels. (Directive sur les pratiques relatives à la protection de la vie privée, Conseil du Trésor)
divulgation (disclosure)
Communication de renseignements personnels par une méthode quelconque (c’est-à-dire la transmission, la présentation d’une copie ou l’examen d’un document) à toute entité ou personne. (Directive sur les pratiques relatives à la protection de la vie privée, Conseil du Trésor)
incident relatif à la vie privée (privacy incident)
Tout acte ou évènement qui cause ou pourrait causer une atteinte à la vie privée. (Banque de terminologie de la défense, fiche numéro 694742)
institution fédérale (government institution)
a) Tout ministère ou département d’État relevant du gouvernement du Canada, ou tout organisme, figurant à l’annexe;
b) toute société d’État mère ou filiale à cent pour cent d’une telle société, au sens de l’article 83 de la Loi sur la gestion des finances publiques.
(Article 3 de la Loi sur la protection des renseignements personnels)
pratiques relatives à la protection de la vie privée (privacy practices)
Toutes les pratiques relatives à la création, la collecte, la conservation, l’exactitude, la correction, l’utilisation, la divulgation et le retrait des renseignements personnels. (Directive sur les pratiques relatives à la protection de la vie privée, Conseil du Trésor)
3. Aperçu
3.1 La Loi sur la protection des renseignements personnels et le Règlement sur la protection des renseignements personnels constituent le cadre juridique régissant la collecte, la conservation, l’exactitude, le retrait, l’utilisation et la divulgation des renseignements personnels dans l’administration de programmes et d’activités par les institutions fédérales.
Nota – Le terme « renseignements personnels » est défini à l’article 3 de la Loi sur la protection des renseignements personnels.
3.2 Les Canadiennes et les Canadiens tiennent à la protection de leur vie privée et de leurs renseignements personnels, et ils s’attendent à ce que les institutions fédérales respectent la lettre et l’esprit de la Loi sur la protection des renseignements personnels et du Règlement sur la protection des renseignements personnels. Le MDN et les FAC s’engagent à protéger la vie privée des individus en ce qui a trait aux renseignements personnels qui sont sous leur contrôle. Le MDN et les FAC reconnaissent que cette protection est essentielle pour préserver le lien de confiance.
3.3 Il incombe au sous-ministre, au chef d’état-major de la défense, aux conseillers de niveau un (N1) et aux commandants de commandement de veiller à ce que de saines pratiques relatives à la protection de la vie privée soient appliquées dans les opérations quotidiennes de leur organisation et à ce que l’accès aux renseignements personnels soit limité aux personnes qui en ont besoin dans l’exercice de leurs fonctions.
3.4 Le Sec gén a l’autorité fonctionnelle de publier, à l’intention des employés du MDN et des militaires, des instructions dans le domaine fonctionnel de protection de la vie privée qui lui est assigné.
3.5 En plus des responsabilités énoncées dans la présente DOAD, le DAIPRP a aussi des responsabilités particulières concernant les incidents de sécurité relatifs à la vie privée. Voir l’Instruction sur la gestion des incidents relatifs à la vie privée et les Ordonnances et directives de sécurité de la Défense nationale, chapitre 12 : Gestion des incidents de sécurité, pour de plus amples informations.
4. Instruction sur la gestion des incidents relatifs à la vie privée
4.1 En application du paragraphe 6.1.2 de la Directive sur les pratiques relatives à la protection de la vie privée du Conseil du Trésor, le Sec gén a publié l’Instruction sur la gestion des incidents relatifs à la vie privée afin de donner des directives et des conseils au sujet des incidents relatifs à la vie privée au sein du MDN et des FAC. Les incidents relatifs à la vie privée doivent être gérés et réglés conformément à l’Instruction sur la gestion des incidents relatifs à la vie privée et aux mesures mises en œuvre pour éviter que des atteintes à la vie privée se reproduisent.
4.2 L’Instruction sur la gestion des incidents relatifs à la vie privée est conforme aux articles 4 à 8 de la Loi sur la protection des renseignements personnels en ce qui concerne la collecte, la conservation, l’exactitude, le retrait, l’utilisation et la divulgation des renseignements personnels. Ces articles constituent ce qui est communément appelé le Code de pratiques équitables en matière de gestion des renseignements personnels.
4.3 Tous les renseignements personnels recueillis par le MDN et les FAC sont régis par la Loi sur la protection des renseignements personnels. Ces renseignements peuvent servir aux fins de rapports et d’enquêtes. Voir les Fichiers de renseignements personnels (FRP), POU 939, Incidents de sécurité et atteintes à la vie privée, pour de plus amples informations.
5. Processus de gestion des incidents relatifs à la vie privée
Officiers de liaison de la protection des renseignements personnels (OL PRP)
5.1 Afin de faciliter le processus de gestion des incidents relatifs à la vie privée au MDN et dans les FAC, chaque conseiller de N1 et commandant de commandement doit désigner une personne dans leur organisation qui agira à titre d’OL PRP. L’OL PRP assure la liaison avec le DAIPRP et aide à coordonner le processus de gestion des incidents relatifs à la vie privée.
Causes d’atteinte à la vie privée
5.2 Une atteinte à la vie privée peut découler d’un geste accidentel ou intentionnel du MDN ou des FAC, en tant qu’institutions, ou d’un individu. Voir l’Instruction sur la gestion des incidents relatifs à la vie privée pour obtenir une liste détaillée des causes possibles d’atteinte à la vie privée.
Signalement
5.3 Tout individu peut signaler un incident relatif à la vie privée. Un employé du MDN ou un militaire qui prend connaissance d’un tel incident ou en soupçonne l’existence doit le signaler :
- soit au DAIPRP;
- soit au bureau qui a la garde des renseignements personnels.
5.4 Le DAIPRP doit obtenir tous les renseignements préliminaires possibles auprès de l’individu ayant signalé l’incident relatif à la vie privée, puis faire appel à l’OL PRP compétent, au besoin.
Limitation et rapport préliminaire
5.5 Le bureau de première responsabilité (BPR) est le gestionnaire du secteur de programme, ou le commandant de l’unité ou autre élément, où l’incident relatif à la vie privée s’est produit. Il doit :
- éviter que des renseignements personnels supplémentaires soient touchés;
- veiller à ce que les renseignements personnels touchés ne soient pas compromis davantage;
- aviser le DAIPRP de l’incident relatif à la vie privée;
- documenter l’incident relatif à la vie privée et la réponse subséquente;
- apporter des améliorations aux systèmes ou aux processus concernés;
- aviser l’agent de sécurité du Ministère (ASM) si l’incident résulte d’une faille dans une procédure ou un processus de sécurité.
5.6 Dans la plupart des cas, le BPR sera facilement identifiable. Si tel n’est pas le cas, ou s’il existe un différend quant à l’identité du BPR, le DAIPRP désignera le BPR compétent.
Évaluation
5.7 Le DAIPRP doit évaluer les renseignements sur l’incident relatif à la vie privée fournis par l’individu l’ayant signalé, l’OL PRP et le BPR, puis décider si une enquête est nécessaire.
Avis
5.8 Le DAIPRP décide s’il faut aviser les individus touchés et fournit des recommandations au BPR.
5.9 Le DAIPRP doit aviser le Commissariat à la protection de la vie privée du Canada (CPVP) et le Secrétariat du Conseil du Trésor de toute atteinte substantielle à la vie privée.
Enquête
5.10 Si le DAIPRP décide qu’une enquête sur un incident relatif à la vie privée est nécessaire, l’OL PRP, le BPR et le DAIPRP doivent suivre les directives énoncées dans l’Instruction sur la gestion des incidents relatifs à la vie privée en ce qui concerne :
- la conduite de l’enquête;
- le rapport subséquent;
- la formulation de recommandations pour éviter qu’un tel incident se reproduise.
Conclusions et recommandations
5.11 Le DAIPRP doit rendre un rapport sur les conclusions et les recommandations en réponse à tout incident relatif à la vie privée qui a été signalé. Le rapport comprend une décision sans appel quant à savoir si une atteinte à la vie privée a eu lieu ou non ainsi que les recommandations sur les mesures qu’il convient de prendre pour éviter qu’une telle atteinte ne se reproduise.
6. Commissariat à la protection de la vie privée du Canada
6.1 À titre d’agent du Parlement, le Commissaire à la protection de la vie privée relève directement de la Chambre des communes et du Sénat, et non du gouvernement au pouvoir, ce qui garantit son impartialité et son ouverture d’esprit quand il agit à titre d’ombudsman dans des affaires relatives à la vie privée. Il est chargé de superviser l’application de la Loi sur la protection des renseignements personnels afin de protéger les renseignements personnels qui sont sous le contrôle des institutions fédérales.
6.2 Le CPVP peut prendre l’initiative d’une plainte à l’égard d’une atteinte présumée à la vie privée s’il existe des motifs raisonnables de le faire. Le CPVP fait savoir au DAIPRP qu’une plainte a été formulée, et le DAIPRP sert alors d’agent de liaison entre le MDN et les FAC, d’une part, et le CPVP, d’autre part. Suite à l’enquête, le CPVP publie un rapport sur ses conclusions et ses recommandations.
7. Conformité et conséquences
7.1 Les employés du MDN et les militaires doivent se conformer à la présente DOAD. Si des éclaircissements aux politiques ou aux instructions énoncées dans la présente DOAD sont nécessaires, les employés du MDN et les militaires peuvent demander des directives par l’entremise de leur voie de communication ou de leur chaîne de commandement, selon le cas. Les gestionnaires et les supérieurs militaires sont les principaux responsables, et détiennent les principaux moyens, d’assurer que les employés du MDN et les militaires se conforment à la présente DOAD.
Conséquences d’une non-conformité
7.2 Les employés du MDN et les militaires sont tenus de rendre compte respectivement à leur gestionnaire ou à leur supérieur militaire de tout cas de non-conformité aux directives énoncées dans la présente DOAD. La non-conformité à la Loi sur la protection des renseignements personnels, au Règlement sur la protection des renseignements personnels, à la présente DOAD ou à l’Instruction sur la gestion des incidents relatifs à la vie privée peut entraîner des conséquences tant pour le MDN et les FAC, en tant qu’institutions, que pour les employés du MDN et les militaires, en tant qu’individus. Tout cas de non-conformité soupçonnée pourrait faire l’objet d’une enquête. Les gestionnaires et les supérieurs militaires doivent prendre ou imposer les mesures correctives appropriées dans le cas où la non-conformité à la présente DOAD entraîne des conséquences pour le MDN ou les FAC. La décision d’un N1 ou d’un autre haut fonctionnaire de prendre des mesures ou d’intervenir dans un cas de non-conformité, sauf en ce qui concerne une décision faite en vertu du Code de discipline militaire à l’égard d’un militaire, dépend du degré de risque découlant du cas de non-conformité et des autres circonstances entourant ce cas.
7.3 La nature et la gravité des conséquences découlant d’une non-conformité seront proportionnelles aux circonstances entourant celle-ci. Une non-conformité pourrait entraîner une ou plusieurs des conséquences suivantes :
- l’ordre de suivre l’apprentissage, la formation, l’instruction ou le perfectionnement professionnel approprié;
- l’inscription d’observations dans l’évaluation du rendement individuel;
- le renforcement des mesures de suivi et de contrôle du rendement;
- la révocation de tout ou partie de l’autorité qu’accorde la présente DOAD à un employé du MDN ou à un militaire;
- le signalement des infractions soupçonnées aux autorités chargées de l’application de la loi;
- la révocation d’une habilitation de sécurité;
- la révocation de l’accès d’un usager aux documents ou systèmes;
- une affectation ou une réaffectation, y compris un transfert ou une mutation;
- l’imposition des conséquences particulières énoncées dans les lois et les codes de conduite applicables ainsi que les politiques et directives du MDN ou des FAC;
- l’application de toute autre mesure administrative, incluant l’imposition de mesures disciplinaires et le congédiement, à l’endroit d’un employé du MDN;
- l’application de toute autre mesure administrative ou disciplinaire, ou les deux, y compris la libération, à l’endroit d’un militaire;
- l’imposition de la responsabilité de Sa Majesté du chef du Canada, des employés du MDN ou des militaires.
Nota – En ce qui concerne la conformité des employés du MDN, voir le Cadre stratégique sur la gestion de la conformité du Conseil du Trésor pour de plus amples informations.
7.4 La non-conformité aux exigences de la Loi sur la protection des renseignements personnels et du Règlement sur la protection des renseignements personnels présente un risque pour le MDN et les FAC en tant qu’institutions et elle pourrait porter atteinte à leur réputation et entraîner la perte de la confiance du public, un examen minutieux de la part des médias, des pertes financières, des répercussions juridiques et un risque pour les opérations et intérêts nationaux.
Nota – Pour obtenir plus d’exemples de conséquences pour les institutions, voir l’annexe C du Cadre stratégique sur la gestion de la conformité.
8. Responsabilités
8.1 Le tableau suivant énonce les responsabilités relatives à la présente DOAD :
Le, les ou l’… | est chargé ou sont chargés de ou d’… |
---|---|
conseillers de N1 et les commandants de commandement |
|
DAIPRP |
|
ASM |
|
BPR |
|
OL PRP |
|
employés du MDN et les militaires |
|
9. Références
Lois, règlements, politiques d’organismes centraux et DOAD – politique
- Loi sur la gestion des finances publiques
- Loi sur la protection des renseignements personnels
- Règlement sur la protection des renseignements personnels
- Cadre stratégique sur la gestion de la conformité, Conseil du Trésor
- Directive sur les pratiques relatives à la protection de la vie privée, Conseil du Trésor
- Lignes directrices sur les atteintes à la vie privée, Conseil du Trésor
- DOAD 1002-0, Application de la Loi sur la protection des renseignements personnels
Autres références
- DOAD 7002-0, Commissions d’enquête et enquêtes sommaires
- Ordonnances et directives de sécurité de la Défense nationale, Chapitre 12 : Gestion des incidents de sécurité
- Instruction sur la gestion des incidents relatifs à la vie privée (ébauche)
- Fichiers de renseignements personnels (FRP), POU 939, Incidents de sécurité et atteintes à la vie privée
Détails de la page
- Date de modification :