Avis de mise en œuvre sur la protection des renseignements personnels 2024-02 : Utilisation du formulaire de signalement en ligne d’une atteinte du Commissariat à la protection de la vie privée du Canada

1. Date d’entrée en vigueur

Le présent Avis de mise en œuvre entre en vigueur le 24 mai 2024.

2. Autorisations et pouvoirs

Le présent Avis de mise en œuvre est émis en vertu de l’alinéa 71(1)d) de la Loi sur la protection des renseignements personnels.

3. Objectif

Le présent Avis de mise en œuvre vise à informer les institutions qu’elles peuvent utiliser formulaire de signalement en ligne d’une atteinte du Commissariat à la protection de la vie privée du Canada (CPVP) pour s’acquitter de leur obligation de déclarer toute atteinte substantielle à la vie privée au CPVP et au Secrétariat du Conseil du Trésor du Canada (SCT).

4. Contexte

Conformément à la section 4.2.8 de la Politique sur la protection de la vie privée, les institutions fédérales assujetties à la Loi sur la protection des renseignements personnels sont tenues de signaler toute atteinte substantielle à la vie privée au CPVP et au SCT, après avoir déployé des efforts pour la limiter, l’évaluer et l’atténuer et au plus tard sept jours après en avoir déterminé que l’atteinte est substantielle. L’Annexe B, Procédures obligatoires pour les atteintes à la vie privée, de la Directive sur les pratiques relatives à la protection de la vie privée (la Directive), indique les mesures que doivent prendre les institutions pour respecter cette obligation, notamment les signalements des atteintes substantielles à la vie privée.

Le Plan d’action concernant les atteintes à la vie privée a été lancé en juillet 2019 dans le but de renforcer la gestion des atteintes à la vie privée à l’échelle du gouvernement. Dans le cadre de ce plan, le CPVP et le SCT ont mis au point le Formulaire de rapport d’atteintes substantielles à la vie privée en vertu de la Loi sur la protection des renseignements personnels. De plus, en mars 2024, la Directive a été mise à jour et prévoit désormais l’utilisation de ce formulaire en format PDF et une liste augmentée d’éléments d’information devant être communiqués lors de signalements. Le formulaire de signalement en ligne d’une atteinte du CPVP est une reproduction du formulaire en format PDF.

Le signalement des atteintes permet d’alerter les responsables sur les incidents et les problèmes émergents afin qu’ils puissent être traités et gérés de manière appropriée. Les nouveaux formulaires ont été conçus pour transmettre des données cohérentes aux responsables de la protection de la vie privée afin qu’ils analysent les atteintes à la vie privée et mettent à jour, le cas échéant, les instruments de politiques en matière de vie privée.

5. Orientation

Le formulaire en ligne joue le même rôle que le formulaire de rapport d’atteintes substantielles à la vie privée du SCT dont l’utilisation est prescrite à la section B.2.4.5.1 de la Directive. Plus précisément, le formulaire en ligne réplique la structure et le contenu du formulaire en format PDF et répertorie toute l’information que les institutions doivent signaler, en vertu de la Directive.

Ce formulaire en ligne aidera les institutions à s’acquitter de leur obligation de déclarer, au CPVP et au SCT, toute atteinte à la vie privée concernant des renseignements personnels de nature délicate, qui pourrait vraisemblablement causer un dommage ou un préjudice grave (atteinte substantielle) à une personne.

Les données saisies dans le formulaire en ligne sont envoyées automatiquement au SCT et au CPVP. Les institutions déclarantes reçoivent également une copie du rapport avec le numéro de dossier du CPVP.

Ces institutions peuvent ensuite saisir ce numéro dans le formulaire en ligne pour actualiser rapidement une atteinte déjà signalée. Par la suite, les nouveaux renseignements ou ceux mis à jour sont ajoutés automatiquement au dossier dans les systèmes du CPVP et du SCT.

Pour en apprendre davantage sur les mesures d’intervention et d’atténuation des risques concernant les atteintes à la vie privée, les institutions peuvent consulter la trousse d’outils pour la gestion des atteintes à la vie privée, qui présente des outils et des conseils sur la gestion de ces atteintes.

6. Application

Le présent Avis de mise en œuvre s’applique aux institutions fédérales telles que définies à l’article 3 de la Loi sur la protection des renseignements personnels, y compris les sociétés d’État mères et leurs filiales en propriété exclusive de ces sociétés.

7. Références

Législation

Instrument de politiques connexes du Conseil du Trésor

8. Demandes de renseignements

Les membres du public peuvent communiquer avec l’équipe responsable des demandes de renseignements du public du Secrétariat du Conseil du Trésor du Canada pour obtenir des renseignements sur le présent Avis de mise en œuvre.

Le personnel des institutions fédérales peut communiquer avec les coordonnateurs et coordonnatrices de l’accès à l’information et de la protection des renseignements personnels (AIPRP) pour obtenir de l’information sur le présent Avis de mise en œuvre.

Les coordonnateurs et coordonnatrices de l’AIPRP peuvent communiquer avec la Division de la vie privée et des données responsables pour obtenir des renseignements sur le présent Avis de mise en œuvre.

Détails de la page

Date de modification :