Gestion des atteintes à la vie privée
Les atteintes à la vie privée peuvent survenir en raison d'erreurs de bonne foi ou d'actes intentionnels commis par des fonctionnaires, des tiers fournisseurs de services agissant pour le compte d'institutions gouvernementales ou d'autres intervenants externes mal intentionnés. L'atteinte à la vie privée la plus commune est la divulgation non autorisée de renseignements personnels .Voir la note en bas de page 1
Six étapes doivent être prises en considération en cas d'atteinte présumée ou réelle à la vie privée. La présente Trousse d'outils pour la gestion des atteintes à la vie privée comporte les étapes suivantes, de même que les outils correspondants :
- Étape 1 : Évaluation préliminaire et confinement
- Étape 2 : Évaluation complète
- Étape 3 : Notification
- Étape 4 : Atténuation et prévention
- Étape 5 : Notification du Commissariat à la protection de la vie privée et du Secrétariat du Conseil du Trésor du Canada
- Étape 6 : Leçons apprises
- Glossaire

Figure 1 - Version textuelle
La figure 1 donne un aperçu des composantes et outils qui existent pour gérer une atteinte à la vie privée. La Trousse d'outils pour la gestion des atteintes à la vie privée offre aux institutions une approche commune et uniforme pour gérer les atteintes à la vie privée dans l'ensemble des institutions fédérales et y répondre en respectant les exigences des politiques du Secrétariat du Conseil du Trésor du Canada (SCT):
- Politique sur la protection de la vie privée
- Directive sur les pratiques relatives à la protection de la vie privée
- Lignes directrices sur les atteintes à la vie privée
Dans la colonne de gauche on retrouve les étapes qui sont contenues dans la gestion des atteintes à la vie privée :
- Étape 1 : Évaluation préliminaire et confinement
- Étape 2 : Évaluation complète
- Étape 3 : Notification
- Étape 4 : Mesures d'atténuation et prévention
- Étape 5 : Notification du CPVP et du SCT
- Étape 6 : Leçons apprises
Dans la colonne de droite on retrouve les outils associés à chaque étape du processus de la gestion des atteintes à la vie privée :
- Outils de l'Étape 1 : Évaluation préliminaire et confinement par le bureau de première responsabilité (BPR) et Rapport préliminaire
- Outils de l'Étape 2 : Liste de contrôle du BPR sur les atteintes à la vie privée et Instrument d'évaluation de l'incidence des risques d'atteinte à la vie privée en matière d'AIPRP
- Outils de l'Étape 3 : Processus de notification interne de l'AIPRP, Établissement des rapports, et Lettres d'avis (exemples de lettres)
- Outils de l'Étape 4 : Mesures d'atténuation tténuation et prévention, et Présentations de formation
- Outils de l'Étape 5 : Rapport d'atteinte à la vie privée à l'intention du CPVP
- Outils de l'Étape 6 : Analyse des tendances
Ces outils sont destinés aux professionnels de l'accès à l'information et de la protection des renseignements personnels (AIPRP), aux gestionnaires et aux individus qui souhaitent une orientation en matière de gestion des atteintes à la vie privée dans le contexte du gouvernement fédéral. Cette trousse d'outils a pour but d'aider les individus à suivre les étapes appropriées en cas d'atteinte à la vie privée.
La Trousse d'outils pour la gestion des atteintes à la vie privée offre aux institutions une approche commune et uniforme pour gérer les atteintes à la vie privée dans l'ensemble des organismes fédéraux et y répondre en respectant les exigences des politiques du Secrétariat du Conseil du Trésor du Canada (SCT) et les recommandations du Commissariat à la protection de la vie privée du Canada (CPVP).
Les individus doivent prendre des mesures préventives pour éviter que des atteintes à la vie privée ne surviennent, en respectant les politiques publiées par le SCT et les lignes directrices et mesures de protection administratives de leur propre institution. Ils devraient aussi suivre la formation sur la protection des renseignements personnels.
Cette trousse d'outils appuie les exigences de la Loi sur la protection des renseignements personnels, qui complète « la législation canadienne en matière de protection des renseignements personnels relevant des institutions fédérales et le droit d'accès des individus aux renseignements personnels qui les concernent » .Voir la note en bas de page 2 . L'outil Gestion des atteintes à la vie privée – Rôles et responsabilités pour gérer un cas d'atteinte à la vie privée est aussi disponible.
Étape 1 : Évaluation préliminaire et confinement
- Évaluation préliminaire par le bureau de première responsabilité (BPR)
- Confinement par le bureau de première responsabilité (BPR)
- Rapport préliminaire
Le haut fonctionnaire du bureau où l'atteinte à la vie privée est survenue doit informer le coordonnateur de l'AIPRP et le dirigeant principal de la protection des renseignements personnels (DPPVP), ou les deux, dès que possible après la découverte d'un cas d'atteinte à la vie privée. Parfois, une atteinte à la vie privée peut survenir avant une longue fin de semaine et, par conséquent, il est recommandé que le coordonnateur de l'AIPRP ou le DPPVP soit informé par courriel dès que possible.
Une atteinte à la vie privée peut également comporter une atteinte à la sécurité. Dans ces situations, le responsable du bureau de première responsabilité (BPR) doit assurer la coordination avec l'agent de sécurité du ministère (ASM).
Il est important de mettre à contribution le coordonnateur de l'AIPRP ou le DPPVP, ou les deux, et l'ASM, pour que la protection de la vie privée et la sécurité des biens soient prises en compte dans le processus de résolution.
Mise en garde : En cas d'atteinte à la vie privée, les institutions doivent faire attention de ne pas prendre des mesures qui pourraient aggraver l'atteinte à la vie privée existante ou créer une nouvelle atteinte à la vie privée (p. ex., divulgation de plus de renseignements personnels).
Évaluation préliminaire par le bureau de première responsabilité (BPR)
L'évaluation préliminaire consiste à déterminer de façon approfondie si une atteinte à la vie privée est survenue et comment elle est survenue. Pour faciliter ce processus, l'outil Évaluation préliminaire et confinement par le bureau de première responsabilité (BPR) est utilisé. Si le BPR répond oui aux questions que contient l'outil d'évaluation préliminaire et de confinement par le BPR, il doit prendre des mesures immédiates pour confiner l'atteinte à la vie privée.
Tout en confinant l'atteinte à la vie privée, l'institution doit procéder à la documentation, de façon aussi détaillée que possible et dans un bref délai, des circonstances qui ont donné lieu à l'atteinte à la vie privée, y compris la liste des renseignements personnels qui ont été compromis.
Confinement par le bureau de première responsabilité (BPR)
Une fois qu'un cas présumé ou connu d'atteinte à la vie privée est survenu, le BPR doit prendre des mesures immédiates pour confiner l'atteinte à la vie privée et pour protéger les dossiers, systèmes, courriels et sites Web touchés. L'outil Évaluation préliminaire et confinement par le BPR suggère des stratégies de confinement. Par exemple, les mesures immédiates suivantes pourraient être utilisées pour confiner l'atteinte à la vie privée :
- Retirer, déplacer ou isoler les renseignements ou dossiers vulnérables, c.–à–d. prendre toutes les mesures nécessaires pour prévenir tout accès ou divulgation non autorisé ultérieur.
- Récupérer les documents ou copies de documents divulgués à tort ou pris par une personne non autorisée à le faire.
- Retourner les documents à leur point d'origine ou au destinataire visé.
- Aviser l'employé de cesser la transmission de courriels et de correspondance à la mauvaise adresse.
- Demander au destinataire de supprimer tout courriel, correspondance ou document visé.
Dans certains cas, il peut être nécessaire de bloquer temporairement l'accès à l'application, au site Web ou à l'appareil afin de permettre une évaluation complète de l'atteinte et de corriger les vulnérabilités; cela peut aussi supposer une interdiction d'accès, la modification de mots de passe ou la correction de faiblesses dans la sécurité physique. Ces mesures doivent être entreprises en consultation avec les responsables de la sécurité et de la technologie de l'information de l'institution.
Rapport préliminaire
Après la découverte et le confinement d'une atteinte à la vie privée, remplir l'outil Rapport préliminaire pour déterminer le niveau d'évaluation exigé. Dans certains cas, le rapport préliminaire contient suffisamment de renseignements pour permettre à l'institution de gérer et de fermer le dossier d'atteinte à la vie privée sans qu'une évaluation complète soit nécessaire. Dans d'autres cas, les renseignements recueillis à l'étape du rapport préliminaire confirment la nécessité de mener une évaluation complète.
Pour remplir le rapport préliminaire, les personnes ou entités suivantes doivent être identifiées :
- La ou les personnes qui pourraient avoir causé l'atteinte à la vie privée.
- Les témoins potentiels qui pourraient avoir des renseignements liés à l'atteinte à la vie privée.
- Les parties touchées dont les renseignements personnels ont à tort été divulgués, consultés, volés ou perdus.
- Le secteur institutionnel (public ou privé) ou la tierce partie qui est responsable des renseignements personnels en cause (intervenants externes).
Sur présentation du rapport préliminaire au coordonnateur de l'AIPRP, au DPPVP ou à l'ASM, un enquêteur est désigné pour aider à documenter l'atteinte à la vie privée et fournir du soutien et des conseils au BPR.
À ce stade, si l'atteinte à la vie privée doit faire l'objet d'une évaluation complète, le Bureau de l'AIPRP peut vouloir informer le CPVP et le SCT de vive voix de l'atteinte à la vie privée. Étape 2 : Évaluation complète
Étape 2 : Évaluation complète
- Liste de contrôle du BPR sur les atteintes à la vie privée
- Instrument d'évaluation de l'incidence des risques d'atteinte à la vie privée en matière d'AIPRP
L'évaluation complète est essentielle pour la gestion de l'atteinte à la vie privée. À cette étape, il importe de documenter les circonstances qui ont donné lieu à l'atteinte à la vie privée.
L'institution doit faire des efforts raisonnables pour identifier les personnes ou groupes de personnes touchées ou susceptibles de l'avoir été. Ces renseignements doivent être documentés dans le dossier au moyen de la Liste de contrôle du BPR sur les atteintes à la vie privée et de l'Instrument d'évaluation de l'incidence des risques d'atteinte à la vie privée en matière d'AIPRP.
Remarque : Le Bureau de l'AIPRP peut informer le CPVP et le SCT de vive voix d'une atteinte à la vie privée et ce, à tout stade du processus de gestion de l'atteinte à la vie privée. Une notification écrite officielle (c.–à–d. un rapport d'atteinte à la vie privée à l'intention du CPVP et du SCT) doit suivre une fois que l'enquête a déterminé que l'atteinte à la vie privée en est une substantielle.
Liste de contrôle du bureau de première responsabilité (BPR) sur les atteintes à la vie privée
Le BPR doit documenter l'atteinte à la vie privée en remplissant la Liste de contrôle du BPR sur les atteintes à la vie privée. Le responsable de l'AIPRP ou le DPPVP est une ressource précieuse pour aider le BPR à remplir toutes les étapes du processus. Ils peuvent donner une orientation sur les sections de la Liste de contrôle du BPR sur les atteintes à la vie privée qui doivent être remplies. Les renseignements suivants doivent être documentés dans la liste de contrôle :
- Détails sur les circonstances qui ont donné lieu à l'atteinte à la vie privée : ce qui est arrivé, l'endroit où c'est arrivé, le moment où c'est arrivé et la façon dont on a découvert l'atteinte.
- Liste des renseignements personnels qui ont été compromis.
- Identification des parties ou personnes dont les renseignements personnels ont à tort été divulgués, consultés, volés, compromis ou perdus.
- Identification du secteur institutionnel ou tiers responsable des renseignements personnels touchés.
- Tout autre renseignement pertinent (p. ex., atteintes à la vie privée antérieures, similaires ou connexes).
Instrument d'évaluation de l'incidence des risques d'atteinte à la vie privée en matière d'AIPRP
Selon les renseignements fournis par le BPR, le représentant de l'AIPRP ou le DPPVP évaluera le risque associé à l'atteinte à la vie privée en utilisant l'Instrument d'évaluation de l'incidence des risques d'atteinte à la vie privée en matière d'AIPRP. Cet outil contient une fiche de classement qui aide l'analyste à relever les incidences des risques pour l'institution et les personnes concernées. La fiche de classement est fondée sur les principes directeurs donnés dans le Cadre stratégique de gestion du risque du SCT, qui évalue et définit les incidences des risques pour l'institution au moyen d'un outil visant la protection des renseignements personnels. Lorsque les institutions gouvernementales ont accès à de grandes quantités de renseignements personnels, le responsable de l'AIPRP devrait se demander si l'institution devrait être tenue de respecter une norme de diligence plus élevée en matière de protection des renseignements personnels. Le défi pour les institutions continue de résider dans la façon d'évaluer de façon exacte les incidences potentielles que subirait la personne touchée, selon la nature de l'atteinte à la vie privée. Le SCT a fourni des directives sur la façon dont l'institution peut, en termes généraux, identifier le niveau de risque qui touche la personne en question. Au cours de cette évaluation, le responsable de l'AIPRP devrait utiliser un critère objectif, c.–à–d. une évaluation de la façon dont une personne raisonnable réagirait dans des circonstances semblables si des renseignements personnels identiques faisaient l'objet d'une divulgation inappropriée ou d'une atteinte à la vie privée.
Les facteurs suivants doivent être pris en considération au moment d'évaluer les risques :
- Renseignements personnels en cause
- Quels éléments de données ont été touchés par l'atteinte à la vie privée? (nom, coordonnées, renseignements financiers, renseignements médicaux, etc.)
- Dans quelle mesure les renseignements sont–ils sensibles? En règle générale, plus les renseignements sont sensibles, plus le risque de préjudice pour les individus est élevé. Certains renseignements personnels sont plus sensibles que d'autres (p. ex., les renseignements médicaux, les pièces d'identité émises par le gouvernement, comme les numéros d'assurance sociale (NAS), de permis de conduire et de carte d'assurance–maladie, ainsi que les numéros de comptes financiers, comme les numéros de cartes de crédit ou de débit, lesquels peuvent servir au vol d'identité). La combinaison de renseignements personnels est généralement plus sensible qu'un renseignement personnel pris isolément. Toutefois, la sensibilité n'est pas le seul critère dont il faut tenir compte pour évaluer le risque, les préjudices prévisibles pour l'individu étant tout aussi importants.
- Dans quel contexte les renseignements personnels compromis s'inscrivent–ils? Une liste de clients qui ont demandé un exemplaire du Guide alimentaire canadien, par exemple, peut ne pas être sensible. Par contre, les mêmes renseignements au sujet de clients qui ont demandé des renseignements sur la marijuana à des fins médicales peuvent être plus sensibles.
- Les renseignements personnels sont–ils convenablement encodés, dépersonnalisés ou difficiles d'accès?
- Comment les renseignements personnels peuvent–ils être utilisés? Peuvent–ils être utilisés à des fins frauduleuses ou nuisibles? La combinaison de certains types de renseignements personnels délicats accompagnés du nom, de l'adresse et de la date de naissance de l'intéressé peut représenter un niveau de risque supérieur, compte tenu de la possibilité de vol d'identité.
Une évaluation du type de renseignements personnels en cause aidera à déterminer les mesures à prendre et la manière dont les personnes touchées, le cas échéant, devraient être informées. Il n'est peut–être pas nécessaire d'informer les personnes touchées lorsque, par exemple, un ordinateur portatif renfermant des renseignements convenablement encodés a été volé puis retrouvé et que l'enquête a révélé que l'on n'a pas touché aux renseignements.
- Cause et étendue de l'atteinte à la vie privée
- Dans la mesure du possible, il faut déterminer la cause de l'atteinte à la vie privée.
- Y a–t–il un risque que d'autres incidents semblables se produisent ou que les renseignements soient davantage compromis?
- Quelle a été l'étendue de l'accès non autorisé aux renseignements personnels ou de la collecte, de l'utilisation ou de la communication non autorisée de tels renseignements? Ceci comprend le nombre et la nature des destinataires probables et le risque d'accès, d'utilisation ou de divulgation ultérieurs, y compris dans les médias de masse ou en ligne.
- Les renseignements ont–ils été perdus ou volés? S'ils ont été volés, peut–on déterminer s'ils étaient la cible du vol?
- Les renseignements personnels ont–ils été récupérés?
- Quelles mesures ont déjà été prises pour atténuer les préjudices?
- S'agit–il d'un problème systémique ou d'un incident isolé?
- Personnes touchées par l'atteinte à la vie privée
- Combien de personnes sont concernées par l'atteinte à la vie privée?
- Qui est touché par l'atteinte à la vie privée? (employés, entrepreneurs, public, clients, fournisseurs de services, autres ministères et organismes, intervenants internes ou externes)
- Source de l'atteinte à la vie privée
- L'atteinte à la vie privée découle–t–elle d'une erreur de traitement interne ou est–elle attribuable à des actes malveillants perpétrés par des tiers?
- L'atteinte était–elle accidentelle ou intentionnelle?
- Est–elle survenue dans les installations ou les systèmes de l'institution ou est–elle le fait d'un entrepreneur exécutant des activités au nom de l'institution?
- Préjudices prévisibles découlant de l'atteinte à la vie privée
- Au moment d'évaluer la possibilité de préjudices prévisibles découlant de l'atteinte à la vie privée, quelles sont les attentes raisonnables des personnes concernées? Par exemple, un étranger qui reçoit accidentellement des renseignements personnels et les signale immédiatement est moins susceptible de les utiliser de manière inappropriée qu'une personne soupçonnée d'être entrée intentionnellement dans un édifice ou un système gouvernemental.
- Qui est le destinataire des renseignements? Y a–t–il un lien entre les destinataires non autorisés et le sujet des données? Par exemple, les renseignements ont–ils été communiqués à une personne inconnue ou soupçonnée d'être mêlée à des activités criminelles, ce qui laisserait présager une utilisation inappropriée des renseignements personnels? Ou le destinataire est–il une entité ou une personne connue, digne de confiance et susceptible, selon toute vraisemblance, de rendre les renseignements sans les communiquer ou les utiliser?
- Quels préjudices l'atteinte pourrait–elle causer aux personnes concernées? Par exemple :
- Perte financière (vol d'identité).
- Répercussions sur la santé (sécurité physique).
- Atteinte à la réputation (humiliation).
- Sanctions juridiques (civiles ou pénales).
- Quels préjudices l'atteinte pourrait–elle causer à l'institution? Par exemple :
- Perte de confiance.
- Perte financière (perte d'actifs).
- Poursuite judiciaire (action en justice).
- Intérêt public (santé et sécurité publiques).
Une fois que la Liste de contrôle du BPR en cas d'atteinte à la vie privée et l'Instrument d'évaluation de l'incidence des risques d'atteinte à la vie privée en matière d'AIPRP sont remplis, les institutions doivent passer à l'Étape 3 : Notification, puisque les résultats de l'évaluation devraient donner des indications quant aux entités ou personnes à informer.
Étape 3 : Notification
La notification est une stratégie d'atténuation importante qui peut profiter tant à l'institution qu'aux personnes touchées par l'atteinte à la vie privée. Si une atteinte à la vie privée crée un risque de préjudice pour la personne, les entités ou personnes touchées doivent être informées. La notification rapide des personnes dans ces cas peut les aider à atténuer les dommages en prenant des mesures pour se protéger.
Mise en garde : En cas d'atteinte à la vie privée, les institutions doivent faire attention de ne pas prendre des mesures qui pourraient aggraver l'atteinte à la vie privée existante ou créer une nouvelle atteinte à la vie privée (p. ex., divulgation de plus de renseignements personnels).
Remarque : À ce stade du processus de gestion de l'atteinte à la vie privée et si ce n'est déjà fait, le Bureau de l'AIPRP peut informer le CPVP et le SCT de vive voix d'une atteinte à la vie privée. Une notification écrite officielle (c.–à–d. un rapport d'atteinte à la vie privée à l'intention du CPVP et du SCT) doit suivre une fois que l'enquête a déterminé que l'atteinte à la vie privée en est une substantielle.
Processus de notification interne de l'AIPRP
Chaque situation doit être considérée au cas par cas et en collaboration avec le responsable de l'AIPRP ou le DPPVP, ou les deux, pour déterminer l'étendue de la notification requise en utilisant le Processus de gestion des atteintes à la vie privée. Le responsable de l'AIPRP ou le DPPVP informera les Ressources humaines, les Services juridiques et les Communications (Affaires publiques) selon les besoins. Les résultats de l'Instrument d'évaluation de l'incidence des risques d'atteinte à la vie privée en matière d'AIPRP rempli à l'étape 2 peuvent aider au Processus de notification interne.
Outil d'établissement de rapports
Qui devrait informer les cadres de l'institution?
Le responsable de l'AIPRP ou le DPPVP informera la haute direction en se référant au Processus de gestion des atteintes à la vie privée et en remplissant dès que possible l'Outil d'établissement de rapports. Ce rapport fournit des renseignements à la haute direction en incluant des renseignements globaux (anonymes) dans le contexte et le genre ou le contenu des renseignements touchés. Au moment de remplir la section du rapport ayant trait au statut, le responsable de l'AIPRP et le DPPVP devraient accorder une attention particulière en décrivant les mesures correctives qui ont été prises et en indiquant clairement si l'atteinte à la vie privée a été réglée. Le fait de fournir des rapports d'étape réguliers et de relever les tendances donne à la haute direction l'occasion de cerner les faiblesses dans les processus de traitement des renseignements personnels et d'élaborer des stratégies d'atténuation des risques.
Lettres d'avis
Des exemples de Lettres d'avis aux personnes touchées et Lettre d'avis aux intervenants externes ont été élaborés pour aider les institutions à informer les personnes touchées et les intervenants externes. Les institutions peuvent modifier le contenu de ces lettres en fonction du contexte de l'atteinte à la vie privée et des mesures prises à ce jour. La Division des communications de l'institution doit être informée pour qu'elle traite toutes les demandes de renseignements des médias.
Il est important de prendre en considération certains éléments clés avant d'envoyer une lettre d'avis :
- Informer les personnes touchées
Le BPR, en collaboration avec le responsable de l'AIPRP, le DPPVP et l'ASM, devrait prendre en considération les facteurs suivants pour décider s'il convient d'informer les personnes :
- Quelles sont les obligations légales et contractuelles?
- Quels sont les risques de préjudice pour les personnes concernées?
- Y a–t–il un risque raisonnable de vol d'identité ou de fraude (compte tenu, généralement, du type de renseignements perdus, tels que le nom et l'adresse d'une personne combinés à des numéros de pièces d'identité émises par le gouvernement ou la date de naissance)?
- La personne concernée risque–t–elle de subir un dommage physique (comme d'être suivie, d'être victime de harcèlement ou pire)?
- La personne risque–t–elle de subir des humiliations ou des atteintes à la réputation (p. ex., lorsque les renseignements perdus proviennent de dossiers médicaux ou disciplinaires ou de dossiers de santé mentale ou autres)?
- Dans quelle mesure la personne est–elle capable d'éviter ou d'atténuer les préjudices éventuels?
- Utiliser la Lettre d'avis aux personnes touchées : Exemple de lettre.
- Quand, comment et qui devrait informer
À ce stade, la Liste de contrôle du BPR sur les atteintes à la vie privée, qui contient un ensemble de faits à utiliser pour déterminer s'il convient d'informer les personnes, devrait être remplie.
Quand informer : Les personnes touchées par l'atteinte doivent être informées le plus tôt possible après l'évaluation de l'atteinte à la vie privée.
Comment informer : Il est préférable d'informer directement et de façon proactive (par téléphone, courrier, courriel ou en personne) les personnes touchées. On ne devrait recourir à la notification indirecte (au moyen de renseignements affichés sur le site Web de l'institution, d'avis publics ou des médias) que si les personnes ne peuvent être trouvées ou si leur nombre est tel qu'une notification directe serait trop coûteuse ou inopportune. Le BPR ne devrait utiliser le courrier électronique que si la personne a préalablement consenti à recevoir des avis électroniques. Les institutions doivent être prudente afin de ne pas alarmer inutilement les personnes touchées, particulièrement si les institutions soupçonnent seulement, mais ne peuvent pas confirmer, que certaines personnes pourraient avoir été touchées par l'atteinte à la vie privée. Cependant, ceci ne devrait pas empêcher les institutions d'informer les personnes dont les renseignements personnels ont été compromis.
Qui devrait informer : Généralement, la personne dans l'institution qui a un lien direct avec l'intervenant, le client ou l'employé devrait informer les personnes touchées. Utiliser la Lettre d'avis aux intervenants externes : Exemple de lettre.
- Qu'est–ce qui devrait être inclus dans la notification?
Le contenu des notifications varie selon le cas particulier d'atteinte à la vie privée et le type de notification choisi. Selon le cas, les notifications doivent comprendre les éléments suivants :
- Une description générale de l'incident, y compris la date et l'heure.
- La source de l'atteinte à la vie privée (que ce soit l'institution, une partie contractante ou un tiers avec qui l'institution a conclu une entente d'échange de renseignements).
- Une liste de renseignements personnels qui ont à tort été consultés ou divulgués.
- Une description des mesures prises ou devant être prises pour récupérer les renseignements personnels, confiner l'atteinte à la vie privée et empêcher que l'atteinte ne se reproduise, et les délais dans lesquels les mesures d'atténuation seront mises en œuvre, si elles ne sont pas déjà en cours.
- Des conseils à l'intention de la personne pour réduire les risques de vol d'identité ou prendre des mesures relativement aux renseignements personnels compromis (p. ex., ajouter un « indicateur » au dossier de crédit de la personne) et des instructions pour entreprendre ces activités.
- Le nom et les coordonnées d'un représentant de l'institution à qui les personnes touchées peuvent s'adresser pour discuter de la question plus en détail ou pour obtenir de l'aide.
- S'il y a lieu, une mention que le CPVP et le SCT ont été informés de la nature de l'atteinte à la vie privée et que la personne a le droit de porter plainte au CPVP en vertu de la Loi sur la protection des renseignements personnels.
Le BPR peut également informer les personnes touchées des progrès de l'enquête et du règlement des questions en suspens. Étape 4 : Atténuation et prévention
Étape 4 : Atténuation et prévention
Une fois les mesures immédiates prises pour atténuer les risques associés à l'atteinte à la vie privée, le BPR, en collaboration avec le responsable de l'AIPRP, le DPPVP et l'ASM, doit mener une enquête approfondie sur les causes de l'atteinte à la vie privée, déterminer s'il convient d'élaborer un plan de prévention et réfléchir aux éléments que pourrait comprendre ce plan.
Stratégies d'atténuation
Le BPR peut prendre des mesures correctives en collaboration avec d'autres secteurs de l'institution, comme les Ressources humaines. Selon la gravité de l'atteinte à la vie privée et les facteurs tant atténuants qu'aggravants, la mesure choisie devrait être appropriée et viser à corriger la situation. Les conséquences devraient être déterminées au cas par cas. Utiliser l'outil Mesures d'atténuation et prévention.
Les mesures correctives peuvent comprendre les suivantes :
- Formation et éducation.
- Encadrement et mentorat.
- Réprimande (orale ou écrite).
- Révocation de certains privilèges ou de l'accès au système ou aux dossiers.
- Révocation de la cote de sécurité.
- Réaffectation (mutation).
- Suspension.
- Cessation d'emploi.
Les institutions pourraient également vouloir revoir les politiques et procédures internes pour éviter que l'atteinte ne se reproduise.
Les employés doivent être informés des conséquences de leurs pratiques de traitement des renseignements personnels, et du fait qu'une fois que les renseignements personnels d'une personne ont été perdus, il n'est pas toujours possible de réparer les dommages. Les infractions moins graves devraient être traitées au moyen de stratégies d'éducation et de mentorat, alors que les cas plus graves ou multiples d'atteinte à la vie privée peuvent justifier une mesure plus sévère. Dans les cas où l'atteinte à la vie privée résulte d'une succession de mauvaises pratiques de traitement de l'information ou est d'une nature si grave que la relation entre l'employé et l'employeur est irrévocablement compromise, le licenciement peut constituer la mesure qui convient le mieux.
Remarque : La loi habilitante de certaines institutions comprend un code de protection des renseignements personnels, qui prévoit des conséquences punitives pour les employés qui divulguent intentionnellement des renseignements personnels.
Stratégies de prévention
Le niveau d'effort devrait être fonction de la gravité de l'atteinte à la vie privée et de son caractère systémique ou isolé. Le plan de prévention des atteintes à la vie privée devrait comprendre ce qui suit :
- La révision ou l'élaboration de procédures et de politiques internes.
- Une formation supplémentaire pour les employés, comme celle qui se trouve dans la Présentation de formation des employés.
- Le resserrement des restrictions de l'accès à certains renseignements personnels selon les rôles, les responsabilités et le besoin de savoir.
- Le cryptage des renseignements personnels sur les appareils électroniques portatifs.
- Les clauses contractuelles pour traiter les atteintes à la vie privée attribuables à des fournisseurs de services tiers.
- La tenue de vérifications continues de la sécurité matérielle et technique.
Au moment de formuler des recommandations, il est également important que les représentants de l'AIPRP, le DPPVP, les responsables de la gestion de l'information et les ASM tiennent compte de toute lacune relevée dans le cadre des pratiques de gestion des renseignements personnels, notamment les points suivants :
- La question de savoir si une Évaluation des facteurs relatifs à la vie privée (EFVP) a été menée et, le cas échéant, si elle devrait être révisée ou mise à jour.
- L'examen ou la mise à jour des fichiers de renseignements personnels (FRP) pertinents.
- La réalisation d'un inventaire des dossiers qui contiennent des renseignements personnels.
En définitive, tous les risques déterminés durant l'enquête de l'institution devraient être éliminés dans la mesure du possible.
Présentations de formation
Une Présentation de formation à l'intention des employés et une Présentation de formation à l'intention des cadres supérieurs sont disponibles pour aider aux mesures d'atténuation et de prévention.
À ce stade du processus, nous pouvons conclure qu'une atteinte à la vie privée a été découverte ou confinée, qu'une évaluation complète a été menée et suivie de la notification des groupes touchés et qu'un plan d'atténuation et de prévention a été élaboré. Si l'enquête a identifié une atteinte substantielle à la vie privée, l'institution doit présenter un rapport d'atteinte à la vie privée à l'intention du CPVP et du SCT en effectuant l'étape 5, Notification du Commissariat à la protection de la vie privée et du Secrétariat du Conseil du Trésor du Canada.
Étape 5 : Notification du Commissariat à la protection de la vie privée et du Secrétariat du Conseil du Trésor du Canada
Le Bureau de l'AIPRP est le guichet unique de l'institution pour ce qui est d'informer le CPVP et le SCT.
Rapport d'atteinte à la vie privée à l'intention du CPVP et du SCT
Le Bureau de l'AIPRP peut informer de façon informelle le CPVP et le SCT de vive voix d'une atteinte à la vie privée et ce, à tout stade du processus de gestion de l'atteinte à la vie privée. Cependant, les institutions doivent donner une notification écrite officielle (rapport d'atteinte à la vie privée à l'intention du CPVP et du SCT) une fois que l'enquête a identifié une atteinte substantielle à la vie privée. Le Bureau de l'AIPRP soumettra une notification au CPVP et au SCT en remplissant et en envoyant le Rapport d'atteinte à la vie privée à l'intention du Commissariat à la protection de la vie privée. Le rapport comprend les renseignements suivants :
- La nature et l'étendue de l'atteinte à la vie privée.
- Le genre de renseignements personnels en cause.
- Les parties concernées.
- Les risques de préjudice prévus.
- Les mesures prises ou devant être prises pour informer les personnes.
- Les mesures correctives qui ont été prises.
Étape 6 : Leçons apprises
Le maintien de communications continues avec l'AIPRP au sujet des questions de protection des renseignements personnels découlant de l'atteinte à la vie privée représente une occasion de renforcer les pratiques en matière de protection des renseignements personnels au sein du secteur de programme du BPR plus précisément et dans l'institution dans son ensemble.
Les cadres supérieurs et les gestionnaires devraient encourager les employés à être conscients des questions de protection des renseignements personnels dans leurs tâches courantes. Cette sensibilisation accrue contribuera à une réduction des risques généraux du secteur de programme en matière de protection des renseignements personnels.
Les cadres supérieurs devraient mobiliser le bureau de l'AIPRP ou le DPPVP de leur institution pour qu'il détermine les possibilités de formation qui pourraient être offertes pour répondre à leurs besoins particuliers ou pour identifier les services qui pourraient être fournis à l'appui de leur secteur de programme.
Analyse des tendances
Les institutions devraient assurer le suivi des atteintes à la vie privée au sein de leurs secteurs de programme en relevant les tendances à chaque étape du processus de gestion des atteintes à la vie privée. La collecte de ces renseignements peut faciliter la détermination des tendances sous–jacentes en ce qui concerne les pratiques de traitement des renseignements personnels et prévenir de futures atteintes à la vie privée. L'outil Analyse des tendances par exercice peut être utilisé pour suivre ces activités.
Glossaire
- Atteinte à la vie privée ( privacy breach)
- Création, collecte, utilisation, divulgation, conservation ou retrait inapproprié(e) ou non autorisé(e) de renseignements personnels.
- Atteinte substantielle à la vie privée ( material privacy breach)
- Une atteinte à la vie privée qui vise des renseignements personnels de nature sensible et qui pourrait raisonnablement causer des dommages ou des préjudices à des individus.
- Commissaire à la protection de la vie privée ( Privacy Commissioner)
- Est un haut fonctionnaire du Parlement qui est nommé par le gouverneur en conseil.
- Compromission ( compromise)
- Accès, divulgation, destruction, suppression, modification, utilisation ou interruption non autorisés de biens ou de renseignements.
- Divulgation ( disclosure)
- Diffusion des renseignements personnels par différentes méthodes (p. ex., transmission, remise d'une copie, examen du dossier) à un organisme ou une personne.
- Évaluation des facteurs relatifs à la vie privée ( privacy impact assessment)
- Est le processus d'élaboration des politiques permettant de déterminer, d'évaluer et d'atténuer les risques d'entrave à la vie privée. Les institutions fédérales doivent consigner et tenir à jour des évaluations des facteurs relatifs à la vie privée pour les activités et les programmes nouveaux ou modifiés qui utilisent des renseignements personnels à des fins administratives.
- Fichier de renseignements personnels ( personal information bank)
- Description de renseignements personnels classés et marqués de façon à pouvoir être retrouvés par référence au nom d'un particulier ou à un numéro, symbole et autre particularité qui lui est propre. Les renseignements personnels décrits dans le fichier de renseignements personnels ont été utilisés, sont utilisés ou sont accessibles à des fins administratives et sont sous la garde d'une institution gouvernementale.
- Gestion des risques ( risk management)
- Approche systématique qui sert à établir la meilleure voie à suivre en cas d'incertitude, en ciblant les questions liées au risque, en les évaluant, en les comprenant, en les diffusant et en prenant des décisions à leur égard. La gestion des risques est intégrée dans les structures actuelles de gouvernance et organisationnelle, y compris la planification des activités, la prise de décisions et les processus opérationnels. L'institution s'assurera qu'elle a la capacité et les outils pour innover tout en protégeant les renseignements personnels et en veillant à l'intérêt public.
- Identité ( identity)
- Une référence ou une désignation utilisée pour distinguer une personne, une organisation ou un dispositif.
- Incertitude ( uncertainty)
- Est l'état, même partiel, du manque d'information liée à la compréhension ou à la connaissance d'un événement, de ses conséquences ou de la probabilité qu'il se produise.
- Institution fédérale ( government institution)
- Est « tout ministère ou département d'État relevant du gouvernement du Canada, ou tout organisme ou bureau figurant à l'annexe »; « toute société d'État mère ou filiale de cette dernière, au sens de l'article 83 de la Loi sur la gestion des finances publiques » (source : article 3 de la Loi sur la protection des renseignements personnels). Le terme « institution fédérale » n'englobe pas les cabinets de ministre.
- Pratiques relatives à la protection de la vie privée ( privacy practices)
- Toutes les pratiques relatives à la création, la collecte, la conservation, l'exactitude, l'utilisation, la divulgation et le retrait des renseignements personnels.
- Programme ou activité ( program or activity)
- Est, aux fins de la collecte, de l'utilisation ou de la communication appropriée de renseignements personnels par des institutions assujetties à cette politique, un programme ou une activité autorisé ou approuvé par le Parlement. L'autorisation parlementaire est habituellement donnée par une loi du Parlement, par un règlement subséquent ou par l'approbation des dépenses envisagées qui sont indiquées dans les budgets des dépenses, puis autorisées par une loi de crédits. Toute activité menée dans le cadre de l'administration de tels programmes entre également dans cette définition.
- Renseignements personnels ( personal information)
- S'entend des renseignements concernant un individu identifiable enregistrés sous une forme quelconque. Ils comprennent : le nom, l'adresse, le numéro de téléphone, le dossier médical, les numéros d'identification (NAS), l'éducation, le groupe sanguin, l'origine ethnique, les antécédents professionnels, etc. De plus, ils comprennent les renseignements qui concernent un individu identifiable lorsqu'il y a une possibilité sérieuse qu'un individu puisse être identifié au moyen des renseignements, que ces renseignements soient pris seuls ou en combinaison avec d'autres renseignements disponibles.
- Risque ( risk)
- Effet de l'incertitude sur l'atteinte des objectifs. Il exprime la probabilité et les répercussions d'un événement susceptibles de nuire à l'atteinte des objectifs de l'organisation. La formule classique utilisée pour quantifier le risque combine l'importance des dommages et la probabilité, comme suit : Risque = Probabilité × Répercussions.
- Tous les efforts raisonnables ( every reasonable effort)
- Les efforts dont s'attend une personne juste et raisonnable ou qu'elle estime acceptables.
- Traitement ( handling)
- Terme générique désignant la conservation, l'exactitude, l'utilisation, la divulgation et le retrait de renseignements personnels. Le terme est utilisé afin de faciliter la lecture et n'implique pas une réduction des normes en ce qui concerne les concepts mentionnés ci–dessus.
- Vie privée ( privacy)
- Droit d'un individu à son intimité et à être protégé contre toute intrusion injustifiée. Il s'agit aussi du droit d'un individu de garder le contrôle de ses renseignements personnels et de savoir à quelles fins ils sont utilisés, divulgués et où ils sont conservés.
Détails de la page
- Date de modification :