Évaluation préliminaire et confinement par le Bureau de première responsabilité (BPR)

Outils de gestion des atteintes à la vie privée

Dans l'affirmative, communiquer avec le dirigeant principal de la protection de la vie privée, l'agent d'accès à l'information et de la protection des renseignements personnels et l'agent de sécurité du ministère. Prenez soin de :

  1. Déterminer qui doit être mis au courant de l'atteinte et d'informer ces personnes de ce qu'elles doivent faire pour appuyer l'exercice de confinement.
  2. Déterminer ce que vous pouvez faire, le cas échéant, pour récupérer ce qui a été perdu et limiter le préjudice qui peut être causé par l'atteinte.
  3. Remplir le Rapport préliminaire de l'étape 1 (consigner toutes les activités, y compris les mesures de confinement qui ont été prises; inclure un registre ou un calendrier, le cas échéant, dans lequel on inscrira qui a fait quoi et à quel moment).
Évaluation préliminaire Oui Stratégies de confinement proposées
1. Est-ce que les privilèges d'accès ont été utilisés de façon abusive? (p. ex., accès non autorisé ou utilisation de documents contenant des renseignements personnels)  
  1. Restreindre, suspendre ou révoquer immédiatement les privilèges d'accès jusqu'à ce que l'enquête soit terminée
  2. Déterminer si des renseignements personnels ont été également transmis à d'autres (verbalement ou par l'intermédiaire de copies)
  3. Tenter de récupérer les documents
  4. Communiquer avec le responsable de l'accès à l'information et protection des renseignements personnels et le dirigeant principal de la protection de la vie privée au besoin
  5. Remplir le Rapport préliminaire
2. A-t-on divulgué des renseignements personnels de manière inappropriée? (p. ex., application fautive des prélèvements, dépersonnalisation incomplète)  
  1. Tenter de récupérer les documents
  2. Déterminer si des renseignements personnels ont été également transmis à d'autres (verbalement ou par l'intermédiaire de copies)
  3. Consigner les mesures qui ont déjà été prises
  4. Communiquer avec le responsable de l'accès à l'information et protection des renseignements personnels et le dirigeant principal de la protection de la vie privée au besoin
  5. Remplir le Rapport préliminaire
3. A-t-on perdu des renseignements personnels? (p. ex., par la poste, au cours d'un déménagement ou à cause d'un dispositif électronique égaré)  
  1. Tenter de reconstituer le chemin parcouru et de trouver les documents perdus
  2. Déterminer si des renseignements personnels ont été également transmis à d'autres (verbalement ou par l'intermédiaire de copies)
  3. Consigner les mesures qui ont déjà été prises
  4. Dresser un inventaire des renseignements personnels qui ont été ou peuvent avoir été compromis
  5. Communiquer avec le responsable de l'accès à l'information et protection des renseignements personnels et le dirigeant principal de la protection de la vie privée au besoin
  6. Remplir le Rapport préliminaire
4. A-t-on volé des renseignements personnels? (p. ex., vol d'un ordinateur portable, de matériel informatique ou d'appareils)  
  1. Tenter de récupérer le matériel ou l'appareil volé
  2. Consigner les mesures qui ont déjà été prises
  3. Communiquer avec le responsable de l'accès à l'information et protection des renseignements personnels et le dirigeant principal de la protection de la vie privée au besoin
  4. Remplir le Rapport préliminaire
5. A-t-on envoyé des renseignements personnels à la mauvaise adresse dans un courriel non chiffré?  
  1. Interrompre l'envoi du courriel ou de la correspondance à la mauvaise adresse
  2. Déterminer si l'adresse de courriel est erronée dans le système (programmée de façon erronée dans le système)
  3. Tenter de rappeler le message
  4. Déterminer où le courriel s'est rendu
  5. Demander à la personne qui a reçu le courriel ou la correspondance en question de l'effacer et de confirmer qu'elle l'a fait en envoyant un courriel
  6. Déterminer si des renseignements personnels ont été également transmis à d'autres (verbalement ou par l'intermédiaire de copies)
  7. Consigner les mesures qui ont été prises
  8. Communiquer avec le responsable de l'accès à l'information et protection des renseignements personnels et le dirigeant principal de la protection de la vie privée au besoin
  9. Remplir le Rapport préliminaire
6. A-t-on envoyé des renseignements personnels par télécopie, par la poste ou par messager à la mauvaise adresse?  
  1. Déterminer l'endroit où le document s'est rendu
  2. Déterminer si l'adresse du document est erronée dans le système (programmée de façon erronée dans le système)
  3. Demander à la personne qui a reçu les documents de les retourner, s'ils ont été envoyés par la poste, et/ou de faire en sorte que la télécopie soit détruite et de le confirmer
  4. Déterminer si des renseignements personnels ont été également transmis à d'autres (verbalement ou par l'intermédiaire de copies)
  5. Consigner les mesures qui ont été prises
  6. Communiquer avec le responsable de l'accès à l'information et protection des renseignements personnels et le dirigeant principal de la protection de la vie privée au besoin
  7. Remplir le Rapport préliminaire
7. Un tiers a-t-il compromis (piraté) un système contenant des renseignements personnels?  
  1. Communiquer avec les services de sécurité et avec les services de TI car il faudra peut-être isoler ou désactiver le système touché ou désactiver le compte d'utilisateur afin de pouvoir procéder à une évaluation approfondie de l'atteinte et corriger les vulnérabilités
  2. Consigner les mesures qui ont été prises
  3. Communiquer avec le responsable de l'accès à l'information et protection des renseignements personnels et le dirigeant principal de la protection de la vie privée au besoin
  4. Remplir le Rapport préliminaire
8. A-t-on vendu ou éliminé du matériel ou des appareils contenant des renseignements personnels sans avoir procédé à une épuration complète et irréversible au préalable?  
  1. Communiquer avec les services de technologie de l'information (TI) ou les services de sécurité
  2. Consigner les mesures qui ont été prises
  3. Remplir le Rapport préliminaire
9. A-t-on affiché de manière inappropriée des renseignements personnels à un endroit clairement visible pour tous les employés ou clients? (p.ex., affichage de rendez-vous médicaux ou de certains types de congés, de numéros de téléphone personnels, écrans d'impression dans une présentation PowerPoint)  
  1. Retirer, déplacer ou séparer les renseignements ou les dossiers exposés
  2. Conserver les preuves
  3. Déterminer si des renseignements personnels ont été également transmis à d'autres (verbalement ou par l'intermédiaire de copies)
  4. Consigner les mesures qui ont été prises
  5. Remplir le Rapport préliminaire
10. A-t-on procédé à une collecte inappropriée de renseignements personnels?  
  1. Déterminer si des renseignements personnels ont été également transmis à d'autres (verbalement ou par l'intermédiaire de copies)
  2. Remplir le Rapport préliminaire
11. A-t-on fait une utilisation inattendue ou non intentionnelle des données recueillies? Est-ce qu'il existe un risque de ré-identification d'un individu touché ou d'identifier un individu?  
  1. Déterminer si des renseignements personnels ont été également transmis à d'autres (verbalement ou par l'intermédiaire de copies)
  2. Remplir le Rapport préliminaire
12. A-t-on procédé à une création inappropriée ou non autorisée de renseignements personnels?  
  1. Remplir le Rapport préliminaire
13. A-t-on procédé à une conservation inappropriée ou non autorisé de renseignements personnels?  
  1. Remplir le Rapport préliminaire
14. Remarques/Autres :
Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :