Gestion des atteintes à la vie privée - Rôles et responsabilités

Le processus de gestion des atteintes à la vie privée fournit une orientation au Bureau de première responsabilité (BPR) quant à la façon de procéder à chacune des six étapes du processus. Premièrement, il est important de prendre chaque situation au sérieux, d’effectuer immédiatement une évaluation préliminaire et de limiter l’atteinte. Le BPR doit aviser le coordonnateur de l’accès à l’information et de la protection des renseignements personnels AIPRP ou le dirigeant principal de la protection de la vie privée (DPPVP) sans délai, ou dans le délai fixé par l’institution, pour obtenir des directives et des conseils concernant les prochaines étapes. Les décisions sur la façon de donner suite aux atteintes à la vie privée doivent être prises au cas par cas et en collaboration avec le coordonnateur de l’AIPRP ou le délégué. Les rôles et responsabilités de chaque partie participant au processus de gestion des atteintes à la vie privée ont été précisés.

Gérer une atteinte à la vie privée – Rôles et responsabilités

Voici le processus décisionnel pour gérer une atteinte à la vie privée, de même que les rôles et responsabilités des principaux acteurs à chaque étape.

Étape 1 : Évaluation préliminaire et confinement

  • Les responsabilités du BPR sont les suivantes :
    • Déterminer en quoi consiste l’atteinte à la vie privée qui s’est présentée.
    • Limiter l’atteinte et procéder à une recherche des faits au moyen de l’outil d’évaluation préliminaire et de confinement par le BPR.
    • Utiliser l’outil du rapport préliminaire pour rédiger ce dernier.
    • Communiquer avec le DPPVP, le coordonnateur de l’AIPRP/ le délégué ou l’agent de sécurité du ministère (ASM) afin d’aviser les fonctionnaires internes.
  • Les responsabilités du coordonnateur de l’AIPRP sont les suivantes :
    • Confirmer qu’il y a eu atteinte à la vie privée.
    • Indiquer s’il n’est pas nécessaire d’effectuer une évaluation complète, si l’atteinte a été gérée au sein de l'institution et si l’atteinte est réglée.
    • Indiquer s’il est nécessaire d’effectuer une évaluation complète, auquel cas le coordonnateur de l’AIPRP doit passer à l’étape 2.
    • Conseiller le BPR à tous les stades du processus de gestion des atteintes à la vie privée.

Étape 2 : Évaluation complète

  • Les responsabilités du BPR sont les suivantes :
    • En collaboration avec le DPPVP, le coordonnateur de l’AIPRP ou le délégué et l’ASM, doit remplir la liste de contrôle du BPR sur les atteintes à la vie privée. Le BPR peut décider de communiquer avec les Services juridiques pour obtenir des conseils au sujet des obligations et des implications liées à la Charte  ou d’autres incidences.
    • Déterminer qui doit être avisé au sein de l'institution.
  • Les rôles et responsabilités du coordonnateur de l’AIPRP sont les suivants :
    • Réaliser une évaluation complète à l’aide de l’instrument d’évaluation de l’incidence des risques d'atteinte à la vie privée en matière d'AIPRP.
    • Déterminer s’il est nécessaire d’aviser le Commissariat à la protection de la vie privée (CPVP) ou le Secrétariat du Conseil du trésor du Canada (SCT) à ce stade du processus. Le coordonnateur de l’AIPRP est l’unique agent de liaison pour ce qui est de la communication de l'institution avec le CPVP et le SCT.

Étape 3 : Notification

  • Les rôles et responsabilités du BPR sont les suivants :
    • Finir de passer en revue les points de la liste de contrôle du BPR sur les atteintes à la vie privée.
  • Les responsabilités mutuelles du BPR et du coordonnateur de l’AIPRP sont les suivantes :
    • Aviser les fonctionnaires internes, les personnes touchées et les intervenants externes. Les outils offerts sont le processus de notification interne de l’AIPRP, l’outil d’établissement de rapports de gestion des atteintes à la vie privée et les lettres d’avis. Il est possible d’aviser les fonctionnaires internes au moyen d’une note d’information, d’une lettre ou de toute autre méthode jugée nécessaire.
    • Avec l’aide de l’ASM, du DPPVP ou du coordonnateur de l’AIPRP, passer en revue la liste de contrôle du BPR sur les atteintes à la vie privée et formuler des recommandations.
  • Les rôles et responsabilités du coordonnateur de l’AIPRP sont les suivants :
    • Le coordonnateur de l’AIPRP peut décider d’informer le CPVP et le SCT d’une atteinte à la vie privée et ce, à tout stade du processus de gestion de l’atteinte à la vie privée. Cependant, une notification écrite officielle (c.–à–d. un rapport d’atteinte à la vie privée à l’intention du CPVP et du SCT) doit suivre une fois que l’enquête a déterminé que l’atteinte à la vie privée est une atteinte substantielle.

Étape 4 : Atténuation et prévention

  • Les rôles et responsabilités du BPR sont les suivants :
    • Mettre en application les recommandations sur l’évaluation à l’aide de l’outil d’atténuation et de prévention.

Étape 5 : Notification du CPVP et du SCT

  • Les rôles et responsabilités du coordonnateur de l’AIPRP sont les suivants :
    • Le coordonnateur de l’AIPRP est l’unique agent de liaison avec le CPVP et doit remplir le rapport sur les atteintes à la vie privée à l’intention du CPVP et et du SCT dans un délai raisonnable.
    • Le Bureau de l’AIPRP peut informer le CPVP et le SCT de vive voix d'une atteinte à la vie privée et ce, à tout stade du processus de gestion de l atteinte à la vie privée. Une notification écrite officielle (c.–à–d un rapport d atteinte à la vie privée à l intention du CPVP et du SCT) doit suivre une fois que l'enquête a déterminé que l atteinte à la vie privée est une atteinte substantielle. L’AIPRP doit remplir et envoyer le rapport final au CPVP et au SCT. Le rapport final d atteinte à la vie privée à l intention du CPVP et du SCT sera complété et envoyé par le coordonnateur de l’AIPRP au CPVP et au SCT.

Étape 6 : Leçons apprises

  • Les responsabilités mutuelles du BPR et du coordonnateur de l’AIPRP sont les suivantes :
    • Examiner et surveiller les tendances de façon continue à l’aide de l’outil d'analyse des tendances.

Remarque : Le facteur temps est important en cas d’atteintes à la vie privée. Le Bureau de l’AIPRP peut informer le CPVP et le SCT de vive voix d'une atteinte à la vie privée et ce, à tout stade du processus de gestion de l’atteinte à la vie privée. Une notification écrite officielle (un rapport d’atteinte à la vie privée à l’intention du CPVP et du SCT) doit suivre une fois que l'enquête a déterminé que l’atteinte à la vie privée est une atteinte substantielle.

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :