Liste de contrôle du bureau de première responsabilité (BPR)

Outils de gestion des atteintes à la vie privée

Protégé B (une fois rempli)

On peut utiliser la liste de contrôle suivante aux premières étapes de la gestion d’une atteinte à la vie privée et pour correspondre avec le dirigeant principal de la protection de la vie privée (DPPVP), le bureau de l’accès à l’information et de la protection des renseignements personnels (AIPRP) et l’agent de sécurité du ministère (ASM). Le bureau de l’AIPRP soumettra au Commissariat à la protection de la vie priveé (CPVP) l’évaluation finale de l’atteinte à la vie privée et les recommandations qui se trouvent à la dernière page de cette liste de contrôle.

Désignez un enquêteur

(Déterminez qui devrait se charger de l’enquête initiale. Assurez-vous que l’agent responsable a les ressources appropriées et qu’il est suffisamment indépendant pour éviter l’apparence d’un conflit d’intérêts. Cette personne assurera la liaison avec le DPPVP, le bureau de l’AIPRP et l’ASM.)

Personne-ressource

  • Nom
  • Titre
  • Téléphone
  • Courriel

1. Évaluation préliminaire et confinement

Déterminez le type de problème et sa portée

  1. Consignez la façon dont l’atteinte a été détectée et donnez une brève description de l’atteinte.
  2. Consignez toutes les activités et prévoyez un registre ou un calendrier, le cas échéant, où vous indiquerez qui a fait quoi et à quel moment. 

Questions à examiner par le BPR

  • Date et heure de l’atteinte :
    • Date et heure auxquelles l’atteinte a été découverte.
    • Date et heure auxquelles l’atteinte a été signalée.
    • Date et heure auxquelles l’atteinte s’est produite (si elles sont connues).

    Notes :

  • Coordonnées des parties concernées :
    • Consignez les coordonnées de toutes les parties concernées par l’atteinte

    Notes :

  • Qui a signalé l’atteinte?
    • Coordonnées de la personne ayant signalé l’atteinte (nom complet, unité organisationnelle et ministère, adresse de courriel, numéro de téléphone et endroit où on peut la joindre (adresse postale, numéro de pièce du bureau).

    Notes :

  • Comment l’atteinte a-t-elle été découverte?

    Notes :

  • À quel endroit l’atteinte s’est-elle produite?

    Notes :

  • Chronologie de l’atteinte : quelles étaient la cause et l’étendue de l’atteinte?  
    • Que s’est-il passé?
    • Comment est-ce arrivé?
    • Quelle a été l’ampleur de la divulgation de renseignements personnels?
    • Qui a reçu les renseignements?

    Notes :

Confinez l’atteinte à la vie privée

(Reportez-vous à l’étape 1 – Évaluation préliminaire et confinement par le BPR)

  1. Déterminez qui doit être mis au courant de l’atteinte et informez ces personnes de ce qu’elles doivent faire pour appuyer l’exercice de confinement. 
  2. Déterminez ce que vous pouvez faire pour récupérer les pertes, le cas échéant, et limiter les dommages que l’atteinte peut causer.
  3. Consignez les mesures qui ont été prises pour confiner l’atteinte.
  4. Consignez toutes les activités et prévoyez un calendrier ou un registre, le cas échéant, où vous indiquerez qui a fait quoi et à quel moment.

Questions à examiner par le BPR

  • Chronologie des mesures qui ont été prises.
  • Quelles mesures correctives a-t-on prises dans l’immédiat pour minimiser les dommages, confiner l’atteinte ou récupérer les données? (p. ex., arrêt du système; recensement des renseignements personnels qui ont été ou ont pu être compromis; appel aux services de sécurité, changement de serrures, révocation, suspension ou restriction des privilèges d’accès).

    Notes :

  • La menace est-elle terminée ou persistante?  Les renseignements risquent-ils encore d’être exposés ou l’atteinte a-t-elle été confinée? (p. ex., où se trouvent les données en ce moment, combien de personnes les ont vues et quel est le risque d’accès, d’utilisation ou de divulgation ultérieurs?).

    Notes :

2. Évaluation complète (Analyse du risque)

Déterminez les renseignements personnels qui ont été touchés

Questions à examiner par le BPR

  • Quels sont les individus ou groupes d’individus qui ont été touchés? Qui est à risque à la suite de cette atteinte? (p. ex., clients, consommateurs, patients, employés, étudiants, entrepreneurs, fournisseurs, public, autre).

    Notes :

  • Combien d’individus sont concernés? Décrivez le volume.

    Notes :

  • Décrivez les renseignements personnels qui sont touchés (p. ex., documents financiers, dossiers médicaux – soyez précis et donnez les identificateurs, p. ex., le nom, le NAS, les coordonnées).

    Notes :

  • Nommez les individus dont la vie privée a pu être compromise (nom et coordonnées) – joignez une feuille distincte au besoin). Prenez les mesures nécessaires pour éviter toute autre divulgation de cette information.

    Notes :

Déterminez la forme ou le format des données ou des documents contenant les renseignements personnels 

Questions à examiner par le BPR

  • Quel est le format des données ou des documents? (p. ex., dossiers papier, base de données électronique, clé USB, CD-ROM, etc.).

    Notes :

Déterminez les mesures organisationnelles, matérielles ou techniques en place au moment de l’atteinte

  • Indiquez les mesures de sécurité techniques (p. ex., chiffrement, mot de passe, etc.).

    Notes :

  • Indiquez les mesures de sécurité matérielles (p. ex., serrures, systèmes d’alarme, etc.).

    Notes :

  • Indiquez les mesures organisationnelles (p. ex., autorisations de sécurité, politiques, programmes de formation, dispositions contractuelles).

    Notes :

Indiquez si d’autres enquêtes sont menées à la suite de cette atteinte 

Questions à examiner par le BPR

  • Y a-t-il des enquêtes criminelles ou sur la sécurité en cours qui sont en lien avec cette atteinte (p. ex., à la suite d’un vol ou d’un accès non autorisé) ?

    Notes :

  • Si la réponse est oui :
    • Quel est l’état d’avancement de l’enquête?
    • Qui est responsable de l’enquête? Nommez la personne-ressource.

    Notes :

Évaluez le préjudice que pourrait causer cette atteinte, le cas échéant 

Questions à examiner par le BPR

  • À quel préjudice,vulnérabilité les individus concernés sont-ils exposés?
    • Vol d’identité
    • Risque de préjudice physique (lésion corporelle)
    • Douleur, humiliation ou atteinte à la réputation
    • Situation financière
    • Perte d’occasions d’affaires ou de possibilités d’emploi
    • Incapacité de satisfaire aux normes professionnelles
    • Autre

    Notes :

  • Qui a reçu l’information et quel est le risque d’accès, d’utilisation ou de divulgation ultérieurs?

    Notes :

  • Quel préjudice l’atteinte pourrait-elle causer au ministère (p. ex., perte de confiance ou de biens, action en justice)?

    Notes :

  • Quel préjudice l’atteinte pourrait-elle causer à la population (p. ex., risque pour la santé ou la sécurité de la population)?

    Notes :

  • Quel préjudice l’atteinte pourrait-elle causer à d’autres parties (p. ex., autres organisations ou tiers responsables des renseignements personnels touchés)?

    Notes :

  • Une telle atteinte s’est-elle déjà produite? Expliquez. Si oui, décrivez les atteintes antérieures.

    Notes :

3. Notification

Connaissance de l’atteinte  

Informer les individus et les organisations d’une atteinte à la vie privée peut constituer un élément important du protocole de gestion de l’atteinte.
L’institution doit déterminer :

  • S’il y a lieu d’aviser les individus touchés.
  • À quel moment il faut les aviser (on peut attendre que les mesures nécessaires aient été prises pour déterminer la portée de l’atteinte et vérifier si une enquête adéquate a été menée).
  • Comment on doit les aviser (le moyen de les aviser).
  • Qui doit prendre la responsabilité de notifier (AIPRP, DPPVP, BPR ou autre)
  • Le contenu de la notificaton.
  • S’il y a lieu d’envoyer un avis ou de faire rapport :
    • aux fonctionnaires internes, aux Ressources humaines, aux Services juridiques et aux Communications (Affaires publiques);
    • à d’autres intervenants externes pour satisfaire à des exigences juridiques et contractuelles (p. ex., organismes professionnels, compagnies, bureaux ou fournisseurs de crédit pour offrir des services de détection et de surveillance de la fraude, etc.).

Avertissement : Quand vous aviserez les personnes concernées, assurez-vous de ne pas aggraver l’atteinte à la vie privée (c.-à-d. divulguer des renseignements personnels à des personnes qui n’ont pas à connaître l’identité des individus touchés).

Questions à examiner par le BPR

  • Les individus touchés ont-ils été informés de l’atteinte?
    • Si la réponse est oui, indiquez la date à laquelle ils ont été informés et de quelle manière
    • o Si la réponse est non, communiquez avec le bureau du DPPVP et de l’AIPRP afin de déterminer la meilleure façon de procéder pour la notification.

    Notes :

4. Atténuation et prévention

Quelles mesures prend-on pour empêcher de telles atteintes de se produire? 

Questions à examiner par le BPR

  • Quelles sont les améliorations recommandées ou apportées à l’infrastructure, aux processus, aux systèmes ou au protocole de gestion des atteintes? Quel est le calendrier de mise en œuvre?  Y a-t-il des obstacles à la mise en œuvre?

    Notes :

5. Autres commentaires

L’évaluation doit être effectuée par le bureau de l’AIPRP.

L’évaluation doit être effectuée par AIPRP.

L’AIPRP est le guichet unique du ministère avec le Commissariat à la protection de la vie privée.

Évaluation

  • Chronologie de l’atteinte et mesures qui ont été prises
  • Étendue du risque
  • Description des mesures qui ont été prises pour atténuer et résoudre le problème
  • Communications qui ont été faites
  • Brève explication des raisons pour lesquelles les décisions importantes ont été prises
  • Évaluation visant à déterminer si le protocole de gestion des atteintes à la vie privée a été suivi
  • Améliorations internes recommandées à l’infrastructure, aux processus, aux systèmes, au protocole de gestion des atteintes et toute autre mesure recommandée
  • Recensement de tous les autres renseignements pertinents (p. ex., les atteintes semblables ou connexes qui se sont déjà produites)
  • Notification à envoyer au Commissariat à la protection de la vie privée du Canada (CPVP) et au Secrétariat du Conseil du Trésor du Canada (SCT)

Nota : Utilisez l’information contenue dans ce rapport pour remplir le Rapport d’atteinte à la vie privée à l’intention du Commissariat à la protection de la vie privée de l’étape 5. Les facteurs suivants devraient être pris en considération pour décider d’aviser ou non le CPVP et le SCT de l’atteinte à la vie privée :

  • les renseignements personnels en question sont sensibles;
  • il existe un risque de vol d’identité ou d’autre préjudice, notamment la souffrance ou la perte de réputation;
  • un grand nombre d’individus sont touchés par l’atteinte;
  • l’information n’a pas été récupérée en entier;
  • l’organisation ou l’organisme public a besoin d’aide pour gérer l’atteinte à la vie privée;
  • l’atteinte découle d’un problème systémique ou une atteinte semblable s’est déjà produite.

Recommandations

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :