Mesures d'atténuation et prévention

Outils de gestion des atteintes à la vie privée


Atténuation

Le gestionnaire de programme peut prendre des mesures correctives de concert avec les Ressources humaines ou les Relations de travail. Au nombre de ces mesures :

  • Réprimande disciplinaire (orale ou écrite)
  • Formation et sensibilisation
  • Encadrement ou mentorat
  • Révocation de certains privilèges ou de l'accès aux systèmes et aux dossiers
  • Révocation de l'autorisation de sécurité
  • Réaffectation (mutation ou déploiement)
  • Changements du secteur d’activité
  • Mise en place de pistes de vérification
  • Mise en place de systèmes de cryptage
  • Suspension
  • Licenciement

Les institutions peuvent aussi choisir d'examiner leurs politiques internes et procédures afin de prévenir que les atteintes se reproduisent.

Selon la gravité de l'atteinte et les facteurs atténuants et aggravants, les mesures choisies devraient être appropriées et tendre à remédier aux actions des individus responsables de l’atteinte. Les conséquences devraient être déterminées au cas par cas.

Généralement, dans le cas d'une infraction mineure comme l'oubli de fermer la session d'un ordinateur contenant des renseignements personnels, une intervention adéquate peut être un encadrement ou une formation. Les infractions sérieuses ou multiples peuvent nécessiter une intervention plus sérieuse. Lorsqu'il s'agit soit d'atteintes qui résultent de pratiques inappropriées de manipulation d’information ou soit d'une atteinte si grave que la relation employeur-employé est irrémédiablement compromise, l'intervention qui convient pourrait être le licenciement ou le départ de l'employé.

Le degré des mesures administratives et disciplinaires peut aller de l'avertissement verbal au licenciement immédiat.

Les mesures disciplinaires ou administratives peuvent découler des faits suivants :

  • Omettre de mettre en œuvre et de prendre des mesures de sécurité (dont la personne est responsable et consciente) pour les renseignements personnels, que cela entraîne ou non la perte de contrôle ou la divulgation non autorisée de renseignements personnels.
  • Excéder l'accès autorisé aux renseignements personnels ou divulguer intentionnellement les renseignements à des personnes non autorisées.
  • Omettre de signaler la perte de contrôle ou la divulgation non autorisée, réelle ou présumée, de renseignements personnels.
  • Omettre, en tant que gestionnaire ou superviseur, d'informer, de former ou de superviser des personnes dans la cadre de leurs responsabilités.
  • Omettre, en tant que gestionnaire ou superviseur, de prendre les mesures nécessaires de traitement des renseignements personnels après avoir découvert un cas d'atteinte à la vie privée, ou omettre de mettre en œuvre et de maintenir les contrôles de sécurité, ou omettre de prévenir un cas d'atteinte à la vie privée.

Fonctionnaires

Lorsqu'un cas d'atteinte à la vie privée est imputable à un fonctionnaire et qu’il n'est pas soupçonné d'infraction criminelle, une enquête administrative sera menée afin de déterminer, de concert avec les Ressources humaines ou les Relations de travail, les circonstances de l’atteinte et sides mesures disciplinaires doivent être prises.

Voir l'outil de l'étape 2 – Instrument d'évaluation de l'incidence des risques d'atteinte à la vie privée en matière d'AIPRP afin de déterminer la gravité de l’atteinte.

Entrepreneur

Lorsqu'un cas d'atteinte à la vie privée est imputable à un entrepreneur et qu'il n'est pas soupçonné d'infraction criminelle, une enquête administrative sera menée afin de déterminer, de concert avec le responsable des autorisations d'affaires du ministère, les circonstances entourant l’atteinte et les mesures à prendre par le ministère conformément aux modalités du contrat.

Voir l'outil de l'étape 2 – Instrument d'évaluation de l'incidence des risques d'atteinte à la vie privée en matière d'AIPRP afin de déterminer la gravité de l’atteinte.

Prévention

  • Revoir la façon dont les renseignements sont recueillis.
  • Mener des sessions de sensibilisation et de formation et s'assurer que le matériel de formation est à jour.
  • Mettre à jour les politiques et les orientations afin de répondre aux exigences légales  politiques.
  • Effectuer des évaluations des facteurs relatifs à la vie privée (ÉFVP) et des évaluations des menaces et des risques.
  • Tenir compte de la vie privée avant de prendre des décisions d'adjudication de marchés ou d'accepter un accord d'échange d’information  contenant des renseignements personnels.
  • Obtenir des conseils du bureau de l'AIPRP sur la collecte, l’usage, la divulgation, la conservation ou la disposition des renseignements personnels.
  • Recommandations du bureau de première responsabilité (BPR) pour éviter que les atteintes se reproduisent.
  • L'AIPRP effectuera un suivi auprès du BPR afin d'assurer l'élaboration d'un plan pour atténuer les risques détectés pendant l'enquête et sa mise en œuvre.
  • Développement et mise en œuvre d'un plan de prévention des atteintes qui pourrait comprendre ce qui suit :
    • la vérification de la sécurité du matériel et des logiciels de technologie de l'information;
    • l'examen des politiques et procédures (p. ex., les politiques en matière de sécurité, les politiques de collecte et de conservation des dossiers) afin d'apporter des modifications reflétant les leçons apprises de l'enquête;
    • l'examen des pratiques de formation des employés;
    • l'examen des accords d’échange de renseignements.
  • Examen ou actualisation des évaluations des facteurs relatifs à la vie privée et des fichiers de renseignements personnels connexes.
  • Faire l’inventaire des dossiers contenant des renseignements personnels.
  • Veiller à ce qu’on dispose des documents d conformément aux autorisations de disposition de documents et aux politiques et procédures internes de gestion de l'information.
Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :