Identifier et contenir l’atteinte
Sur cette page
Identifier l’atteinte
Une atteinte à la vie privée est la création, la collecte, l’usage, la communication, la conservation ou le retrait inappropriée ou non autorisée de renseignements personnels ou accès inapproprié ou non autorisé aux renseignements personnels.
Dès qu’une atteinte à la vie privée potentielle ou confirmée est découverte, les employés doivent immédiatement la contenir et en aviser leurs responsables de la protection de la vie privée.
Conseil sur la protection de la vie privée
Lorsque vous traitez une atteinte à la vie privée, veillez à ne prendre aucune mesure susceptible d’aggraver la situation ou d’entraîner une nouvelle atteinte (p. ex., en communiquant des renseignements personnels supplémentaires).
Une atteinte à la vie privée peut impliquer un incident de sécurité, qui doit être signalé aux responsables de la sécurité des institutions.
Une atteinte à la vie privée peut aussi impliquer un tiers. Afin d’assurer la coordination en cas d’atteinte impliquant un tiers sous contrat, accord ou entente avec l’institution, les plans de l’institution pour traiter les atteintes à la vie privée devraient :
- inclure des mesures de coordination interne en cas d’atteinte par un tiers;
- indiquer quel groupe devrait gérer les communications avec le tiers – soit le BPR, l’unité de protection des renseignements personnels, ou l’unité d’approvisionnement ou de passation de marchés.
Pour obtenir de plus amples renseignements sur les atteintes à la vie privée, de même que des exemples de scénarios pouvant constituer une atteinte à la vie privée, se reporter à la section Identifier et contenir une atteinte à la vie privée : définitions et scénarios.
Contenir l’atteinte
Une fois qu’une atteinte potentielle a été identifiée, le bureau de première responsabilité (BPR) doit déterminer et mettre en œuvre des mesures de confinement. À ce stade, les BPR peuvent également envisager des mesures d’atténuation et de prévention potentielles à mettre en œuvre.
Tout en contenant une atteinte de la vie privée, le BPR doit documenter tous les détails qui ont conduit à l’atteinte et un registre des renseignements personnels compromis. Cette étape doit être effectuée le plus rapidement et le plus largement possible. Les BPR devront probablement consulter les responsables de la sécurité et de la technologie de l’information de l’institution, et se coordonner avec eux pour mettre en œuvre des mesures de confinement.
Si l’atteinte se produit au sein d’un tiers qui crée, collecte, utilise, communique, conserve ou retrait des renseignements personnels dans le cadre d’un contrat, d’un accord ou d’une entente avec l’institution fédérale, le BPR doit veiller à ce que le tiers prenne les mesures de confinement appropriées dans la mesure du possible.
S’il existe des preuves que l’atteinte peut toucher plusieurs institutions ou nécessiter une action coordonnée, les responsables de la protection de la vie privée doivent en informer immédiatement le SCT.
Informer les responsables de la protection de la vie privée
Une fois l’atteinte contenue, les BPR doivent en aviser les responsables de la protection de la vie privée de leur institution de la date, de l’heure et du lieu de l’atteinte. Les BPR devront fournir une brève description de l’atteinte, qui comprend au minimum :
- le type de renseignements personnels concernés;
- le nombre de personnes potentiellement concernées;
- toute mesure de confinement prise.
Le BPR peut utiliser le formulaire de rapport préliminaire d’atteinte à la vie privée du BPR pour aviser ses responsables de la protection de la vie privée.
Une fois que les responsables de la protection de la vie privée ont été informés de l’atteinte potentielle, ils confirmeront si une atteinte s’est produite et le niveau d’évaluation de l’atteinte requis. Un responsable de la protection de la vie privée devrait alors être désigné pour aider à documenter l’atteinte de la vie privée et fournir un soutien et des conseils au BPR. Le BPR doit fournir le rapport aux responsables de la sécurité si un incident de sécurité s’est produit.
Conseil sur la protection de la vie privée
En cas d’atteinte à la vie privée d’un tiers, l’institution peut demander que le tiers remplisse le rapport.
Outils et guides
Liens connexes
Détails de la page
- Date de modification :