Procéder à une évaluation préliminaire

Sur cette page

Instructions

Qui

Le bureau de première responsabilité (BPR) peut utiliser l’outil d’évaluation préliminaire pour documenter l’atteinte présumée et prendre des mesures pour la contenir. Souvent, l’employé qui a identifié l’atteinte effectuera l’évaluation.

Quoi

L’évaluation offre des conseils sur la manière de contenir une atteinte à la vie privée potentielle ou confirmée et d’atténuer son incidence.

Comment

  • Si l’une des questions suivantes pour évaluer une atteinte s’applique, examiner et mettre en oeuvre les mesures de confinement suggérées.
  • Cette page peut être imprimée et transmise à des responsables de la protection de la vie privée pour être utilisée dans leur évaluation.

Prochaines étapes

Une fois l’évaluation terminée, les BPR devrait :

  • suivre immédiatement les mesures de confinement recommandées;
  • remplir le Rapport préliminaire d’atteinte à la vie privée du BPR, ou la version du rapport de leur institution;
  • fournir le rapport dûment rempli aux responsables de la protection de la vie privée de leur institution (souvent situés au sein du bureau de l’AIPRP) et aux responsables de la sécurité, le cas échéant, dès que possible.

Les responsables de la protection de la vie privée de l’institution examineront l’évaluation et décideront si d’autres mesures sont nécessaires. Si les BPR ont besoin de conseils sur la mise en œuvre des mesures de confinement appropriées, ils peuvent contacter à tout moment les responsables de la protection de la vie privée ou de la sécurité de leur institution.

Questions pour évaluer une atteinte

1) Y a-t-il eu une communication inappropriée et non autorisée

Cela se produit lorsque des renseignements personnels sont communiqués par l’institution (y compris par des tiers agissant en vertu d’une entente, d’un accord ou d’un contrat avec l’institution), intentionnellement ou non, à un destinataire qui n’a pas le « besoin de connaître ».

Cette communication peut se produire à l’externe ou à l’intérieur d’une institution.

Exemples :

  • affichage accidentel de renseignements personnels aux employés (p. ex., dans une présentation PowerPoint ou à la suite d’autorisations d’accès trop larges).
  • dépersonnalisation partielle ou insuffisante avant de transmettre des renseignements personnels.
  • application incorrecte ou partielle de séparations ou de caviardages avant de divulguer des renseignements personnels.
  • les courriels mal acheminés qui ne sont pas suffisamment chiffrés.
Mesures de confinement suggérées

Mesures de confinement suggérées

  • Déterminer la source de l’atteinte (si elle est inconnue) et cesser toute activité entraînant la communication inappropriée.
  • Déterminer :
    • où ou à qui les informations à caractère personnel ont été divulguées.
    • si elle a été divulguée ultérieurement, y compris verbalement.
  • Demander aux destinataires de ne plus transmettre de renseignements, puis supprimer les renseignements personnels et fournir une confirmation une fois terminée.
Mesures de prévention et d’atténuation possibles

Mesures de prévention et d’atténuation possibles

  • Examiner les privilèges d’accès afin de veiller à ce que seules les personnes ayant « besoin de connaître » aient accès aux renseignements personnels.
  • Veiller à ce que les employés reçoivent une éducation et une formation sur les pratiques de gestion de l’information et le traitement des renseignements personnels.
  • Examiner la manière dont les informations sont anonymisées ou expurgées avant leur communication.

2) Y a-t-il eu un accès inapproprié et  non autorisé?

Cela se produit lorsqu’une partie non autorisée (c’est-à-dire une personne qui n’a pas le « besoin de connaître »), par ses propres actions, accède à des renseignements personnels.

Leurs actions peuvent être intentionnelles ou non.

Exemples :

  • un employé fouineur ou tout autre abus des privilèges d’accès.
  • des cyberattaques, par exemple, un rançongiciel, un logiciel malveillant.
Mesures de confinement suggérées

Mesures de confinement suggérées

  • Restreindre immédiatement l’accès aux renseignements personnels.
  • Déterminer :
    • la source de l’accès non autorisé.
    • si des renseignements personnels ont été enregistrés par la partie non autorisée; si tel est le cas, demander que toute information enregistrée soit supprimée et qu’une confirmation soit fournie.
  • Déterminer si des renseignements personnels ont ensuite été divulgués à d’autres (verbalement ou par des copies); si oui, tenter de récupérer ou de faire détruire tout document en question.
  • Si l’atteinte peut constituer un incident de sécurité, contacter les groupes de sécurité ou de cybersécurité de votre institution.
Mesures de prévention et d’atténuation possibles

Mesures de prévention et d’atténuation possibles

  • Réaliser un audit de sécurité pour la sécurité de la technologie de l’information.
  • Mettre en œuvre un chiffrement.
  • Mettre en place des pistes de suivi et de vérification.

3) Y a-t-il eu une perte de renseignements personnels?

Cela se produit lorsque l’institution perd le contrôle des renseignements personnels par les actions de ses employés ou partenaires, de sorte que l’institution ne conserve plus l’accès aux renseignements personnels.

Une perte peut entraîner l’accès ou le contrôle d’une partie non autorisée aux renseignements. La perte est involontaire de la part de l’institution et du bénéficiaire.

Exemples :

  • livraison du courrier à la mauvaise adresse.
  • élimination ou vente d’équipements ou d’appareils sans d’abord les purger de leurs renseignements personnels.
  • perte de matériel ou de dossiers lors d’un déménagement ou par égarement.
Mesures de confinement suggérées

Mesures de confinement suggérées

  • Essayer de revenir en arrière et trouver :
    • les documents perdus.
    • la personne ou les personnes à qui des renseignements personnels peuvent avoir été divulgués.
  • Tenter de récupérer les renseignements personnels (comme le rappel de courriel, le retour de fichiers ou d’équipement).
  • Lorsque la récupération des renseignements n’est pas possible, demander au destinataire de :
    • disposer de manière appropriée des renseignements personnels.
    • fournir une confirmation une fois terminé.
  • Déterminer si des renseignements personnels ont été divulgués ultérieurement à d’autres, verbalement ou par des copies.
  • Faire un registre des renseignements personnels qui ont été ou pourraient avoir été perdus.
Mesures de prévention et d’atténuation possibles

Mesures de prévention et d’atténuation possibles

  • Veiller à ce que les employés reçoivent une éducation et une formation sur les pratiques de gestion de l’information et le traitement des renseignements personnels.
  • Veiller à ce que les documents soient éliminés conformément aux autorisations de disposition des documents et aux politiques et procédures internes de gestion de l’information.

4) Y a-t-il eu un vol de renseignements personnels?

Cela se produit lorsqu’une partie non autorisée prend intentionnellement le contrôle de renseignements personnels de sorte que l’institution n’y a plus accès.

Voici quelques exemples :

  • vol d’équipement ou d’appareil insuffisamment chiffrés.
  • retrait des dossiers papier de l’institution.
Mesures de confinement suggérées

Mesures de confinement suggérées

Communiquer immédiatement avec vos groupes de sécurité institutionnelle ou de cybersécurité.

Mesures de prévention et d’atténuation possibles

Mesures de prévention et d’atténuation possibles

  • Effectuer une évaluation de la sécurité et accorder une autorisation.
  • Effectuer un audit de sécurité pour la sécurité matérielle.

5) Un autre type d’atteinte s’est-il produit?

D’autres types d’atteintes incluent la collecte, la création, l’usage, la conservation ou le retrait inapproprié.

Voici quelques exemples :

  • collecter ou créer des renseignements personnels qui ne sont pas directement liés à un programme ou à une activité (p. ex., collecte excessive par inadvertance de renseignements personnels).
  • utiliser des renseignements personnels à des fins non autorisées.
  • supprimer ou éliminer accidentellement ou prématurément de renseignements personnels.
  • ne pas éliminer les renseignements personnels conformément aux calendriers d’élimination établis.
Mesures de confinement suggérées

Mesures de confinement suggérées

Les mesures de confinement dépendront des circonstances. Cependant, en général, des efforts immédiats doivent être déployés pour :

  • cesser toute activité qui a causé l’atteinte afin de veiller à ce qu’aucun autre renseignement personnel ne soit touché.
  • sécuriser les renseignements personnels touchés par l’atteinte.
  • communiquer avec votre groupe de gestion de l’information institutionnelle, le cas échéant.
Mesures de prévention et d’atténuation possibles

Mesures de prévention et d’atténuation possibles

  • Mener ou examiner les évaluations des facteurs relatifs à la vie privée.
  • Renforcer l’engagement auprès des responsables de la protection de la vie privée sur la collecte, l’usage, la communication, la conservation et le retrait des renseignements personnels.

Détails de la page

Date de modification :