Communiquer les atteintes à la vie privée en interne

Haute direction

Il est recommandé que plus les risques posés par l’atteinte sont grands, plus l’atteinte doit être transmise à l’échelon supérieur au sein de l’institution. Par exemple, une atteinte à la vie privée qui présente un niveau de risque négligeable peut n’avoir qu’à être portée à l’attention du gestionnaire ou du directeur du programme. Une atteinte présentant un niveau de risque élevé nécessitera probablement d’informer les hauts fonctionnaires et peut-être le ministre.

Les informations importantes qui doivent être fournies lors de la transmission à l’échelon supérieur incluent :

• les unités de travail touchées par l’atteinte;
• la date à laquelle l’atteinte s’est produite (ou si elle est inconnue, la date à laquelle l’atteinte a été découverte);
• une brève description de l’atteinte (p. ex., les circonstances, les informations et les personnes touchées);
• toute mesure de confinement prise;
• le niveau de risque de l’atteinte, y compris un aperçu de l’évaluation du préjudice individuel et une évaluation indiquant si elle est considérée comme substantielle;
• étapes suivantes :
  • en cas d’atteinte substantielle à la vie privée, le responsable délégué à la protection de la vie privée de l’institution doit signaler l’atteinte au Commissariat à la protection de la vie privée (le Commissariat) et au Secrétariat du Conseil du Trésor du Canada (SCT);
  • l’obligation d’aviser les personnes touchées par l’atteinte, ou bien d’aviser le SCT et le Commissariat de la raison pour ne pas aviser les personnes;
  • le droit des personnes touchées de porter plainte auprès du Commissariat et la possibilité d’une enquête du Commissariat;
  • actions pour empêcher la récurrence de l’atteinte.

Sécurité et cybersécurité

Les atteintes à la vie privée sont souvent causées par des incidents de sécurité ou de cybersécurité ou sont impliquées dans un incident. Par conséquent, la communication entre les responsables de la protection de la vie privée des institutions et les responsables de la sécurité est un élément important de la gestion des atteintes à la vie privée. Bien que les responsables de la protection de la vie privée soient responsables de la coordination avec les responsables de la sécurité et de la cybersécurité en cas d’atteinte à la vie privée, une étroite collaboration entre le BPR et les responsables de la sécurité est également importante.

Un incident de sécurité est défini dans la Politique sur la sécurité du gouvernement comme « un événement (ou ensemble d’événements), un acte, une omission ou une situation qui a entraîné une compromission ».

Une compromission est, à son tour, définie comme « une violation de la sécurité du gouvernement ». Ces activités comprennent notamment les suivantes :

• communication, la modification, l’utilisation, l’élimination ou la destruction de renseignements ou d’actifs de nature délicate, qui pourraient occasionner une perte de confidentialité, d’intégrité, de disponibilité ou de valeur;
• tout agissement, comportement, menace ou geste d’une personne à l’égard d’un employé à son lieu de travail, ou d’une personne au sein d’une installation fédérale qui a causé un dommage ou un préjudice à cet employé ou à cette personne;
• des événements qui engendrent la perte d’intégrité ou de disponibilité des services ou des activités du gouvernement.

Un incident de cybersécurité constitue toute tentative non autorisée, réussie ou non, d’accéder, de modifier, de détruire, de supprimer ou de rendre indisponible un réseau informatique ou une ressource système. Voir Avis de mise en œuvre de la protection des renseignements personnels 2022-01 : Incidents de cybersécurité mettant en cause des renseignements personnels pour obtenir de plus amples détails.

Services juridiques

L’unité des services juridiques de l’institution devrait être informée au cours de la phase de coordination et d’évaluation si l’atteinte présente un risque de litige ou d’autre préjudice juridique. Les services juridiques devraient également assurer la liaison avec les responsables de l’approvisionnement si l’atteinte implique des risques juridiques liés à un contrat.

Communications

Si une atteinte à la vie privée est ou pouvait devenir une question d’intérêt public, les responsables des communications devraient être avisés d’être prêts à répondre aux questions du public, des médias ou des parlementaires.

Bien que de nombreux facteurs puissent faire en sorte qu’une atteinte à la vie privée devienne une question d’intérêt public, le niveau de risque de l’atteinte devrait être pris en compte. Il est recommandé que les responsables des communications soient informés de toute atteinte présentant un niveau de risque moyen ou élevé et reçoivent les informations et les documents demandés.

Ressources humaines

Une institution peut déterminer que les mesures de prévention appropriées comprennent des mesures correctives concernant le rôle d’un employé dans une atteinte à la vie privée. Si tel est le cas, l’unité des ressources humaines de l’institution devrait être consultée.

Passation de marchés et approvisionnement

Si l’atteinte à la vie privée touche des renseignements personnels détenus par un partenaire contractuel au nom de l’institution, le groupe institutionnel responsable de la passation de marchés ou de l’approvisionnement devrait en être informé. Ils peuvent être en mesure d’aider à déterminer si des atteintes à des contrats ont eu lieu et quelles options de gestion de l’atteinte sont disponibles pour l’institution.

Si Services publics et Approvisionnement Canada (SPAC) gère le contrat, alerter la Direction des enquêtes spéciales et de la divulgation interne de SPAC au tpsgc.divulgations-disclosures.pwgsc@tpsgc-pwgsc.gc.ca. Ce groupe doit :

• enquêter sur les atteintes à la vie privée impliquant des sous-traitants tiers;
• veiller au respect des obligations contractuelles;
• se coordonner avec l’institution touchée et les autres intervenants gouvernementaux pour faire avancer l’enquête sur une atteinte à la vie privée.