Rôles et responsabilités pour gérer une atteinte
Sur cette page
Afin de maintenir la confiance du public, le gouvernement doit protéger les renseignements personnels sous son contrôle en prévenant les atteintes à la vie privée et en réagissant de manière appropriée aux atteintes lorsqu’elles se produisent. Tous les employés et fonctionnaires du gouvernement ont un rôle à jouer dans la prévention et la réponse aux atteintes à la vie privée.
Groupes responsables de la gestion des atteintes
Les outils fournis dans cette trousse d’outils sont destinés à être utilisés par les groupes suivants :
- le bureau de première responsabilité (BPR) de l’institution, qui est le groupe qui découvre ou subit une atteinte à la vie privée;
- les responsables de la protection de la vie privée de l’institution, souvent rattachés au bureau d’accès à l’information et à la protection de la vie privée (AIPRP).
Bureau de première responsabilité
Bureau de première responsabilité
Le BPR est le groupe qui découvre ou subit une atteinte à la vie privée. L’annexe B de la Directive sur les pratiques relatives à la protection de la vie privée établit les responsabilités spécifiques des employés et des cadres supérieurs des BPR.
Les employés des BPR sont responsables de :
- contenir l’atteinte et sécuriser les renseignements personnels concernés;
- informer les responsables de la protection de la vie privée.
Les employés des BPR peuvent également être chargés par leurs cadres supérieurs de coordonner avec les responsables de la protection de la vie privée pour évaluer l’atteinte et déterminer et mettre en œuvre des mesures de prévention et d’atténuation des atteintes.
Les cadres et les agents principaux des BPR sont responsables de :
- aviser les tiers;
- coordonner avec les responsables de la protection de la vie privée pour évaluer l’atteinte et déterminer et mettre en œuvre des mesures de prévention et d’atténuation des atteintes;
- affecter un responsable du programme pour assurer la coordination avec les responsables de la protection de la vie privée tout au long du processus de gestion des atteintes.
Afin de se conformer à la Directive sur la gestion de la sécurité, les cadres et les agents principaux des BPR doivent également collaborer avec les responsables de la sécurité si un incident de sécurité est suspecté. Des incidents de sécurité différents impliquent des obligations de signalement différentes, et un incident de sécurité doit être signalé aux responsables de la sécurité compétents pour l’incident en question. Des informations sur les différents types de responsables de la sécurité et les moyens de signalement sont disponibles dans la directive sur la gestion de la sécurité - Annexe I : Norme sur le signalement des incidents de sécurité.
Responsables de la protection de la vie privée
Responsables de la protection de la vie privée
Les responsables de la protection de la vie privée sont chargés de créer des plans qui traitent les atteintes à la vie privée. Ces plans doivent établir des rôles et des responsabilités, des procédures internes et des communications pour les atteintes à la vie privée qui s’harmonisent avec les exigences de la Directive sur les pratiques relatives à la protection de la vie privée.
En cas d’atteinte à la vie privée, les responsables de la protection de la vie privée sont spécifiquement responsables de :
- évaluer les atteintes en collaboration avec les BPR;
- coordonner avec les responsables du BPR et de la Sécurité pour évaluer l’atteinte et déterminer et mettre en œuvre des mesures de prévention et d’atténuation des atteintes;
- tenir un registre des atteintes;
- signaler les atteintes substantielles à la vie privée au Secrétariat du Conseil du Trésor du Canada (SCT) et au Commissariat à la protection de la vie privée (le Commissariat).
Collaboration avec d’autres intervenants
La gestion et la prévention des atteintes à la vie privée impliqueront également un engagement auprès d’autres intervenants.
Tiers
Tiers
Une atteinte à la vie privée peut impliquer un tiers. Afin d’assurer la coordination en cas d’atteinte impliquant un tiers sous contrat, accord ou entente avec l’institution, les plans de l’institution pour traiter les atteintes à la vie privée devraient :
- inclure des mesures de coordination interne en cas d’atteinte par un tiers;
- indiquer quel groupe devrait gérer les communications avec le tiers – soit le BPR, l’unité de protection des renseignements personnels, ou l’unité d’approvisionnement ou de passation de marchés.
Responsables de la sécurité institutionnelle
Responsables de la sécurité institutionnelle
Une atteinte à la vie privée peut également impliquer un incident de sécurité. Si un incident de sécurité est suspecté, les responsables de la protection de la vie privée et les BPR doivent travailler avec les responsables de la sécurité de leur institution pour enquêter et gérer les événements liés à la sécurité.
Commissariat à la protection de la vie privée du Canada
Commissariat à la protection de la vie privée du Canada
Le Commissariat reçoit et examine les signalements d’atteintes substantielles à la vie privée. Après avoir examiné un rapport de l’atteinte, le Commissariat évaluera les risques ou les préjudices qu’une atteinte peut présenter pour les personnes concernées. Lors de son évaluation, le Commissariat peut contacter l’institution pour plus d’informations. Le Commissariat peut également communiquer avec une institution s’il prend connaissance d’une atteinte réelle ou potentielle à la vie privée par d’autres moyens, comme des signalements dans les médias.
Le Commissariat a le pouvoir de mener des enquêtes lorsqu’une plainte est reçue. Il peut également déposer lui-même une plainte. Le Commissariat s’engage souvent de manière informelle auprès d’une institution pour fournir des conseils sur la façon de gérer l’atteinte, y compris les avis aux personnes concernées et les solutions recommandées.
Direction des enquêtes spéciales et de la divulgation interne
Direction des enquêtes spéciales et de la divulgation interne
La Direction des enquêtes spéciales et de la divulgation interne (tpsgc.divulgations-disclosures.pwgsc@tpsgc-pwgsc.gc.ca) de Services publics et Approvisionnement Canada (SPAC) est chargée d’enquêter sur les atteintes à la vie privée qui impliquent des contrats avec des tiers gérées par SPAC. Cette direction est responsable de :
- veiller au respect des obligations contractuelles;
- coordonner avec l’institution touchée et les autres intervenants gouvernementaux pour faire avancer l’enquête sur l’incident;
- publier un rapport sur les conclusions et les enseignements tirés à la suite de l’enquête.
Secrétariat du Conseil du Trésor du Canada
Secrétariat du Conseil du Trésor du Canada
Le SCT reçoit et examine les rapports sur les atteintes substantielles à la vie privée. Selon la nature de l’atteinte, le SCT peut collaborer avec l’institution pour réagir et atténuer les incidences de l’atteinte.
Lorsqu’une atteinte à la vie privée touche plus d’une institution, le SCT est chargé de conseiller les institutions sur la gestion des atteintes qui nécessitent une réponse coordonnée.
Le SCT surveille et suit également les atteintes substantielles à la vie privée dans l’ensemble du gouvernement du Canada. Selon son analyse des atteintes, le SCT peut mettre à jour ses politiques, directives, orientations ou outils pour refléter les tendances émergentes.
Vue d’ensemble des rôles et responsabilités
Le tableau suivant décrit les responsabilités des différents groupes dans le processus de gestion des atteintes. « Responsable » indique que le groupe dans cette colonne est responsable de l’action indiquée sur cette ligne, tandis que « Non responsable » indique que le groupe dans cette colonne n’est pas le principal responsable de l’action indiquée sur la ligne.
Responsabilités | Employés des BPR | Cadres supérieurs et directeurs des BPR | Responsables de la protection de la vie privée |
---|---|---|---|
Contenir l’atteinte et sécuriser les renseignements personnels concernés | Responsable | Non responsable | Non responsable |
Informer les responsables de la protection de la vie privée | Responsable | Non responsable | Non responsable |
Aviser les tiers (si nécessaire) | Responsable | Responsable | Non responsable |
Coordonner avec les responsables de la sécurité (si nécessaire) | Non responsable | Responsable | Responsable |
Évaluer l’atteinte | Responsable | Responsable | Responsable |
Déterminer et mettre en œuvre des mesures d’atténuation | Responsable | Responsable | Responsable |
Aviser les personnes concernées (si nécessaire) | Non responsable | Responsable | Non responsable |
Signaler les atteintes substantielles à la vie privée au SCT et au Commissariat | Non responsable | Non responsable | Responsable |
Tenir un registre des atteintes à la vie privée | Non responsable | Non responsable | Responsable |
Détails de la page
- Date de modification :