Effectuer une évaluation complète de l’atteinte
Sur cette page
Réaliser une évaluation complète
Une fois qu’une atteinte potentielle est identifiée et contenue, le responsable délégué à la protection de la vie privée de l’institution devra déterminer si une évaluation complète est nécessaire.
L’évaluation permet de déterminer :
- les mesures d’atténuation et de prévention appropriées;
- si l’atteinte est importante et doit être signalée au Commissariat à la protection de la vie privée (le Commissariat) et au Secrétariat du Conseil du Trésor du Canada (SCT).
Conseil sur la protection de la vie privée
À moins que le bureau de première responsabilité (BPR) ne fournisse suffisamment d’informations dans son évaluation préliminaire pour exclure une atteinte substantielle et déterminer les mesures d’atténuation et de prévention appropriées, une évaluation complète de l’atteinte sera probablement nécessaire.
Au minimum, une évaluation complète de l’atteinte doit documenter :
- les circonstances qui ont donné lieu à l’atteinte;
- un registre des renseignements personnels qui ont été touchés;
- les personnes dont les renseignements personnels ont été touchés;
- le secteur institutionnel ou le tiers, le cas échéant, qui a joué un rôle direct ou indirect dans le traitement des renseignements personnels impliqués dans l’atteinte;
- le risque de préjudice pour les personnes touchées et l’institution;
- si l’atteinte constitue une atteinte substantielle à la vie privée.
Une évaluation complète peut être effectuée en utilisant :
- La liste de contrôle du BPR sur les atteintes à la vie privée
- L’outil d’évaluation des risques d’atteinte à la vie privée des responsables de la protection de la vie privée
Liste de contrôle du BPR sur les atteintes à la vie privée
Un responsable du programme du BPR devrait être chargé d’évaluer et de documenter l’atteinte. Le responsable du programme peut utiliser la liste de contrôle sur les atteintes à la vie privée pour effectuer son évaluation.
Le responsable du programme assigné doit :
- ne pas être impliqué dans l’atteinte de quelque manière que ce soit;
- être généralement un gestionnaire ou un superviseur.
Conseil sur la protection de la vie privée
Afin de veiller à ce que la liste de vérification soit remplie en temps opportun, il est recommandé que le responsable délégué à la protection de la vie privée de l’institution fournisse un délai en fonction de la gravité potentielle de l’atteinte. Par conséquent, les plans des institutions pour répondre aux atteintes à la vie privée devraient indiquer spécifiquement un délai pour remplir la liste de contrôle.
Outil d’évaluation des risques d’atteinte à la vie privée des responsables de la protection de la vie privée
Selon les informations fournies par le BPR dans la liste de contrôle sur les atteintes à la vie privée, un responsable de la protection de la vie privée effectuera une évaluation des risques de l’atteinte pour mieux comprendre l’incidence sur les personnes touchées et l’institution.
Coordination avec les autres intervenants
Selon le type et la nature de l’atteinte, le BPR et les responsables de la protection de la vie privée peuvent avoir besoin de se coordonner avec divers autres intervenants pour effectuer l’évaluation complète.
Responsables de la sécurité
Responsables de la sécurité
S’il y a un incident de sécurité soupçonné, le BPR et le responsable délégué de la protection de la vie privée doivent se coordonner avec le chef de la sécurité de l’institution pour évaluer l’atteinte à la vie privée et enquêter sur l’incident de sécurité.
Cela permet de veiller à ce que les causes et les implications de l’atteinte de la vie privée soient pleinement comprises et documentées. Par exemple, dans le cas d’un accès non autorisé à des renseignements personnels, une analyse de sécurité peut révéler la cause de l’atteinte, telle qu’une vulnérabilité technologique, et l’étendue d’un accès non autorisé, ce qui peut être important pour déterminer le risque posé par l’atteinte.
Tiers
Tiers
Pour les atteintes qui touchent les renseignements personnels détenus par des tiers dans le cadre d’un contrat, d’un accord ou d’une entente avec l’institution, le BPR et le responsable délégué à la protection de la vie privée peuvent demander que le tiers remplisse la liste de contrôle sur les atteintes à la vie privée.
Les tiers doivent fournir suffisamment de détails pour faciliter l’évaluation de l’ atteinte. Si le responsable délégué à la protection de la vie privée n’est pas convaincu que les renseignements fournis par le tiers satisfont aux exigences de la Directive sur les pratiques relatives à la protection de la vie privée, l’institution fédérale peut demander que le tiers fournisse un accès suffisant aux fonds de renseignements personnels pour effectuer sa propre évaluation. Les contrats avec des tiers doivent inclure une disposition qui traite de cette obligation en cas d’atteinte à la vie privée potentielle ou confirmée.
Services publics et Approvisionnement Canada
Services publics et Approvisionnement Canada
Pour les atteintes qui touchent les renseignements personnels détenus par des tiers dans le cadre d’un contrat géré par Services publics et Approvisionnement Canada (SPAC), l’institution doit se coordonner avec la Direction des enquêtes spéciales et de la divulgation interne de SPAC afin de veiller à ce que l’atteinte soit correctement évaluée et documentée.
Commissariat à la protection de la vie privée du Canada et Secrétariat du Conseil du Trésor du Canada
Commissariat à la protection de la vie privée du Canada et Secrétariat du Conseil du Trésor du Canada
À ce stade, le responsable délégué à la protection de la vie privée de l’institution peut souhaiter aviser de manière informelle le Commissariat et le SCT d’une possible atteinte substantielle à la vie privée. Les institutions doivent officiellement signaler toute atteinte substantielle à la vie privée au SCT et au le Commissariat au plus tard sept jours après que l’institution a déterminé qu’une atteinte est substantielle.
Liens connexes
Détails de la page
- Date de modification :