Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Effectuer une évaluation des risques de l’atteinte de la vie privée

Instructions

Qui

Les responsables de la protection de la vie privée peuvent utiliser l’outil d’évaluation des risques pour effectuer l’évaluation complète d’une atteinte à la vie privée.

Quoi

Cet outil peut être utilisé pour évaluer et documenter les risques posés par une atteinte à la vie privée pour les personnes dont les renseignements ont été touchés, ainsi que tout risque pour l’institution, dans le cadre d’une évaluation exhaustive de l’atteinte.

L’objectif de l’évaluation est de :

  • déterminer si l’atteinte constitue une atteinte substantielle à la vie privée;
  • attribuer un niveau de risque à l’atteinte de la vie privée.

Quand

Une fois que le responsable délégué à la protection de la vie privée a été informé d’une atteinte potentielle ou confirmée à la vie privée par le bureau de première responsabilité (BPR), il déterminera si une évaluation complète est nécessaire en tenant compte de la gravité de l’atteinte et le risque de préjudice potentiel pour les personnes concernées.

Il peut être utile de commencer l’évaluation des risques après que le BPR a rempli la liste de contrôle sur les atteintes à la vie privée, afin que les responsables de la protection de la vie privée puissent utiliser les informations de la liste de contrôle pour guider leur évaluation des risques.

Conseil sur la protection de la vie privée

Le niveau de risque d’une atteinte peut changer lorsque de plus amples renseignements sur l’atteinte deviennent disponibles et des mesures d’atténuation sont mises en œuvre. L’évaluation est destinée à produire un instantané dans le temps qui facilite le processus d’atténuation, de communication, de signalement et de prévention d’une nouvelle atteinte. Il n’est pas nécessaire de réviser le niveau de risque pour tenir compte des mesures prises par la suite.

Comment

Être objectif

Au cours de cette évaluation, le responsable de la protection de la vie privée doit utiliser un test objectif, c’est-à-dire une évaluation de la manière dont une personne raisonnable réagirait dans des circonstances similaires si des renseignements personnels identiques étaient divulgués de manière inappropriée.

Tenir compte de la sensibilité

Pour déterminer le préjudice potentiel, il est important de tenir compte de la sensibilité des renseignements personnels en cause. En général, plus l’information est sensible, plus le préjudice potentiel est important.

Réfléchir au contexte

Le contexte est également important lorsque l’on prend en considération les préjudices potentiels. Par exemple, les noms d’individus isolés peuvent n’entraîner qu’un faible niveau de préjudice potentiel. Cependant, si les noms de ces personnes reviennent également sur une liste de candidats à un programme de soutien du revenu, plus d’informations sur les personnes sont révélées et pourraient entraîner un niveau de préjudice potentiel plus élevé si l’on prend en considération qu’il s’agit d’une atteinte à la vie privée.

Étape 1 : Télécharger une copie de l’outil d’évaluation des risques d’atteinte à la vie privée.

Outil d’évaluation des risques d’atteinte de la vie privée
(DOC, 60 KO)

Lors de l’utilisation de cet outil, les responsables de la protection de la vie privée devrait :

  • se reporter aux informations fournies dans la liste de contrôle sur les atteintes à la vie privée du BPR remplie;
  • demander des renseignements et des éclaircissements au BPR au besoin.

Étape 2 : Évaluer le risque pour les individus.

Le niveau de risque associé à une atteinte à la vie privée est déterminé en évaluant :

  • le préjudice potentiel de l’atteinte;
  • la probabilité que le préjudice se concrétise.

Étape 3 : Évaluer le risque pour l’institution.

Le niveau de risque associé à une atteinte à la vie privée est déterminé en évaluant :

  • le préjudice potentiel de l’atteinte;
  • la probabilité que le préjudice se concrétise.

Étape 4 : Déterminer si l’atteinte est substantielle.

Déterminer si une atteinte constitue une atteinte substantielle à la vie privée dépend de l’évaluation des risques posés à l’individu ou aux individus. Lors de l’évaluation des risques pour les individus, tout niveau de risque moyen ou élevé doit être classé et traité comme une atteinte substantielle à la vie privée.

Conseil sur la protection de la vie privée

Une atteinte substantielle à la vie privée est une atteinte dont on peut raisonnablement s’attendre à ce qu’elle crée un risque réel de préjudice grave pour une personne. Les préjudices grave comprennent les lésions corporelles, l’humiliation, les dommages à la réputation ou aux relations, la perte d’emploi, de possibilités commerciales ou professionnelles, les pertes financières, le vol d’identité, les effets négatifs sur le dossier de crédit et les dommages ou la perte de biens.

Étape 5 : Attribuer un niveau de risque à l’atteinte de la vie privée.

Le niveau général de risque associé à une atteinte à la vie privée est déterminé en évaluant à la fois le risque pour les personnes et le risque pour l’institution. Pour le niveau de risque général de l’atteinte, indiquer le niveau de risque le plus élevé produit à l’aide de l’outil. Peu importe que le risque soit pour les individus ou pour l’institution.

Détails de la page

Date de modification :