Signaler et empêcher une nouvelle atteinte
Sur cette page
Mettre en œuvre les mesures préventives
Le bureau de première responsabilité (BPR) d’une institution est chargé de déterminer et de mettre en œuvre les mesures de prévention appropriées après qu’une atteinte à la vie privée s’est produite afin de réduire le risque qu’elle se reproduise. Le BPR est tenu de se coordonner avec les responsables de la protection de la vie privée pour déterminer les mesures nécessaires.
Il existe deux principales formes de mesures de prévention :
- mesures correctives pour remédier au rôle d’une personne dans une atteinte à la vie privée.
- modifications aux processus internes ou aux mesures de protection pour remédier à une lacune révélée par une atteinte à la vie privée.
Ces mesures :
- peuvent devoir être développées avec d’autres secteurs au sein de l’institution, telle que les ressources humaines et les unités de sécurité;
- peuvent varier en fonction de la gravité de l’atteinte et de tout facteur atténuant ou aggravant;
- doivent être mises en œuvre dans un délai raisonnable, qui dépendra de la mesure; par exemple, la révocation de l’accès d’un employé à des renseignements personnels devrait se produire rapidement, tandis qu’entreprendre un audit de sécurité prendra plus de temps.
Conseil sur la protection de la vie privée
La loi habilitante de certaines institutions comprend un code de confidentialité, comme Emploi et Développement social Canada, qui prévoit des sanctions punitives pour les employés qui communiquent intentionnellement des renseignements personnels.
Signaler une atteinte substantielle
Les institutions doivent signaler une atteinte substantielle à la vie privée au Commissariat à la protection de la vie privée du Canada (le Commissariat) et au Secrétariat du Conseil du Trésor du Canada (SCT). Le responsable délégué à la protection de la vie privée peut aviser officiellement le Commissariat et le SCT d’une atteinte substantielle à la vie privée à tout moment pendant le processus de gestion de l’atteinte, mais un rapport officiel est toujours requis.
Quand signaler
Le responsable délégué à la protection de la vie privée doit signaler toute atteinte substantielle à la vie privée au Commissariat et au SCT après avoir déployé des efforts pour contenir, évaluer et atténuer l’atteinte, mais au plus tard sept jours après que l’institution a déterminé qu’une atteinte est substantielle.
Compte tenu de ce délai, l’institution signalera probablement officiellement l’atteinte au Commissariat et au SCT dès que des mesures de prévention appropriées auront été déterminées, mais pas encore mises en œuvre. Les institutions qui ont subi une atteinte substantielle doivent utiliser le formulaire de signalement en ligne d’une atteinte du Commissariat à la protection de la vie privée du Canada ou le formulaire pdf accessible de rapport d’atteintes substantielles à la vie privée en vertu de la Loi sur la protection des renseignements personnels. Pour obtenir de meilleurs résultats, téléchargez et ouvrez le formulaire pdf dans Adobe Reader, Foxit PDF Editor ou Kofax Power PDF et activez JavaScript pour ce document.
Conserver des registres
Les responsables de la protection de la vie privée doivent tenir un registre de toutes les atteintes à la vie privée. Le suivi et la surveillance des atteintes à la vie privée au sein de l’institution sont essentiels afin de veiller à ce que l’institution soit responsable des atteintes à la vie privée qui se produisent et qu’elle puisse prendre des mesures pour réduire la probabilité de nouvelles atteintes.
Le dossier de l’atteinte à la vie privée doit inclure, au minimum :
- la date de l’atteinte ou la période au cours de laquelle elle s’est produite;
- une description générale des circonstances de l’atteinte et de la nature des informations impliquées;
- l’évaluation complète de l’atteinte, si elle a été entreprise;
- dans le cas d’une atteinte substantielle à la vie privée, le rapport fourni au Commissariat et au SCT.
Durée
Le responsable délégué à la protection de la vie privée d’une institution doit conserver un dossier de chaque atteinte à la vie privée pendant cinq ans après que l’institution a découvert l’atteinte.
Outil de tenue de registres et d’analyse des tendances
L’outil de tenue de registres et d’analyse des tendances des responsables de la protection de la vie privée peut être utilisé pour tenir un registre des atteintes à la vie privée au sein de l’institution. L’outil peut également être utilisé pour déterminer les tendances en matière d’atteintes à la vie privée et la manière dont elles sont gérées. La collecte et l’examen de ces informations peuvent aider à définir les modèles sous-jacents et guider les améliorations des pratiques et des politiques de la protection de la vie privée.
Liens connexes
Détails de la page
- Date de modification :