Mettre en œuvre les mesures préventives
Sur cette page
Les mesures visant à empêcher qu’une nouvelle atteinte ne se reproduise peuvent prendre deux formes :
- mesures correctives pour remédier au rôle d’une personne dans une atteinte à la vie privée.
- modifications aux processus internes ou aux mesures de protection pour remédier à une lacune révélée par une atteinte à la vie privée.
Selon les circonstances de l’atteinte et sa gravité, une ou les deux mesures peuvent être appropriées.
Aborder le rôle d’un individu
Les actions correctives visant à remédier au rôle d’un individu devrait être déterminées au cas par cas. En règle générale, pour une infraction moins grave, comme le fait de ne pas fermer la séance d’un ordinateur contenant des renseignements personnels, la réponse appropriée peut être la formation ou le mentorat. Des infractions plus graves ou des atteintes multiples peuvent justifier une réponse plus sérieuse.
Exemples de mesures correctives
- mesures disciplinaires (orale ou écrite)
- formation et sensibilisation
- encadrement et/ou mentorat
- révocation de certains privilèges et de l’accès aux systèmes et aux dossiers
- révocation de l’autorisation de sécurité
- réaffectation (transfert ou déploiement)
- suspension
- licenciement
Mesures disciplinaires
Dans les cas où l’atteinte est le résultat d’une faute si grave que la relation employé-employeur est irrévocablement endommagée, des mesures disciplinaires pouvant aller jusqu’au licenciement ou au retrait de l’organisation peuvent être la mesure la plus appropriée. Les responsables de la protection de la vie privée et des programmes doivent consulter les ressources humaines et/ou les relations de travail lorsqu’ils envisagent des mesures disciplinaires.
Les situations pouvant justifier des mesures administratives ou disciplinaires comprennent :
- défaut de mettre en œuvre et de maintenir des mesures de sécurité pour les renseignements personnels dont un individu est responsable, que cette action entraîne ou non une atteinte de la vie privée;
- dépassement de l’accès autorisé aux renseignements personnels ou communication intentionnelle de renseignements personnels à des personnes non autorisées;
- omission de signaler la perte de contrôle ou la communication non autorisée réelle ou présumée de renseignements personnels;
- pour les gestionnaires et les superviseurs :
- défaut d’instruire, de former ou de superviser adéquatement les individus sous leurs responsabilités;
- défaut de prendre les mesures appropriées conformément aux exigences de traitement des renseignements personnels lors de la découverte d’une atteinte;
- défaut de mettre en œuvre et de maintenir les mesures de sécurité requis;
- défaut d’empêcher une atteinte de se produire.
Principales considérations
Lorsqu’ils envisagent des mesures disciplinaires à l’encontre d’un employé, le bureau de première responsabilité (BPR) et les responsables de la protection de la vie privée devraient :
- impliquer les ressources humaines et/ou les relations de travail de l’institution;
- consulter les Lignes directrices concernant la discipline du Secrétariat du Conseil du Trésor du Canada (SCT) et toute politique ou procédure institutionnelle.
Lorsqu’une atteinte à la vie privée touche des renseignements personnels détenus par un tiers, comme un entrepreneur, au nom de l’institution, l’institution devrait :
- alerter la Direction des enquêtes spéciales et de la divulgation interne de Services publics et Approvisionnement Canada (SPAC) (tpsgc.divulgations-disclosures.pwgsc@tpsgc-pwgsc.gc.ca). Si SPAC gère le contrat, il enquête sur les atteintes à la vie privée impliquant des sous-traitants tiers;
- déterminer, en consultation avec les responsables de la protection de la vie privée et l’autorité opérationnelle de l’institution, quelles mesures peuvent être prises par l’institution conformément aux conditions du contrat.
Modifier des processus internes et des mesures de protection
Des changements aux processus internes ou aux mesures de protection peuvent être nécessaires pour remédier aux lacunes qui exposent l’institution à d’autres atteintes à la vie privée.
Ces changements sont importants, notamment lorsque :
- l’évaluation de l’atteinte révèle les points faibles des plans et des pratiques du BPR ou de l’institution;
- plusieurs atteintes ont une même cause similaire.
Exemples de changements apportés aux processus internes et aux mesures de protection
- revoir la manière dont les renseignements sont collectés;
- veiller à ce que les employés reçoivent une éducation et une formation;
- mener ou examiner des évaluations des facteurs relatifs à la vie privée ou des évaluations et des autorisations de sécurité;
- réviser ou résilier des contrats ou des accords si l’atteinte s’est produite au sein d’un tiers;
- renforcer l’engagement auprès des responsables de la protection des renseignements personnels sur la collecte, l’usage, la communication, la conservation et la destruction des renseignements personnels;
- entreprendre un audit de sécurité pour la sécurité physique et informatique;
- mettre en œuvre un chiffrement;
- mettre en place des pistes de suivi et de vérification;
- monter un registre des dossiers contenant des renseignements à caractère personnel;
- veiller à ce que les documents soient éliminés conformément aux autorisations de disposition des documents et aux politiques et procédures internes de gestion de l’information;
- les responsables de la protection de la vie privée envisagent des mesures telles que :
- mettre à jour les politiques et les directives pour répondre aux exigences juridiques et politiques;
- examiner et mettre à jour les plans de l’institution pour traiter les atteintes à la vie privée;
- revoir les pratiques de formation des employés.
Mesures supplémentaires
Les institutions devraient également respecter les pratiques suivantes pour prévenir les atteintes à la vie privée :
- avant de prendre des décisions contractuelles, consulter le Document d’orientation : Prise en compte de la protection des renseignements personnels avant de conclure un marché;
- avant de communiquer des renseignements personnels à une autre institution fédérale ou entité du secteur public, consulter le Document d’orientation pour aider à préparer des Ententes d’échange de renseignements personnels;
- veiller à ce que le personnel travaillant hors site soit conscient de ses responsabilités en matière de protection de la vie privée et de sécurité, notamment :
- veiller à ce que des mesures appropriées soient prises pour protéger les renseignements personnels que le personnel traite hors site;
- conserver les renseignements personnels en interne lorsque le télétravail ou des arrangements similaires impliqueraient des risques considérables pour la vie privée (p. ex., un grand volume de renseignements personnels ou de données personnelles sensibles);
- utiliser le cryptage pour protéger les renseignements personnels sensibles stockées dans un ordinateur ou un périphérique de stockage portable ou transmis par courriel, sur un réseau gouvernemental, un réseau sans fil ou sur Internet (voir la Politique sur la sécurité du gouvernement);
- éviter d’envoyer des renseignements personnels par télécopie (fax) à moins que cela ne soit absolument nécessaire; si des renseignements personnels doivent être télécopiés, consulter la section Tenez compte des risques : Transmission de renseignements personnels par télécopieur.
Détails de la page
- Date de modification :