Rôles et responsabilités pour gérer une atteinte

Bureau de première responsabilité

Le BPR est le groupe qui découvre ou subit une atteinte à la vie privée. L’annexe B de la Directive sur les pratiques relatives à la protection de la vie privée établit les responsabilités spécifiques des employés et des cadres supérieurs des BPR.

Les employés des BPR sont responsables de :

• contenir l’atteinte et sécuriser les renseignements personnels concernés;
• informer les responsables de la protection de la vie privée.

Les employés des BPR peuvent également être chargés par leurs cadres supérieurs de coordonner avec les responsables de la protection de la vie privée pour évaluer l’atteinte et déterminer et mettre en œuvre des mesures de prévention et d’atténuation des atteintes. 

Les cadres et les agents principaux des BPR sont responsables de :

• aviser les tiers;
• coordonner avec les responsables de la protection de la vie privée pour évaluer l’atteinte et déterminer et mettre en œuvre des mesures de prévention et d’atténuation des atteintes;
• affecter un responsable du programme pour assurer la coordination avec les responsables de la protection de la vie privée tout au long du processus de gestion des atteintes.

Afin de se conformer à la Directive sur la gestion de la sécurité, les cadres et les agents principaux des BPR doivent également collaborer avec les responsables de la sécurité si un incident de sécurité est suspecté. Des incidents de sécurité différents impliquent des obligations de signalement différentes, et un incident de sécurité doit être signalé aux responsables de la sécurité compétents pour l’incident en question. Des informations sur les différents types de responsables de la sécurité et les moyens de signalement sont disponibles dans la directive sur la gestion de la sécurité - Annexe I : Norme sur le signalement des incidents de sécurité.

Responsables de la protection de la vie privée

Les responsables de la protection de la vie privée sont chargés de créer des plans qui traitent les atteintes à la vie privée. Ces plans doivent établir des rôles et des responsabilités, des procédures internes et des communications pour les atteintes à la vie privée qui s’harmonisent avec les exigences de la Directive sur les pratiques relatives à la protection de la vie privée.

En cas d’atteinte à la vie privée, les responsables de la protection de la vie privée sont spécifiquement responsables de :

• évaluer les atteintes en collaboration avec les BPR;
• coordonner avec les responsables du BPR et de la Sécurité pour évaluer l’atteinte et déterminer et mettre en œuvre des mesures de prévention et d’atténuation des atteintes;
• tenir un registre des atteintes;
• signaler les atteintes substantielles à la vie privée au Secrétariat du Conseil du Trésor du Canada (SCT) et au Commissariat à la protection de la vie privée (le Commissariat).

Tiers

Une atteinte à la vie privée peut impliquer un tiers. Afin d’assurer la coordination en cas d’atteinte impliquant un tiers sous contrat, accord ou entente avec l’institution, les plans de l’institution pour traiter les atteintes à la vie privée devraient :

• inclure des mesures de coordination interne en cas d’atteinte par un tiers;
• indiquer quel groupe devrait gérer les communications avec le tiers – soit le BPR, l’unité de protection des renseignements personnels, ou l’unité d’approvisionnement ou de passation de marchés.

Responsables de la sécurité institutionnelle

Une atteinte à la vie privée peut également impliquer un incident de sécurité. Si un incident de sécurité est suspecté, les responsables de la protection de la vie privée et les BPR doivent travailler avec les responsables de la sécurité de leur institution pour enquêter et gérer les événements liés à la sécurité.

Commissariat à la protection de la vie privée du Canada

Le Commissariat reçoit et examine les signalements d’atteintes substantielles à la vie privée. Après avoir examiné un rapport de l’atteinte, le Commissariat évaluera les risques ou les préjudices qu’une atteinte peut présenter pour les personnes concernées. Lors de son évaluation, le Commissariat peut contacter l’institution pour plus d’informations. Le Commissariat peut également communiquer avec une institution s’il prend connaissance d’une atteinte réelle ou potentielle à la vie privée par d’autres moyens, comme des signalements dans les médias.

Le Commissariat a le pouvoir de mener des enquêtes lorsqu’une plainte est reçue. Il peut également déposer lui-même une plainte. Le Commissariat s’engage souvent de manière informelle auprès d’une institution pour fournir des conseils sur la façon de gérer l’atteinte, y compris les avis aux personnes concernées et les solutions recommandées.

Direction des enquêtes spéciales et de la divulgation interne

La Direction des enquêtes spéciales et de la divulgation interne (tpsgc.divulgations-disclosures.pwgsc@tpsgc-pwgsc.gc.ca) de Services publics et Approvisionnement Canada (SPAC) est chargée d’enquêter sur les atteintes à la vie privée qui impliquent des contrats avec des tiers gérées par SPAC. Cette direction est responsable de :

• veiller au respect des obligations contractuelles;
• coordonner avec l’institution touchée et les autres intervenants gouvernementaux pour faire avancer l’enquête sur l’incident;
• publier un rapport sur les conclusions et les enseignements tirés à la suite de l’enquête.

Secrétariat du Conseil du Trésor du Canada

Le SCT reçoit et examine les rapports sur les atteintes substantielles à la vie privée. Selon la nature de l’atteinte, le SCT peut collaborer avec l’institution pour réagir et atténuer les incidences de l’atteinte.

Lorsqu’une atteinte à la vie privée touche plus d’une institution, le SCT est chargé de conseiller les institutions sur la gestion des atteintes qui nécessitent une réponse coordonnée.

Le SCT surveille et suit également les atteintes substantielles à la vie privée dans l’ensemble du gouvernement du Canada. Selon son analyse des atteintes, le SCT peut mettre à jour ses politiques, directives, orientations ou outils pour refléter les tendances émergentes.