Introduction

Le Chapitre 7 : Principes fondamentaux de la protection de la vie privée contient la description des règles régissant la collecte, l’utilisation, la divulgation, la conservation, l’exactitude, la sécurité et le transfert ou la destruction des renseignements personnels. Les institutions doivent créer un programme de gestion de la protection de la vie privée pour s’assurer de respecter ces règles.

Les besoins de chaque institution sont tous légèrement différents pour gérer la protection de la vie privée : ils varient selon le volume de renseignements privés dont elles ont la garde, le caractère sensible des renseignements personnels qu’elles gèrent et leurs relations avec des tiers, dont les fournisseurs. Les lignes directrices contenues dans ce chapitre sont des pratiques exemplaires qu’il est possible d’adapter aux besoins de chaque institution.

Ce chapitre fait ressortir l’importance de définir les rôles et les responsabilités pour protéger la vie privée; intégrer la protection de la vie privée aux pratiques opérationnelles, à l’information et à la sensibilisation; contrôler l’efficacité d’un programme de protection de la vie privée et prévenir et gérer les atteintes à la vie privée.

Définition des rôles et des responsabilités

Comme cela a été indiqué au Chapitre 2 : Rôles et responsabilités du gouvernement, la personne à la tête d’une institution est responsable du respect de la loi. Dans la majorité des institutions, une partie ou la totalité des attributions de la personne responsable est déléguée à un ou plusieurs dirigeants par le biais d’une délégation formelle des attributions.

La responsabilité de la protection de la vie privée doit être clairement définie aux échelons supérieurs d’une institution. Un cadre supérieur doit savoir quels renseignements personnels sont détenus par l’institution, les mesures de protection des renseignements personnels en place et jouer le rôle de champion de la protection de la vie privée aux échelons supérieurs de l’institution.

De plus, la gestion de la protection de la vie privée doit être une initiative à l’échelle de l’institution à laquelle participent les employés de tous les niveaux. Tous les employés qui utilisent des renseignements personnels dans le cadre de leur travail sont responsables de la protection des renseignements personnels dont l’institution a la garde et le contrôle.

Les obligations de protection des renseignements personnels doivent être décrites dans les descriptions d’emploi, dans les codes de conduite et dans les plans de perfectionnement du rendement pour tous les employés de l’institution qui collectent, utilisent ou divulguent des renseignements personnels dans le cadre de leurs fonctions officielles.

L’information des employés sur la protection de la vie privée, ainsi que sur les exigences de la loi, leur permettra de comprendre les raisons pour lesquelles la vie privée est importante et les façons de la protéger, ainsi que leurs responsabilités dans le domaine de la protection des renseignements personnels. Les coordonnateurs doivent élaborer un programme de formation qui sensibilise les employés et qui leur apprend à reconnaître les renseignements personnels et leurs utilisations appropriées.

Les institutions doivent aussi rendre publiques les coordonnées de personnes-ressources auxquelles adresser les demandes de renseignements sur leurs pratiques de protection de la vie privée. La communication de ces coordonnées promeut la transparence et la responsabilisation.

Comme cela a été indiqué dans le Chapitre 7 : Principes fondamentaux de la protection de la vie privée, ces coordonnées doivent être indiquées dans tous les avis de collecte. De plus, cette information doit être mise à la disposition du public sur le site Web de l’institution ou dans une autre source d’information du public.

Politique de protection de la vie privée

Les institutions doivent élaborer une politique complète de protection de la vie privée qui affirme leur engagement à cet égard et qui démontre par quels moyens elles respectent les règles de protection de la vie privée fixées par la loi.

Bien que les exigences de la loi soient générales, la politique d’une institution peut être plus instructive pour les employés et décrire par quels moyens elle applique chaque règle de protection de la vie privée en traduisant chacune d’elles en engagements concrets et pertinents pour elle-même.

Cette politique doit présenter les exigences à respecter obligatoirement dans la gestion de la protection de la vie privée, les mesures à prendre en cas d’atteinte à la vie privée et décrire les cas dans lesquels l’évaluation des impacts sur la protection de la vie privée est requise.

Harmonisation des pratiques opérationnelles

Les institutions doivent harmoniser leurs pratiques opérationnelles en intégrant la protection des renseignements personnels aux programmes, systèmes et politiques existants.

L’intégration de mesures de protection de la vie privée à la technologie, aux contrats, aux programmes, aux pratiques et aux plans de continuité est plus facile et moins onéreuse si elle est effectuée dès leur création au lieu de mettre ceux-ci à niveau à la suite d’atteintes à la vie privée. Les institutions doivent donc tenir compte de la protection de la vie privée pour définir leurs priorités stratégiques, leurs produits livrables et les mesures de leur rendement. Elles ne doivent pas penser à protéger la vie privée après coup.

Les institutions doivent envisager d’intégrer les principes de protection de la vie privée aux domaines suivants :

  • évaluation des fournisseurs et des partenaires potentiels;
  • contrats avec les fournisseurs et les partenaires;
  • ententes d’échanges de renseignements;
  • planification des technologies de l’information;
  • élaboration des politiques;
  • élaboration des programmes.

Évaluation de l’impact sur la protection de la vie privée

Une évaluation de l’impact sur la protection de la vie privée (EIPVP) est un processus analytique qui comporte plusieurs activités et produits livrables. Ce n’est pas un document unique ou un produit final.

Un processus d’EIPVP permet aux institutions de recenser et d’éliminer les risques au moment de la planification, de la conception, de l’acquisition et de la mise en œuvre de tous les programmes, systèmes, processus, pratiques, services, technologies, applications ou de tous les autres produits livrables qui utilisent les renseignements personnels. Il est pertinent pour les nouvelles initiatives, ainsi que pour les modifications apportées aux processus ou aux systèmes de gestion existants.

On décrit souvent une EIPVP sous la forme d’un «  système d’alerte rapide  » parce qu’elle permet aux institutions de détecter et de comprendre les risques éventuels pour la protection de la vie privée, de prévenir ou d’atténuer les conséquences négatives sur la protection de la vie privée et d’améliorer cette protection. L’EIPVP doit débuter dès que possible dans le cycle de vie d’un projet.

Les exemples ci-dessous sont des types de projets qui peuvent modifier radicalement la collecte, l’utilisation ou la divulgation de renseignements personnels et pour lesquels une EIPVP serait donc bénéfique :

  • nouveaux programmes comprenant la collecte, l’utilisation ou la divulgation importantes de renseignements personnels, surtout si ce sont des initiatives à l’échelle d’une organisation ou s’ils impliquent de nombreux programmes ou partenaires;
  • profondes modifications de programmes existants, en particulier dans la collecte, l’utilisation et la divulgation de renseignements personnels dont celles résultant de : l’intégration de programmes; l’élargissement de la population cible; la modification des modes de prestation de services; l’augmentation du nombre ou du type de données collectées; la restriction ou l’élimination des possibilités d’anonymat ou d’utilisation de pseudonymes ou l’adoption systématique de la collecte indirecte des renseignements personnels;
  • utilisation d’une nouvelle technologie ou d’une technologie connue pour ses conséquences sur la protection de la vie privée et sur l’importante augmentation des risques dans ce domaine (p. ex. biométrie, cartes à puce, dépistage des drogues ou technologie de surveillance);
  • profondes modifications technologiques avec répercussions sur la fonctionnalité de la gestion de l’information, l’accès aux renseignements personnels (par les administrateurs de programmes/systèmes, les clients ou des tiers) ou sur les dispositifs de sécurité;
  • création ou modification de bases de données qui contiendront des renseignements personnels, surtout en cas de données de nature sensible ou liées à un grand nombre de personnes, ou qui relieront des bases de données séparées ou qui créeront des fichiers qui indexeront des renseignements personnels ou dirigeront vers ceux-ci dans les bases de données de ce type;
  • création ou modification des méthodes d’identification et d’authentification à base d’identificateurs, de données biométriques ou de cartes d’identité à usages multiples.

Protection de la vie privée et contrats de services

Les institutions peuvent conclure des contrats avec des organisations du secteur privé ou nouer des relations avec d’autres types d’organisations pour qu’elles lui fournissent des services. Ces services peuvent être les suivants :

  • la prestation d’un programme pour le compte du gouvernement;
  • la création ou la gestion d’une base de données;
  • le soutien d’un système, par exemple avec des services de dépannage;
  • les services de reprise en cas de sinistre;
  • la conduite de recherches;
  • l’administration d’un centre d’appels;
  • le stockage de documents;
  • la fourniture d’autres services comme le déchiquetage à l’extérieur ou le recyclage de supports de stockage d’information.

Ces contrats peuvent rendre nécessaire le traitement de renseignements personnels ou d’autres informations gouvernementales de nature sensible par des organisations du secteur privé. En revanche, la responsabilité de s’assurer qu’une organisation du secteur privé gère les renseignements personnels conformément à la loi continue à incomber à l’institution.

Les institutions doivent prendre des mesures pour évaluer les risques et élaborer des stratégies d’atténuation des risques en concluant des contrats de services qui comprennent la collecte, l’utilisation, le stockage, la conservation, la divulgation ou la destruction ou le transfert des renseignements personnels à des archives. Les mesures suivantes illustrent les moyens à employer par les institutions pour protéger les renseignements personnels de manière proactive au moment de la conclusion de contrats de services.

Évaluation du risque : évaluer la nature sensible des données et réaliser une EIPVP et une évaluation des menaces et des risques au moment d’envisager la signature de contrats de services utilisant des renseignements personnels.

Élaboration d’un plan de protection des renseignements : élaborer un plan de contrôle, de responsabilisation, de protection et d’atténuation pour tous les risques recensés.

Exigences en matière d’approvisionnement et de passation de marchés : collaborer avec des spécialistes de l’approvisionnement et le conseiller juridique pour intégrer des exigences en matière de protection de la vie privée et de sécurité au processus d’approvisionnement et de passation de marchés. Les exigences contractuelles peuvent viser les risques recensés.

Vérification et contrôle des contrats : vérifier en permanence l’exécution du contrat et examiner régulièrement le rendement du fournisseur dans la gestion de renseignements personnels de nature sensible, conformément au contrat.

Contrôle et évaluation des programmes de protection de la vie privée

Les institutions doivent examiner régulièrement leurs politiques et pratiques de protection de la vie privée et s’engager à les améliorer de façon continue pour s’assurer de respecter la loi.

Une vérification de la protection de la vie privée est un outil de contrôle et d’évaluation d’un programme de protection de la vie privée. Cette vérification est une auto-évaluation des pratiques d’une institution visant à recenser :

  • les renseignements personnels détenus par l’institution;
  • les besoins en matière d’information des secteurs de programme ou des fonctions organisationnelles;
  • les politiques, pratiques et procédures de protection de la vie privée et de gestion de l’information existantes.

Une vérification de la protection de la vie privée permet aux institutions de déterminer dans quelle mesure les renseignements personnels dont elle a la garde et le contrôle sont détenus conformément à la loi. Une vérification de la protection de la vie privée révèle également les lacunes dans le respect de la loi et permet de cibler les efforts de l’institution pour améliorer ses pratiques.

Les étapes de base suivantes sont à suivre dans une vérification de la protection de la vie privée :

  • dresser l’inventaire des types de renseignements personnels collectés, utilisés, divulgués, non divulgués ou détruits ou transférés à des archives par l’institution;
  • confirmer l’autorité légale de la collecte des renseignements personnels;
  • décrire les processus ou les activités de gestion de bout en bout qui appuient le programme dans la prestation de ces services.

À la suite de la vérification de la protection de la vie privée, les institutions doivent formuler des recommandations et définir les mesures à prendre pour combler les lacunes dans leur respect de la loi. Voici quelques exemples des mesures à prendre révélées par une vérification de la protection de la vie privée :

  • mettre à jour les avis de collecte pour y inclure toutes les exigences nécessaires en vertu de la loi;
  • améliorer la sécurité des renseignements personnels stockés dans les systèmes;
  • mettre à jour l’index de la banque de renseignements personnels de l’institution dans le Répertoire des documents;
  • mettre à jour la formation des employés de l’institution.

Atteintes à la vie privée

Une atteinte à la vie privée est un incident pendant lequel des renseignements personnels sont collectés, conservés, utilisés, divulgués ou détruits ou transférés à des archives de manière non conforme aux dispositions de la loi.

Des exemples courants d’atteintes à la vie privée sont notamment le vol, la perte de renseignements personnels ou l’accès à ces renseignements par des personnes non autorisées. Les circonstances suivantes facilitent notamment une atteinte à la vie privée :

  • envoi par la poste, par télécopie ou par courriel de renseignements personnels à une mauvaise adresse ou adresse de courriel ou à un mauvais numéro de télécopieur;
  • vol ou perte de matériel contenant des renseignements personnels, comme des disques durs externes, des ordinateurs portables ou des clés USB;
  • élimination de matériel ou de documents sur support papier sans destruction sécurisée des renseignements personnels;
  • cyberattaque malveillante d’un système d’information.

La lutte contre les atteintes à la vie privée est une partie importante du programme de protection de la vie privée d’une institution. Quand une atteinte à la vie privée se produit, les personnes concernées par cette atteinte et les institutions impliquées peuvent être exposées à des conséquences négatives.

Conséquences pour les personnes : la divulgation non autorisée des renseignements personnels d’une personne est une atteinte à sa vie privée. Elle l’expose à des préjudices, dont le vol de son identité et d’autres formes de fraude, à des risques pour sa sécurité physique, comme le harcèlement, à des pertes financières, à un effet défavorable sur ses perspectives d’emploi ou sur ses débouchés commerciaux et à des atteintes à sa réputation.

Conséquences pour les institutions : à l’absence de respect des exigences légales, d’autres conséquences s’ajoutent :

  • baisse de la productivité pendant que le personnel réagit à cette atteinte à la vie privée ou gère une plainte;
  • perte de confiance du public à cause de la divulgation publique d’une importante atteinte à la vie privée;
  • coût des mesures d’urgence nécessaires pour lutter contre cette atteinte à la vie privée;
  • coût du remplacement du matériel informatique, des logiciels et des données affectés par l’atteinte à la vie privée.

Plan d’intervention en cas d’atteinte à la vie privée

Bien qu’une institution fasse de son mieux pour prévenir les atteintes à la vie privée, celles-ci se produisent et l’élaboration d’un plan d’intervention en cas d’atteinte à la vie privée permet à une institution d’y réagir dans les meilleurs délais et avec efficacité.

Un plan de ce type permet aux institutions de réagir aux atteintes à la vie privée de manière coordonnée. Dans le cadre de leur programme de protection de la vie privée, les institutions doivent évaluer chaque année l’efficacité de leur plan d’intervention et mettre en œuvre des modifications, au besoin. La création d’un plan d’intervention peut comprendre la documentation des pratiques de gestion existantes des atteintes à la vie privée.

Étant donné la diversité des institutions et des atteintes à la vie privée, aucun protocole d’intervention universel n’est possible ni pratique. En revanche, une pratique exemplaire consiste à commencer par évaluer si une atteinte à la vie privée a eu lieu et, si c’est le cas, les institutions peuvent prendre les mesures suivantes :

  • réagir et maîtriser
  • aviser
  • enquêter
  • mettre en œuvre le changement

Ces mesures peuvent être prises en même temps ou en succession rapide selon les circonstances. Il n’est pas nécessaire de terminer chacune d’elles avant d’entamer la suivante.

Chaque mesure du protocole est décrite ci-dessous ainsi que des propositions de rôles et de responsabilités pour les principaux acteurs.

Après un incident réel ou présumé, l’employé qui l’a découvert doit le signaler immédiatement à son superviseur direct et au coordonnateur. Celui-ci collaborera avec le secteur de programme pour déterminer si une atteinte à la vie privée a eu lieu.

Évaluation d’une atteinte présumée à la vie privée

Quand un incident est signalé au gestionnaire ou au coordonnateur d’une institution, cette personne doit déterminer immédiatement si une atteinte à la vie privée a eu lieu. La réponse aux deux questions suivantes doit être apportée lors de cette évaluation :

  • Des renseignements personnels sont-ils en jeu?
  • Des renseignements personnels ont-ils été collectés, utilisés, consultés ou divulgués sans autorisation?

Toutes les données dont une institution a la garde ou le contrôle ne sont pas des renseignements personnels. La première partie de l’évaluation est donc l’identification du type de renseignements affectés par l’incident. Voir au Chapitre 7 : Principes fondamentaux de la protection de la vie privée la définition des renseignements personnels et des exemples de renseignements personnels.

Si la réponse à ces deux questions est «  oui  », c’est qu’une atteinte à la vie privée s’est produite.

Réagir et maîtriser

Les coordonnateurs et les autres employés doivent maîtriser l’atteinte à la vie privée en prenant des mesures correctives, dont l’extraction des renseignements personnels ou l’isolement ou la suspension de l’activité d’un système ou d’un site Web.

L’atteinte à la vie privée doit être déclarée aux principaux acteurs au sein de l’institution dont la haute direction et les secteurs de programme touchés.

L’institution doit documenter en détail l’atteinte à la vie privée. Cette documentation doit être la plus détaillée possible et répondre à la question du « qui, quoi, où, quand et comment » au sujet de l’incident.

Enfin, les coordonnateurs doivent informer la haute direction de l’atteinte à la vie privée et sur sa gestion et sa résolution, s’il y a lieu.

Aviser

Les coordonnateurs doivent planifier l’annonce de l’atteinte à la vie privée, de concert avec le secteur de programme et le conseiller juridique. Aviser les personnes touchées par l’atteinte à la vie privée doit être la mesure à prendre par défaut. Avertir les personnes dont les renseignements personnels ont été affectés par un incident d’atteinte à la vie privée vise à les informer suffisamment sur les points suivants :

  • les faits;
  • la nature des risques de préjudice potentiels ou réels;
  • les mesures appropriées à prendre pour se protéger contre ces risques;
  • leur droit de porter plainte auprès du commissaire à l’information et à la protection de la vie privé (CIPVP) au sujet de la gestion des renseignements personnels par leur institution.

Un avis de ce type répond aux objectifs de la loi et permet à l’institution d’assumer sa responsabilité de protection de la vie privée des personnes sur le plan de leurs renseignements personnels. Il est aussi conforme aux pratiques d’équité dans le traitement de l’information : la transparence et la responsabilité.

Cet avis doit être communiqué le plus vite possible. En revanche, les institutions ne doivent pas aggraver les conséquences négatives possibles d’une atteinte à la vie privée en communiquant prématurément un avis fondé sur des faits incomplets ou en prenant des mesures qui augmenteront le risque de vol d’identité ou d’un autre préjudice.

La communication de l’avis doit être retardée si les forces de l’ordre déterminent que la communication immédiate d’un avis entraverait une enquête criminelle ou, si l’atteinte à la vie privée a été causée par la défaillance du système de sécurité ou d’information. Dans ce cas, remettez le système en état et vérifiez son intégrité avant de divulguer les détails de l’atteinte à la vie privée.

Aviser les personnes touchées par une atteinte à la vie privée peut ne pas être approprié, raisonnablement possible ou nécessaire dans les rares circonstances suivantes :

  • les forces de l’ordre déterminent que la communication immédiate d’un avis entraverait une enquête criminelle;
  • l’avis n’est pas dans l’intérêt de ces personnes (p. ex. il risque de les mettre en danger ou d’aggraver le préjudice subi);
  • l’avis ne serait d’aucune utilité (p. ex. si tous les renseignements personnels affectés par l’atteinte à la vie privée : sont déjà accessibles au public; ont été récupérés avant qu’une personne non autorisée puisse y accéder; ou sont protégés par une technologie, comme le cryptage, grâce à laquelle l’accès et l’utilisation de ces données ne sont pas raisonnablement possibles).

Les coordonnateurs doivent envisager de consulter le CIPVP quand ils prévoient aviser les personnes touchées par des atteintes à la vie privée.

Voir au Chapitre 12 : Plaintes concernant la protection de la vie privée, atteintes à la vie privée et enquêtes de plus amples renseignements au sujet de la déclaration par les institutions d’atteintes à la vie privée au CIPVP.

Enquêter

Les institutions doivent mener une enquête pour :

  • identifier et analyser les événements qui ont conduit à cette atteinte à la vie privée;
  • évaluer la réaction de l’institution et sa maîtrise de l’atteinte à la vie privée;
  • recommander des mesures correctives pour prévenir d’autres atteintes à la vie privée.

Documentation des résultats de l’enquête interne :

  • contexte et portée de l’enquête;
  • implications juridiques;
  • conduite de l’enquête (qui l’a menée, personnes interviewées, questions posées, politiques et pratiques examinées, etc.);
  • source et cause de l’atteinte à la vie privée;
  • inventaire des systèmes et des programmes affectés par l’atteinte à la vie privée;
  • évaluation de l’adéquation des politiques, procédures et pratiques existantes en matière de sécurité et de protection de la vie privée;
  • évaluation de l’efficacité de la réaction de l’institution à l’atteinte à la vie privée;
  • conclusions, dont chronologie des événements et mesures correctives recommandées.

La haute direction doit être informée des résultats de l’enquête pour assurer l’application des recommandations.

Mettre en œuvre le changement

L’étape finale du plan d’intervention est la mise en œuvre de changements au sein de l’institution afin de prévenir de futures atteintes à la vie privée. Pour déterminer les changements et les mesures correctives à mettre en œuvre, les coordonnateurs doivent évaluer la nécessité de prendre les mesures suivantes :

  • examen des systèmes de gestion de l’information pertinents pour améliorer leur conformité à la loi;
  • modification ou renforcement des politiques et des pratiques de gestion et de protection des renseignements personnels existantes;
  • conception et mise en œuvre de nouvelles mesures de sécurité ou de protection de la vie privée;
  • formation du personnel aux exigences de la loi, aux politiques, pratiques et procédures de sécurité et de protection de la vie privée pour réduire le risque de futures atteintes à la vie privée;
  • mettre à l’essai et évaluer les mesures correctives pour déterminer si elles ont été mises en œuvre correctement et si les politiques et les pratiques doivent être modifiées.

De plus, les coordonnateurs doivent évaluer si les avis aux personnes touchées par l’atteinte à la vie privée ont été communiqués dans un délai raisonnable, si leur ton et leur contenu étaient appropriés et si les personnes touchées par l’atteinte à la vie privée ont été suffisamment soutenues.

Ressources

IPC : Planning for Success : Privacy Impact Assessment Guide (Planifier la réussite : Guide de l’évaluation de l’impact sur la protection de la vie privée) (en anglais seulement)

Commissaire à l’information et à la protection de la vie privée : Protocole en cas de violation de la vie privée – Lignes directrices pour les institutions gouvernementales

IPC : Thinking About Clouds? Privacy, Security, and Compliance Considerations for Ontario Public Sector institutions (Vous avez la tête dans les nuages? Protection de la vie privée, sécurité et principes de conformité pour les institutions de la fonction publique de l’Ontario) (en anglais seulement)

IPC : Open Government and Protecting Privacy (Gouvernement ouvert et protection de la vie privée) (en anglais seulement)

Commissaire à l’information et à la protection de la vie privée : Feuille-info : la vidéosurveillance