Règles et procédures en cas d`atteinte à la vie privée
Transcription
Règles et procédures en cas d`atteinte à la vie privée
Accès à l’information et à la protection des renseignements personnels (AIPRP) Règles et procédures en cas d’atteinte à la vie privée But Les présentes Règles et procédures décrivent les étapes qui doivent être suivies lorsqu’une personne constate une possible atteinte à la vie privée. Définitions Atteinte à la vie privée : Suppose l’accès non autorisé à des renseignements personnels ou la collecte, l'utilisation ou la communication non autorisée de tels renseignements. Une atteinte à la vie privée peut être le résultat d'erreurs de bonne foi ou d'actes malveillants commis par des employés, des tiers, des partenaires d'ententes de partage d'information ou des intrus. Des exemples d’atteintes à la vie privée peuvent être trouvés à l’Annexe A. Étapes à suivre en cas d'atteinte à la vie privée 1ère ÉTAPE : Identifier et arrêter l’atteinte • Prendre des mesures immédiates pour limiter et arrêter l’atteinte à la vie privée et protéger les dossiers, systèmes ou sites Web touchés : o o o Retirer, déplacer ou isoler les renseignements ou dossiers vulnérables, c.-à-d. prendre les mesures nécessaires pour prévenir tout accès injustifié ultérieur. Dans certains cas, il faudra peut-être mettre temporairement hors service le site Web, l'application ou l'appareil, afin d'effectuer une évaluation plus poussée de l'infraction et de corriger les faiblesses, révoquer ou changer les codes d’accès informatiques. S'efforcer de récupérer les documents ou copies de documents communiqués à un tiers non autorisé ou saisis par ce tiers. 2e ÉTAPE : Aviser les personnes-ressources suivantes Les personnes suivantes doivent être avisées immédiatement : • • Responsable en exercice du ou des secteur(s) concerné(s); Coordonnatrice de l’accès à l’information et à la protection renseignements personnels (AIPRP) ([email protected]). Règles et procédures en cas d’atteinte à la vie privée des Page 1 Accès à l’information et à la protection des renseignements personnels (AIPRP) 3e ÉTAPE : Documenter l’atteinte à la vie privée • • • Remplir sans délai le formulaire 1 - Signalement d’une atteinte à la vie privée (http://www.cbc.radiocanada.ca/_files/cbcrc/documents/aai/rapports/signalement-atteinte-la-vieprivee.pdf) avec les renseignements disponibles pour décrire en détail l’atteinte et les circonstances dans lesquelles elle est survenue; Faire parvenir immédiatement le formulaire à la coordonnatrice de l’AIPRP ([email protected]); Mettre à jour ce formulaire chaque fois que des informations additionnelles deviennent disponibles et faire suivre sans délai toute nouvelle information à la coordonnatrice de l’AIPRP. (Par la coordonnatrice de AIPRP, en consultation avec le Responsable du ou des secteur(s) concerné(s)) 4e ÉTAPE : Évaluer l’atteinte à la vie privée à l’aide du formulaire 2 - Suivi d’une atteinte à la vie privée (http://www.cbc.radiocanada.ca/_files/cbcrc/documents/aai/rapports/suivi-atteinte-vie-privee.pdf) et prendre les actions requises ● Vérifier l’efficacité des mesures déjà prises pour contenir l’atteinte et compléter au besoin ces mesures; ● Compléter l’identification des renseignements personnels touchés par l’atteinte à la vie privée; ● Compléter l’identification des personnes touchées ou potentiellement touchées par l’atteinte à la vie privée; ● Procéder aux notifications requises, selon le cas; ● Plus particulièrement, dans la mesure du possible, il est fortement recommandé d'aviser, dans les meilleurs délais, toute personne dont les renseignements personnels ont été ou pourraient avoir été volés, perdus ou communiqués sans autorisation, surtout si l’atteinte: o o o • touche des données personnelles de nature très délicate telles que des renseignements financiers ou médicaux, des numéros d'assurance sociale ou d'autres identificateurs personnels; risque d'entraîner un vol d'identité ou une fraude similaire; risque de causer un tort ou embarras qui nuirait à la carrière, la réputation, la situation financière, la sécurité, la santé ou le bien-être de la personne. Il faut prendre soin de ne pas alarmer inutilement les personnes potentiellement touchées, particulièrement si CBC/RadioCanada soupçonne mais ne peut pas confirmer que certaines personnes pourraient avoir été touchées par l'infraction. Règles et procédures en cas d’atteinte à la vie privée Page 2 Accès à l’information et à la protection des renseignements personnels (AIPRP) 5e ÉTAPE : Prévenir de futures atteintes à la vie privée • • S'assurer qu'une analyse sur les causes de l’incident soit faite rapidement; Évaluer la nécessité d’élaborer un plan d'atténuation des risques et, le cas échéant, le mettre en œuvre. Toute question concernant le contenu des présentes règles et procédures doit être adressée au bureau d’AIRPP de CBC/Radio-Canada ([email protected]). Annexe Annexe A – Causes potentielles de l’atteinte à la vie privée Règles et procédures en cas d’atteinte à la vie privée Page 3 Accès à l’information et à la protection des renseignements personnels (AIPRP) ANNEXE A CAUSES POTENTIELLES DES ATTEINTES À LA VIE PRIVÉE Diverses situations peuvent donner lieu à une atteinte à la vie privée, dont : • • • • • • L’envoi par erreur de renseignements personnels à un tiers non autorisé (par courriel, télécopieur, poste, etc.). Le vol, la perte ou la disparition d'équipement ou d'appareils renfermant des renseignements personnels (p. ex. des ordinateurs portables, disques durs externes, clés USB, disquettes ou CD-ROM, tablettes électroniques, téléphones cellulaires, photocopieurs dotés ou non d'une capacité de mémoire, classeurs, porte-documents et des télécopieurs). L'utilisation d'équipement ou d'appareils pour transporter ou stocker des renseignements personnels à l'extérieur du lieu de travail, sans que des mesures de sécurité appropriées soient prises. L'utilisation inappropriée d'appareils électroniques pour transmettre des renseignements personnels, y compris les appareils de télécommunication. L'intrusion dans un immeuble, un espace de stockage des fichiers, une application, un système, un réseau local ou tout autre équipement ou appareil, qui donne un accès non autorisé à des renseignements personnels. Des mesures inadéquates de sécurité et de contrôle d'accès aux versions papier ou électroniques de documents contenant des renseignements personnels, à l'intérieur ainsi qu'à l'extérieur du lieu de travail. Règles et procédures en cas d’atteinte à la vie privée Page 4