Directive sur les pratiques relatives à la protection de la vie privée

Fournit une orientation aux institutions gouvernementales sur la façon de mettre en œuvre des pratiques efficaces de protection de la vie privée.
Modification : 2024-11-08

Outils sous-jacents

Procédures obligatoires :

Renseignements supplémentaires

Politique :

Terminologie :

Sujet :

Hiérarchie
Voir la hiérarchie complète

Archives

Cette directive remplace :

Voir tous les instruments inactifs
Version imprimable XML

Annexe B. Procédures obligatoires pour les atteintes à la vie privée

B.1 Date d’entrée en vigueur

  • B.1.1Les présentes procédures obligatoires entrent en vigueur le 1er mars 2024.
  • B.1.2Elles remplacent les procédures de l’annexe B : Procédures obligatoires pour les atteintes à la vie privée datée du 26 octobre 2022.

B.2 Procédures

  • B.2.1Les procédures obligatoires en cas d’atteinte à la vie privée présentent en détail les exigences énoncées à la section 4 de la Directive sur les pratiques relatives à la protection de la vie privée.
  • B.2.2

    Les employés des institutions fédérales doivent :

    • B.2.2.1prendre immédiatement des mesures pour contenir toute atteinte potentielle ou confirmée à la vie privée et protéger les renseignements personnels touchés;
    • B.2.2.2

      une fois que toutes les mesures ont été prises pour contenir une atteinte potentielle ou confirmée à la vie privée, en aviser immédiatement le responsable de l’institution ou son délégué, en lui fournissant notamment :

      • B.2.2.2.1la date, l’heure et le lieu de l’atteinte potentielle ou confirmée à la vie privée,
      • B.2.2.2.2une brève description de l’atteinte potentielle ou confirmée à la vie privée, ce qui comprend le type de renseignements personnels en cause, le nombre d’individus qui peuvent être touchés, ainsi que toute mesure prise pour contenir l’atteinte potentielle ou confirmée.
  • B.2.3

    Les cadres supérieurs chargés de gérer les programmes ou les activités comprenant la création, la collecte ou le traitement de renseignements personnels doivent :

    • B.2.3.1si les renseignements personnels touchés par une atteinte à la vie privée font l’objet d’un contrat, d’un accord d’échange de renseignements ou d’une entente d’échange de renseignements, en informer rapidement les parties à ce contrat, à cet accord d’échange de renseignements ou à cette entente d’échange de renseignements;
    • B.2.3.2si le responsable de l’institution fédérale ou son délégué estime qu’une évaluation complète d’une atteinte à la vie privée est nécessaire, s’assurer qu’un agent de programme compétent soit affecté à la coordination avec le responsable de l’institution fédérale ou son délégué;
    • B.2.3.3de concert avec le responsable de l’institution fédérale ou son délégué, déterminer les mesures d’atténuation appropriées afin de réduire le risque de préjudice pour les individus touchés et pour l’institution qui découle de l’atteinte, qui doivent comprendre un avis aux individus touchés dans le cas d’une atteinte substantielle à la vie privée, à moins qu’un tel avis soit inapproprié pour des raisons juridiques, de sécurité, de confidentialité ou autres;
    • B.2.3.4de concert avec le responsable de l’institution fédérale ou son délégué, déterminer les mesures d’atténuation appropriées afin de réduire le risque d’atteintes futures;
    • B.2.3.5mettre en œuvre les mesures d’atténuation et de prévention déterminées comme étant appropriées dans un délai raisonnable.
  • B.2.4

    Les responsables des institutions fédérales ou leur délégué doivent :

    • B.2.4.1après avoir reçu un avis indiquant une atteinte à la vie privée potentielle, vérifier s’il s’agit réellement d’une atteinte à la vie privée;
    • B.2.4.2

      en cas d’atteinte à la vie privée, déterminer s’il est nécessaire de réaliser une évaluation complète qui permettra de déterminer et de documenter au minimum :

      • B.2.4.2.1les circonstances ayant donné lieu à l’atteinte,
      • B.2.4.2.2le répertoire des renseignements personnels touchés,
      • B.2.4.2.3les individus dont les renseignements personnels ont été touchés,
      • B.2.4.2.4les secteurs institutionnels et les tiers, s’il y a lieu, qui ont un rôle direct ou indirect dans le traitement des renseignements personnels en cause dans l’atteinte,
      • B.2.4.2.5le risque de préjudice pour les individus touchés et l’institution,
      • B.2.4.2.6s’il s’agit d’une atteinte substantielle à la vie privée;
    • B.2.4.3collaborer au besoin avec les responsables de la sécurité de l’institution, y compris, s’il y a lieu, ceux qui sont chargés de la cybersécurité, à toute évaluation de l’atteinte à la vie privée ou enquête sur un incident de sécurité connexe;
    • B.2.4.4

      inclure, au minimum et lorsqu’ils sont connus, les renseignements suivants au moment de signaler une atteinte substantielle à la vie privée au Commissariat à la protection de la vie privée (le Commissariat) et au Secrétariat du Conseil du Trésor du Canada (SCT):

      • B.2.4.4.1la date de l’atteinte ou la période au cours de laquelle l’atteinte s’est produite, et la date à laquelle l’institution a découvert l’atteinte,
      • B.2.4.4.2une description de l’atteinte, y compris le type et la cause,
      • B.2.4.4.3le nombre approximatif ou exact d’individus touchés par l’atteinte,
      • B.2.4.4.4les catégories de renseignements personnels et les éléments de renseignement personnel en cause,
      • B.2.4.4.5les parties concernées, incluant la catégorie d’individus touchés par l’atteinte et les relations entre les parties concernées,
      • B.2.4.4.6une description des mesures de protection pertinentes qui étaient en place,
      • B.2.4.4.7les risques réels de préjudices graves qui sont prévus,
      • B.2.4.4.8toutes les mesures correctives, y compris les mesures pour contenir l’atteinte et les mesures d’atténuation et de prévention qui ont été prises ou qui le seront,
      • B.2.4.4.9la méthode utilisée pour aviser les individus dont les renseignements personnels ont été touchés, s’il y a lieu,
      • B.2.4.4.10une justification, si les individus dont les renseignements personnels ont été touchés ne sont pas avisés,
      • B.2.4.4.11le lieu physique ou géographique où l’atteinte s’est produite,
      • B.2.4.4.12une description de la manière dont l’atteinte a été découverte,
      • B.2.4.4.13s’il y a lieu, les fichiers de renseignements personnels (FRP) pour les renseignements en cause dans l’atteinte,
      • B.2.4.4.14une liste de toutes les organisations qui ont été informées de l’atteinte;
    • B.2.4.5

      Pour signaler une atteinte substantielle à la vie privée au Commissariat et au SCT, utilisez le moyen suivant :

      • B.2.4.5.1le Formulaire de rapport d’atteintes substantielles à la vie privée en vertu de la Loi sur la protection des renseignements personnels
    • B.2.4.6

      tenir un registre de toutes les atteintes à la vie privée pendant une période de cinq ans après la date à laquelle l’institution a eu connaissance de l’atteinte qui doit au moins comprendre l’information suivante :

      • B.2.4.6.1la date de l’atteinte ou la période au cours de laquelle l’atteinte s’est produite,
      • B.2.4.6.2une description générale des circonstances dans lesquelles l’atteinte s’est produite et de la nature des renseignements en cause,
      • B.2.4.6.3l’évaluation complète de l’atteinte, si une évaluation complète a été réalisée,
      • B.2.4.6.4dans le cas d’une atteinte substantielle à la vie privée, le rapport fournie au Commissariat et au SCT, comme l’indique la section B.2.4.4.
Signaler un problème ou une erreur sur cette page
Date de modification :