Protocole en cas d’atteinte à la vie privée
But
Le Service des poursuites pénales du Canada (SPPC) reconnaît l’importance de la vie privée et prend des mesures pour protéger les renseignements personnels.
Le présent protocole décrit les étapes qu’un employé, un mandataire ou un contractuel du SPPC doit suivre lorsqu’il constate une possible atteinte à la vie privée. Le présent protocole contient des conseils pour que toute atteinte à la vie privée soit rapidement contenue et que des mesures soient prises pour empêcher que de tels incidents se reproduisent.
Rôles et responsabilités
Tous les employés et mandataires du SPPC sont tenus de protéger les renseignements personnels auxquels ils ont accès. Ils ont le devoir de veiller, dans toute la mesure du possible, à éviter toute atteinte et ils doivent signaler les atteintes qui se produisent.
- Coordonnatrice de l’AIPRP
- Le directeur générale, Communications et affaires parlementaires, a été désigné comme coordonnateur de l’AIPRP au SPPC et il supervise l’application de la Loi sur la protection des renseignements personnels (la Loi) ainsi que les règlements afférents et les politiques, directives et lignes directrices connexes.
- Avocat ministériel
- L’avocat ministériel formule des conseils juridiques en matière de protection des renseignements personnels à l’intention du coordonnateur de l’AIPRP, du gestionnaire de l’AIPRP et des gestionnaires du SPPC.
- Directeur des poursuites pénales (DPP)
- Le DPP doit répondre de la conformité du SPPC à la Loi sur la protection des renseignements personnels. En vertu de l’article 73 de la Loi, le DPP a délégué tous les pouvoirs connexes au directeur général principal, Services ministériels, au directeur général, Communications et affaires parlementaires, et au gestionnaire de l’accès à l’information et de la protection des renseignements personnels.
- Gestionnaire, Accès à l’information et protection des renseignements personnels (AIPRP)
- Le gestionnaire de l’AIPRP est directement responsable, au quotidien, de la gestion du Bureau de l’AIPRP; ainsi, il coordonne toutes les activités relatives à l’administration de la Loi ainsi que les règlements, directives, lignes directrices et politiques adoptés au titre cette loi. Le gestionnaire a également pour mandat de veiller, au nom du SPPC, au respect des politiques et procédures législatives prescrites par la Loi et les règlements afférents.
- Personnes-ressources
- Ce sont les procureurs fédéraux en chef ou les directeurs à l’administration centrale du SPPC qui assurent la liaison avec le Bureau de l’AIPRP et qui remplissent des fonctions de soutien en matière d’AIPRP au nom de leur région ou de leur bureau.
En avril 2010, le Conseil du Trésor a publié la Directive sur les pratiques relatives à la protection de la vie privéeNote de bas de page 1, qui exige des cadres et des hauts fonctionnaires du gouvernement qui gèrent des programmes ou des activités nécessitant la création, la collecte ou le traitement de renseignements personnels qu’ils mettent en œuvre le plan de leur organisation pour corriger les éventuelles atteintes à la vie privée.
Définitions
- Renseignements personnels
- Les renseignements personnels sont définis à l’article 3 de la Loi sur la protection des renseignements personnels : ce sont les renseignements, quels que soient leur forme et leur support, concernant un individu identifiable.
- Atteinte à la vie privée
- Une atteinte à la vie privée est un incident faisant intervenir la collecte, l’utilisation ou la communication non autorisée de renseignements personnels. Une activité est dite «
non autorisée
» si elle contrevient à la Loi sur la protection des renseignements personnels, et l’atteinte peut être le résultat d’erreurs de bonne foi ou d’actes malveillants commis par des employés, des mandataires, des contractuels, des tiers, des partenaires d’ententes d’échange d’information ou encore des intrus.
Causes possibles d’atteinte à la vie privée
Diverses situations peuvent donner lieu à une atteinte à la vie privée, dont :
- le vol, la perte ou la disparition d’équipement ou de dispositifs contenant des renseignements personnels (p. ex. des ordinateurs personnels, des ordinateurs portables, des lecteurs externes, des clés USB, des CD-ROM, des BlackBerry, des téléphones cellulaires, des photocopieuses, des classeurs, des mallettes et des télécopieurs);
- l’utilisation d’équipement ou de dispositifs pour transporter ou stocker des renseignements personnels à l’extérieur du bureau en l’absence de mesures de sécurité adéquates;
- les intrusions dans un immeuble, un espace de stockage des fichiers, une application, un système, un réseau local ou tout autre équipement ou appareil et qui entraînent un accès non autorisé à des renseignements personnels;
- les procédures ministérielles déficientes ou les défaillances opérationnelles;
- l’insuffisance des contrôles instaurés pour protéger les renseignements personnels contenus dans les documents sur support papier ou électronique.
Principales étapes à suivre en cas d’atteinte à la vie privée
En cas d’atteinte potentielle ou réelle, les mesures suivantes doivent être prises immédiatement :
Étape 1 : Limitation de l’atteinte et évaluation préliminaire
- L’employé ou le mandataire doit intervenir immédiatement pour limiter la brèche et protéger les dossiers, systèmes ou sites Web visés afin d’empêcher de nouvelles atteintes à la vie privée et notamment :
- retirer, déplacer ou isoler les renseignements et dossiers exposés;
- au besoin, fermer temporairement le site Web, l’application ou le dispositif pour pouvoir évaluer la brèche et corriger les lacunes;
- tenter de récupérer tous les documents ou copies de documents qui ont été communiqués à mauvais escient ou pris par une personne non autorisée;
- replacer les documents à l’endroit où ils se trouvaient ou les remettre à leur destinataire légitime, sauf s’il faut les conserver comme éléments de preuve.
- L’employé ou le mandataire doit immédiatement aviser son supérieur ou son gestionnaire. Si l’atteinte à la vie privée concerne de l’information ayant rapport à un indicateur, l’employé ou le mandataire doit immédiatement en informer le procureur fédéral en chef responsable et au service de police compétent. Le procureur fédéral en chef doit alors informer le Directeur adjoint des poursuites pénales approprié.
- Le superviseur ou le gestionnaire informera les personnes-ressources concernées (c.-à-d. le procureur fédéral en chef ou le directeur compétent à l’administration centrale).
- La personne-ressource avisera :
- le gestionnaire de l’AIPRP et l’agent de sécurité du ministère (ASM);
- le dirigeant principal de l’information si l’atteinte touche des renseignements électroniques;
- les Services de sécurité en cas d’infraction à la sécurité. S’il semble s’agir d’un vol ou d’une quelconque activité criminelle, les Services de sécurité communiqueront avec les policiers.
- Le gestionnaire de l’AIPRP informera immédiatement le coordonnateur de l’AIPRP de l’atteinte.
- L’employé ou le mandataire du SPPC qui découvre l’atteinte à la vie privée doit remplir la Déclaration d’atteinte à la vie privée et la transmettre au Bureau de l’AIPRP, à l’attention du gestionnaire de l’AIPRP, par courriel (atip-aiprp@ppsc-sppc.gc.ca). Une copie du formulaire sera également transmise à la personne-ressource compétente.
- Le gestionnaire de l’AIPRP et les personnes-ressources concernées prendront immédiatement les mesures suivantes pour garder une trace écrite de l’atteinte à la vie privée :
- Prendre des notes détaillées sur la situation qui a donné lieu à l’atteinte à la vie privée;
- Dresser la liste des renseignements personnels qui ont été ou pourraient avoir été compromis;
- Noter le nom des personnes dont les renseignements personnels ont été communiqués ou consultés sans autorisation, ou encore volés ou perdus;
- Déterminer le bureau de première responsabilité (BPR) dont relèvent les renseignements personnels compromis;
- Consigner les autres renseignements pertinents (p. ex. incidents antérieurs, similaires ou connexes).
- Le gestionnaire de l’AIPRP consultera l’avocat ministériel pour évaluer la possibilité d’obtenir ou de préserver des éléments de preuve relatifs à l’atteinte à la vie privée.
- Le coordonnateur de l’AIPRP déterminera si des activités de communication s’imposent, à l’interne ou à l’externe. Le cas échéant, le coordonnateur de l’AIPRP :
- décidera qu’il faut produire des documents destinés aux médias ou à d’autres fins publiques et il contribuera à la préparation de ces documents;
- collaborera avec les Communications pour préparer du matériel de communication interne; et
- avisera le directeur adjoint des poursuites pénales compétent et le directeur des poursuites pénales.
Pendant toute l’évaluation préliminaire, tous les intervenants veilleront à ne pas détruire d’éléments de preuve qui pourraient s’avérer utiles pour déterminer la cause de l’atteinte ou pour prendre des mesures appropriées.
Étape 2 : évaluation et analyse de l’atteinte et des risques connexes
Le gestionnaire de l’AIPRP, en collaboration avec le coordonnateur de l’AIPRP, l’agent de sécurité du ministère et les personnes-ressources compétentes, déterminera quelles autres mesures s’imposent dans l’immédiat pour évaluer les risques liés à l’atteinte. Il pourrait s’avérer nécessaire de faire appel au gestionnaire des Services de sécurité, dans les cas faisant intervenir une infraction à la sécurité, ou au dirigeant principal de l’information, dans les cas où l’atteinte touche des renseignements électroniques.
Cette évaluation aidera à déterminer comment réagir à l’atteinte, quelles personnes devraient en être informées et de quelle façon. Si, par exemple, un ordinateur portable contenant des renseignements adéquatement chiffrés est volé, puis récupéré, et que les enquêtes révèlent que l’information n’a pas été compromise, il n’est peut-être pas nécessaire d’aviser les intéressés.
Facteurs à prendre en compte pour évaluer l’atteinte et les risques connexes
Renseignements personnels compromis
- Quels éléments de données ont été compromis? (P. ex. nom, adresse, NAS, renseignements financiers)
- Dans quelle mesure les renseignements sont-ils délicats? En règle générale, plus l’information est sensible, plus le risque de préjudice pour des particuliers est élevé. Toutefois, le caractère délicat de l’information n’est pas le seul critère dont il faut tenir compte pour évaluer le risque, car les préjudices prévisibles sont également importants.
- Dans quel contexte s’inscrivent les renseignements personnels compromis?
- Les renseignements personnels sont-ils adéquatement chiffrés, anonymes ou difficiles à consulter?
- À quoi peuvent servir les renseignements personnels? Peuvent-ils être utilisés à des fins frauduleuses ou nuisibles? La combinaison de certains types de renseignements personnels délicats accompagnés du nom, de l’adresse et de la date de naissance de l’intéressé peut représenter un niveau de risque supérieur, compte tenu de la possibilité de vol d’identité.
Cause et ampleur de l’atteinte
- Quelle est la cause de l’atteinte?
- L’atteinte risque-t-elle de se perpétuer ou d’exposer d’autres renseignements?
- Quelle est l’ampleur de l’atteinte? Qui sont les destinataires probables de l’information et quel est leur nombre?
- Quelle est la probabilité d’autres consultation, utilisation ou communication, y compris dans les médias de masse ou en ligne?
- Est-ce que les renseignements ont été perdus ou volés? S’ils ont été volés, peut-on établir si les renseignements étaient la cible du vol?
- Les renseignements personnels ont-ils été récupérés?
- Quelles mesures ont déjà été prises pour limiter le préjudice?
- S’agit-il d’un problème systémique ou d’un incident isolé?
Personnes touchées par l’atteinte
- Combien de personnes sont touchées par l’atteinte à la vie privée?
- Qui est touché par l’atteinte : des employés, des mandataires, des contractuels, le public, des clients, des fournisseurs de services, d’autres organisations?
Préjudice prévisible lié à l’atteinte
- Qui sont les destinataires non autorisés des renseignements?
- Y a-t-il un lien quelconque entre les destinataires non autorisés et la victime de l’atteinte à la vie privée?
- Quel préjudice pourrait être causé à l’organisation en raison de l’atteinte? (P. ex perte de confiance, actions en justice)
- Quels préjudices l’atteinte pourrait-elle entraîner pour les intéressés? (P. ex. menace à la sécurité physique, vol d’identité, perte financière, perte d’activité commerciale ou de perspectives d’emploi, humiliation, atteinte à la réputation)
- Quels préjudices pourraient être causés au public à la suite de l’avis d’atteinte à la vie privée? (P. ex. menace à la sécurité publique)
Étape 3 : Avis
Si l’atteinte à la vie privée crée un risque pour des particuliers, les intéressés devraient en être informés. La communication rapide d’un avis peut aider les particuliers à limiter les dommages en prenant des mesures pour se protéger. La difficulté consiste à déterminer quand il convient de transmettre un avis. Chaque incident doit être évalué individuellement pour déterminer si un avis s’impose. Il faut en particulier se demander si un avis est nécessaire pour limiter les préjudices auxquels est exposée toute personne dont les renseignements personnels ont été recueillis, utilisés ou communiqués sans autorisation en raison de l’atteinte.
Avis aux personnes touchées
Le SPPC évaluera chaque incident pour déterminer s’il convient de transmettre un avis, mais le procureur fédéral en chef ou le directeur à l’administration centrale, à titre de personne-ressource, devrait dans la mesure du possible, fortement considérer aviser toutes les personnes dont les renseignements personnels ont été ou auraient pu être compromis en raison d’un vol, d’une perte ou d’une communication non autorisée, si l’atteinte :
- porte sur des renseignements personnels à caractère délicat, par exemple des renseignements financiers ou médicaux, ou des renseignements d’identification personnelle, par exemple le NAS;
- peut entraîner un vol d’identité ou une fraude quelconque;
- peut nuire ou causer un embarras qui pourrait avoir un effet nocif sur la carrière, la réputation, la situation financière, la sécurité, la santé ou le bien-être de l’intéressé.
L’avis doit être communiqué dans les plus brefs délais après la découverte de l’atteinte pour permettre aux personnes touchées de prendre des mesures pour prévenir ou, du moins, atténuer les préjudices ou pour se protéger contre le vol d’identité ou d’autres torts possibles.
Pendant le processus de communication de l’avis, il faut veiller à ne pas inquiéter indûment les intéressés, en particulier si le SPPC soupçonne sans pouvoir le confirmer que certaines personnes sont touchées par l’atteinte.
Il est toujours préférable d’aviser directement les intéressés. Cela peut se faire par lettre (de préférence par poste prioritaire ou par messager), par téléphone ou en personne, sauf si les intéressés ne peuvent être retracés ou que leur nombre est si important que la tâche serait trop onéreuse pour l’organisation. Dans un tel cas, le SPPC envisagera la diffusion d’un avis bien en évidence sur son site Internet ou dans les principaux médias locaux ou nationaux. Le SPPC n’utilisera le courrier électronique que si l’intéressé a précédemment consenti à recevoir des avis par voie électronique.
L’avis devrait comprendre :
- une description générale de l’incident, et notamment la date et l’heure;
- la source de l’atteinte (employé ou mandataire du SPPC, tierce partie à contrat ou partie prenante à une entente d’échange);
- une liste des renseignements personnels de l’intéressé qui semblent avoir été compromis;
- une description des mesures qui ont été ou qui seront prises pour récupérer les renseignements personnels, limiter l’atteinte ou éviter que de tels incidents se reproduisent;
- des conseils aux intéressés pour limiter les risques de vol d’identité ou pour réagir à la compromission des renseignements personnels;
- le nom et les coordonnées d’un représentant du SPPC auquel les intéressés peuvent s’adresser pour discuter de la question ou obtenir de l’aide;
- le cas échéant, une mention du fait que le Commissariat à la protection de la vie privée a été avisé de la nature de l’atteinte et que l’intéressé a le droit de porter plainte au Commissariat;
- le cas échéant, il faut tenir les intéressés au courant des progrès de l’enquête et du règlement de questions en suspens; et
- le cas échéant, il faut envisager d’informer les intéressés du plan d’atténuation des risques que le SPPC mettra en œuvre.
Avis au Commissariat à la protection de la vie privée (CPVP)
Le gestionnaire de l’AIPRP, en collaboration avec le coordonnateur de l’AIPRP, devrait fortement considérer aviser le CPVP de l’atteinte à la vie privée, si celle-ci:
- porte sur des renseignements personnels à caractère délicat, par exemple des renseignements financiers ou médicaux, ou des renseignements d’identification personnelle comme le NAS;
- peut entraîner un vol d’identité ou une fraude quelconque;
- peut entraîner des blessures physiques;
- peut créer un autre préjudice ou embarras qui aurait un effet nocif sur la carrière, la réputation, la situation financière, la sécurité, la santé ou le bien-être de l’intéressé.
L’avis au CPVP devrait être transmis le plus tôt possible et doit comprendre de l’information sur la nature et l’ampleur de l’atteinte, le type de renseignements personnels en cause, les parties concernées, les risques anticipés, les mesures qui ont été ou seront prises pour aviser les intéressés, et toute mesure correctrice qui a été prise.
Le SPPC, notamment le gestionnaire de l’AIPRP, le coordonnateur de l’AIPRP et, dans certains cas, le directeur des poursuites pénales, examinera les conseils formulés par le CPVP pour réduire les risques que de tels incidents se reproduisent et y répondra.
Le SPPC pourrait décider de gérer à l’interne les incidents mineurs, si les circonstances décrites ci‑dessus concernant la transmission d’un avis au CPVP ne s’appliquent pas. Dans de tels cas, et selon la nature et l’ampleur de l’atteinte à la vie privée, le SPPC déterminera s’il convient d’aviser le CPVP. Si le SPPC décide de ne pas aviser le CPVP, le gestionnaire de l’AIPRP consignera les raisons de la décision.
Étape 4 : Prévention de futures atteintes à la vie privée
Le gestionnaire de l’AIPRP, le coordonnateur de l’AIPRP, le gestionnaire des Services de sécurité, l’agent de sécurité du ministère, le dirigeant principal de l’information et les personnes-ressources (le procureur fédéral en chef ou le directeur compétent à l’administration centrale) effectueront une analyse postérieure à l’atteinte à la vie privée pour en déterminer la cause et définir les mesures à prendre pour éviter qu’un tel incident se reproduise.
Le niveau d’effort reflétera l’importance de l’atteinte et le fait, selon le cas, qu’il s’agit d’une atteinte systémique ou d’un incident isolé.
Une analyse postérieure à l’atteinte à la vie privée peut permettre de déterminer si le SPPC a besoin de temps pour mener une enquête approfondie sur la cause de l’atteinte et envisager l’opportunité d’un plan de prévention des atteintes. Le cas échéant, le plan pourrait inclure les éléments suivants :
- une vérification de la sécurité matérielle et de la sécurité des technologies de l’information (TI);
- un examen des politiques et procédures (p. ex. politiques en matière de sécurité, politiques sur la conservation des dossiers et la collecte de renseignements), pour apporter des changements qui refléteront les leçons tirées de l’enquête;
- un examen des pratiques de formation des employés;
- un examen des ententes d’échange de l’information.
Selon le cas, le plan de prévention des brèches devrait être transmis au dirigeant principal de la vérification pour que celui-ci voie si une vérification interne s’impose. Dans l’affirmative, la vérification sera réalisée ultérieurement, après la mise en oeuvre complète du plan de prévention des atteintes.
Le plan de prévention des atteintes sera communiqué à la direction au besoin, pour que tous le connaissent et que des mesures puissent être prises en fonction des recommandations.
Annexe A - Liste de contrôle en cas d’atteinte à la vie privée
La liste de contrôle suivante devrait être utilisée de concert avec le protocole au moment d’intervenir lors d’une possible atteinte à la vie privée.
Description de l’incident
- Date de l’incident
- Date où l’incident a été découvert
- Comment l’incident a-t-il été découvert?
- Lieu de l’incident
- Description de l’atteinte et de sa cause
Mesures à prendre par la personne qui a constaté l’atteinte à la vie privée
- Prendre des mesures immédiates pour limiter l’atteinte et protéger les dossiers, les systèmes ou les sites Web concernés (p. ex. récupérer l’information, fermer le système informatique).
- Aviser immédiatement le superviseur ou le gestionnaire.
- Si l’atteinte à la vie privée concerne de l’information ayant rapport à un indicateur, le procureur fédéral en chef et le service de police compétent doivent en être informé immédiatement. Le procureur fédéral en chef doit alors informer le Directeur adjoint des poursuites pénales approprié.
- Remplir le Formulaire de déclaration d’atteinte à la vie privée et le transmettre au Bureau de l’AIPRP, à l’attention du gestionnaire de l’AIPRP, par courrier à l’adresse atip-aiprp@ppsc-sppc.gc.ca. Une copie de ce formulaire doit également être envoyée au procureur fédéral en chef ou au directeur compétent à l’administration centrale.
- Préserver tous les éléments de preuve qui pourraient s’avérer utiles pour déterminer la cause de l’atteinte ou pour prendre les mesures correctrices qui s’imposent.
- Date de modification :