Lignes directrices sur les atteintes à la vie privée

Qu'est-ce qu'une atteinte à la vie privée?

Une atteinte à la vie privée suppose la collecte, l'usage, la communication, la conservation ou le retrait inappropriés ou non autorisés de renseignements personnels. Les présentes lignes directrices concernent principalement la communication inappropriée ou non autorisée de renseignements personnels (tels que définis dans la Loi sur la protection des renseignements personnels) ou l'accès inapproprié ou non autorisé à de tels renseignements.

Une atteinte à la vie privée peut être le résultat d'erreurs de bonne foi ou d'actes malveillants commis par des employés, des tiers, des partenaires d'ententes de partage d'information ou des intrus.

Causes potentielles des atteintes à la vie privée

Les situations suivantes pourraient avoir comme résultat que des renseignements personnels sont communiqués à des parties non autorisées ou que des parties non autorisées ont accès à des renseignements personnels :

• Le vol, la perte ou la disparition d'équipement ou d'appareils^[1] renfermant des renseignements personnels.
• La vente ou l'aliénation d'équipement ou d'appareils renfermant des renseignements personnels qui n'ont pas été entièrement purgés avant la vente ou l'aliénation.
• Le transfert d'équipement ou d'appareils renfermant des renseignements personnels pour lesquels aucune mesure de sécurité appropriée n'a été prise.
• L'utilisation d'équipement ou d'appareils pour transporter ou stocker des renseignements personnels à l'extérieur du lieu de travail, aux fins du télétravail ou d'autres arrangements de travail à l'extérieur du bureau, sans que des mesures de sécurité appropriées soient prises.
• L'utilisation inappropriée d'appareils électroniques pour transmettre des renseignements personnels, y compris les appareils de télécommunication.
• L'intrusion dans un immeuble, un espace de stockage des fichiers, une application, un système, un réseau local ou tout autre équipement ou appareil, qui donne un accès non autorisé à des renseignements personnels.
• Le manque de sensibilisation du personnel institutionnel, des entrepreneurs ou autres tiers chargés du traitement des renseignements personnels à la nécessité de protéger la vie privée des individus.
• Des mesures inadéquates de sécurité et de contrôle d'accès aux versions papier ou électroniques de documents, à l'intérieur ainsi qu'à l'extérieur du lieu de travail.
• L'absence ou l'inefficacité des dispositions en matière de protection de la vie privée dans les marchés ou les ententes sur l'échange d'information contenant des renseignements personnels.
• Des mesures inadéquates de contrôle de l'accès aux renseignements personnels et des droits de modification de ces renseignements, ce qui entraîne un accès illicite aux dossiers renfermant des renseignements personnels et en permet la falsification.
• Il existe également des moyens plus complexes d'obtenir des renseignements personnels de manière frauduleuse, notamment :
• Le recours à des tactiques visant à tromper les particuliers pour les amener à fournir leurs renseignements personnels, soit directement ou par le biais d'un site Web frauduleux. Cette méthode est appelée « hameçonnage » (phishing). Par exemple, un imposteur appelle un employé de l'institution afin d'obtenir son code d'accès en prétendant qu'il est en train de faire l'entretien du système de l'institution.
• L'utilisation d'une fausse copie d'un site officiel du gouvernement du Canada afin de rediriger l'utilisateur vers un site Web frauduleux qui peut servir à voler des renseignements personnels à l'insu de l'utilisateur. Cette méthode, appelée « détournement de domaine » (pharming) exploite les faiblesses du DNS. Par exemple, un employé peut accéder à ce qu'il croit être un site Web officiel du gouvernement et fournir les renseignements personnels requis par le site. L'employé ne se doute pas qu'il a été redirigé vers une copie frauduleuse du site Web officiel.

Prévention des atteintes à la vie privée

Pour prévenir les atteintes à la vie privée, les institutions gouvernementales sont fortement encouragées à adopter les mesures suivantes :

• Se conformer aux exigences de la Politique du gouvernement sur la sécurité (PGS) et aux autres directives émises par le Secrétariat du Conseil du Trésor. La Gendarmerie royale du Canada (GRC) et le Centre de la sécurité des télécommunications (CSE) émettent aussi des directives sur la sécurité physique et la sécurité des technologies de l'information, respectivement. Les institutions gouvernementales peuvent également établir leurs propres politiques, procédures et lignes directrices en matière de sécurité en s'inspirant de ces normes.
• Effectuer des évaluations des facteurs relatifs à la vie privée (EFVP) et des évaluations de la menace et des risques (EMR), s'il y a lieu.
• Tenir compte de la protection des renseignements personnels avant de conclure un marché ou une entente sur l'échange de renseignements. Les institutions gouvernementales devraient ajouter à ces documents des dispositions pertinentes sur la protection de la vie privée, notamment l'obligation d'informer immédiatement l'institution gouvernementale de toute atteinte à la vie privée (voir Document d'orientation : Prise en compte de la protection des renseignements personnels avant de conclure un marché du SCT).
• Consulter des experts en protection de la vie privée et des avocats-conseils de l'institution, ainsi que la Division des politiques de l'information, de la protection des renseignements personnels et de la sécurité du Secrétariat du Conseil du Trésor, au besoin.
• Assurer la formation du personnel, des gestionnaires et des cadres, afin de les sensibiliser aux exigences du Code de pratiques équitables en matière de renseignements (articles 4 à 8 de la Loi sur la protection des renseignements personnels) et des politiques connexes du SCT.
• S'assurer que les employés qui travaillent en dehors des bureaux connaissent leurs responsabilités en matière de sécurité et de protection de la vie privée et que des mesures adéquates sont prises pour assurer la protection des renseignements personnels qu'ils traitent à l'extérieur des bureaux. Les institutions gouvernementales devraient envisager la possibilité de conserver les renseignements personnels à l'interne lorsque le télétravail ou des arrangements semblables risquent de compromettre la protection de la vie privée (p. ex. renseignements personnels très nombreux ou particulièrement délicats). Les institutions devraient effectuer une évaluation des facteurs relatifs à la vie privée avant d'instaurer un régime général de télétravail ou de prendre des arrangements semblables qui risqueraient de compromettre la protection des renseignements personnels.
• Établir des contrôles administratifs clairs afin de restreindre les droits d'accès et de modification pour les dossiers contenant des renseignements personnels aux seules personnes qui ont un besoin légitime de connaître cette information.
• Utiliser un système de chiffrement pour transmettre des renseignements personnels de nature particulièrement délicate (niveau « protégé B » ou supérieur) par courriel, Internet ou appareil sans fil. Établir de rigoureuses procédures pour l'utilisation des appareils sans fil (p. ex. communications poste à poste (NIP à NIP)). Il faudrait envisager de faire du chiffrement des données inactives (c.-à-d., les données entreposées par opposition aux données actives) une pratique standard. La sécurité des bandes de sauvegarde, particulièrement lorsqu'elles ne sont pas chiffrées, doit aussi être examinée avec soin.
• En règle générale, l'envoi de renseignements personnels par télécopieur doit se faire uniquement lorsque cela est absolument nécessaire. Le cas échéant, il faut consulter les mesures de sécurité recommandées par le Commissariat à la protection de la vie privée (http://www.privcom.gc.ca/fs-fi/02_05_d_04_f.asp).
• Il faut purger tout équipement ou autre appareil électronique de tout renseignement personnel avant de le vendre, de l'éliminer ou de le transférer, conformément aux lignes directrices de la GRC (http://www.rcmp-grc.gc.ca/ts-st/pubs/it-ti-sec/index-fra.htm) et du CST (http://www.cse-cst.gc.ca/its-sti/publications/itsg-csti/itsg06-fra.html).
• À noter que certaines cartouches de télécopieur, dont les rouleaux « Thermo-Fax », contiennent une mince feuille de papier avec une substance transparente qui s'apparente à un film photographique. Le film utilisé renferme le négatif de toutes les télécopies envoyées ou reçues par l'appareil. Les cartouches utilisées pour faxer des renseignements classifiés ne doivent donc pas être jetées. La seule façon sécuritaire de s'en débarrasser est d'ouvrir la cartouche, d'en retirer le film et de le déchiqueter après l'avoir coupé en morceaux. (Il ne faut pas brûler le film, car cela dégage des vapeurs toxiques.)
• Avant de vendre ou de transférer des conteneurs de sécurité, comme des classeurs, des coffres-forts ou des étagères mobiles, à un autre centre de responsabilité ou à un tiers à l'extérieur du gouvernement, il faut les vider et s'assurer qu'il n'y reste aucun document classifié ou protégé. (Voir les instructions de la GRC à http://www.rcmp-grc.gc.ca/tsb-genet/seg/html/page_0007_f.htm).
• Voici les précautions à prendre contre  l'« hameçonnage » et le « détournement de domaine » :

1. S'assurer que la demande de renseignements personnels est valide et que le demandeur est bien la personne qu'il prétend être,
2. Ne jamais fournir de renseignements personnels en réponse à une demande non sollicitée faite par téléphone, télécopieur, lettre, pièce jointe à un courriel ou publicité dans Internet,
3. Chercher les indices qui pourraient indiquer un site Web frauduleux (p. ex., erreurs d'orthographe, publicités inhabituelles, sections défectueuses du site),
4. Les sites qui demandent des renseignements personnels le font habituellement par le biais d'une connexion sécurisée. L'icône d'un cadenas devrait être visible au bas de la page du navigateur,
5. En cas de doute, obtenir le numéro de téléphone et appeler l'organisme afin d'en déterminer la légitimité.

• Lorsque des données personnelles risquent d'être compromises et qu'une atteinte à la vie privée pourrait en résulter, il faut en aviser immédiatement l'agent de sécurité du ministère.

Mesures à prendre en cas d'atteinte à la vie privée

Bureaux de première responsabilité (BPR)

1. Prendre des mesures immédiates pour réprimer l'infraction et protéger les dossiers, systèmes ou sites Web touchés :
   • Retirer, déplacer ou isoler les renseignements ou dossiers vulnérables, c.-à-d. prendre les mesures nécessaires pour prévenir tout accès injustifié ultérieur;
   • Dans certains cas, il faudra peut-être mettre temporairement hors service le site Web, l'application ou l'appareil, afin d'effectuer une évaluation plus poussée de l'infraction et de corriger les faiblesses;
   • S'efforcer de récupérer les documents ou copies de documents communiqués ou saisis par une personne non autorisée;
   • Remettre les documents à leur place ou les retourner au destinataire visé, à moins qu'il ne soit nécessaire de les conserver à des fins probatoires (l'institution doit consulter un avocat pour déterminer si cela est effectivement nécessaire).
     
     
2. Consigner l'infraction :
   • Décrire en détail les circonstances dans lesquelles l'infraction a été commise;
   • Noter les renseignements personnels qui ont été ou pourraient avoir été compromis;
   • Identifier les parties dont les renseignements personnels ont été communiqués ou consultés à tort, volés ou perdus;
   • Identifier le secteur institutionnel ou le tiers responsable des renseignements personnels en question;
   • Inclure tout autre renseignement pertinent (p. ex., incidents antérieurs semblables ou liés).
     
     

   Nota : L'institution doit faire des efforts raisonnables pour identifier les personnes touchées par l'infraction. Si cela est impossible, il faudrait identifier les groupes susceptibles de l'avoir été. Elle doit aussi décrire la procédure suivie pour identifier les victimes.
   
   

3. Aviser le coordonnateur de l'accès à l'information et de la protection des renseignements personnels (AIPRP) et l'agent de sécurité du ministère (ASM) puisque la plupart des atteintes à la vie privée impliquent une infraction à la sécurité. Comme l'exige la Politique du gouvernement sur la sécurité (PGS), les ministères doivent élaborer des politiques ou des procédures à suivre en cas d'infraction à la sécurité. Dans la plupart des ministères, ce sont les ASM qui sont chargés des enquêtes sur les infractions à la sécurité.
   • Il importe de mettre le coordonnateur de l'AIPRP et l'ASM à contribution, pour que la protection de la vie privée et la sécurité des biens soient prises en compte dans le processus de résolution.
     
     

   Nota : Une atteinte à la vie privée peut constituer un acte fautif aux termes de la Politique sur la divulgation interne d'information concernant des actes fautifs au travail. Ainsi, l'employé d'une institution qui signale une telle infraction doit donc être protégé contre les représailles, conformément aux exigences de la Politique.
   
   

   Agents de sécurité et coordonnateurs de l'AIPRP du ministère
   
   

4. Selon le processus établi à l'institution, le coordonnateur de l'AIPRP ou le fonctionnaire responsable de la sécurité doit aviser l'administrateur général et la Direction des communications :
   
   
   • Si l'infraction suscite ou pourrait susciter l'intérêt du public, il faut en aviser les responsables des communications pour qu'ils puissent préparer des documents d'information en réponse aux questions du public, des médias ou de la Chambre des communes. Il faut toutefois éviter de divulguer des renseignements personnels au personnel des communications.
   • La Norme de sécurité relative à l'organisation et l'administration de la PGS recommande d'avertir immédiatement l'administrateur général de toute infraction à la sécurité (voir http://www.tbs-sct.gc.ca/pubs_pol/gospubs/TBM_12A/21RECON-2-fra.asp).
     
     
5. Mener une enquête interne et formuler des recommandations afin d'éviter une répétition de l'incident :
   
   
   • Si une infraction à la sécurité a entraîné une atteinte à la vie privée, l'ASM doit mener une enquête pour cerner les faiblesses des procédures et processus de sécurité et formuler des recommandations. Si la PGS l'exige, il pourrait être nécessaire de signaler l'incident à la police. Si l'infraction a une incidence sur la sécurité nationale, il faut aussi la signaler au SCRS.
   • Le bureau de l'AIPRP du ministère doit également procéder à une évaluation afin de mettre au jour les faiblesses en gestion des renseignements personnels. L'évaluation et les recommandations connexes devraient porter sur les problèmes qui ne sont pas strictement liés à des problèmes de sécurité.
   • Les bureaux responsables de la protection de la vie privée et de la sécurité pourraient collaborer à l'élaboration de recommandations, qui pourraient inclure ce qui suit :
     • Réviser les procédures et politiques internes,
     • Offrir une formation additionnelle aux employés,
     • Réserver l'accès à certains renseignements personnels aux personnes qui ont besoin d'en prendre connaissance dans le cadre de leurs rôles et responsabilités,
     • Chiffrer les renseignements personnels de nature particulièrement délicate,
     • Prévoir des dispositions contractuelles plus sévères en cas d'atteinte à la vie privée.

   Coordonnateurs de l'AIPRP
   
   

6. Aviser le Commissariat à la protection de la vie privée (CPVP) :
   
   
   • Il est fortement recommandé aux institutions d'aviser le CPVP de l'infraction et des mesures d'atténuation mises en œuvre lorsque l'infraction :
     • touche des données personnelles de nature délicate tels que des renseignements financiers ou médicaux, des numéros d'assurance sociale ou d'autres identificateurs personnels,
     • risque d'entraîner un vol d'identité ou une fraude similaire,
     • risque de causer un tort ou embarras qui nuirait à la carrière, la réputation, la situation financière, la sécurité, la santé ou le bien-être de la personne.
   • L'institution doit aviser le CPVP de l'infraction le plus tôt possible après en avoir pris conscience (en dedans de quelques jours).
   • Informer le CPVP de la nature et de la portée de l'infraction, du type de renseignements personnels compromis, des parties en cause, des risques prévus, des dispositions prises ou prévues pour aviser les personnes concernées et des mesures correctives prises. Les institutions ne devraient pas inclure de renseignements personnels lorsqu'elles avisent le CPVP d'une atteinte à la vie privée, à moins que le CPVP fasse enquête sur celle-ci.
   • Examiner les conseils et recommandations formulés par le CPVP afin d'atténuer les risques de répétition du problème, et y répondre.
   • Dans le cas des incidents très mineurs, les institutions peuvent décider de régler la situation à l'interne avec les personnes visées. Dans de tels cas et selon la nature et la portée de l'atteinte à la vie privée, les institutions devraient déterminer s'il est préférable d'aviser le CPVP.
     
     

   Nota : L'institution devrait consigner toute décision de ne pas aviser le CPVP dans un dossier ministériel standard, avec justification à l'appui.
   
   

7. Aviser les personnes dont les renseignements personnels ont été communiqués à tort, volés ou perdus :
   
   
   • Dans la mesure du possible, il est fortement recommandé à l'institution d'aviser toute personne dont les renseignements personnels ont été ou pourraient avoir été volés, perdus ou communiqués sans autorisation, surtout si l'infraction :
     • touche des données personnelles de nature très délicate tels que des renseignements financiers ou médicaux, des numéros d'assurance sociale ou d'autres identificateurs personnels,
     • risque d'entraîner un vol d'identité ou une fraude similaire,
     • risque de causer un tort ou embarras qui nuirait à la carrière, la réputation, la situation financière, la sécurité, la santé ou le bien-être de la personne.
   • L'institution doit aviser les personnes touchées de l'infraction dans les meilleurs délais, pour leur permettre de prendre des mesures de protection ou d'atténuer les préjudices causés par le vol d'identité ou les autres torts possibles.
   • Il faut prendre soin de ne pas alarmer inutilement les victimes potentielles, particulièrement si l'institution soupçonne mais ne peut pas confirmer que certaines personnes pourraient avoir été touchées par l'infraction.
   • Il est toujours préférable d'aviser les particuliers touchés directement par lettre (courrier de première classe, de préférence), par téléphone ou en personne, sauf si la personne est introuvable ou si le nombre de victimes potentielles est si élevé que la tâche deviendrait trop lourde. En pareil cas, l'institution peut afficher un avis bien en vue sur son site Web ou les écrans d'accès aux données ministérielles et/ou faire passer des annonces dans les principaux médias locaux ou nationaux (télévision, radio, journaux et revues). L'institution ne devrait utiliser le courrier électronique que si la personne a consenti à recevoir des avis électroniques.
   • L'avis envoyé aux personnes touchées doit inclure :
     • une description générale de l'incident, y compris la date et l'heure,
     • la source de l'infraction (qu'il s'agisse de l'institution, d'un entrepreneur ou d'une partie à une entente sur l'échange de renseignements),
     • une liste des renseignements personnels relatif à l'individu qui auraient été compromis ou pourraient avoir été compromis,
     • une description des mesures prises ou à prendre pour récupérer les renseignements personnels, réprimer l'infraction et empêcher qu'elle ne se reproduise,
     • des conseils^[2] sur les moyens de minimiser les risques de vol d'identité ou sur les mesures à prendre lorsque les renseignements personnels ont été compromis (p. ex. NAS),
     • le nom et les coordonnées d'un représentant de l'institution à qui les personnes touchées peuvent s'adresser pour discuter de la question plus en détail ou pour obtenir de l'aide,
     • s'il y a lieu, une mention que le CPVP a été informé de la nature de l'infraction et que la personne a le droit de porter plainte au Commissariat.
     • L'institution devrait également informer les personnes touchées des progrès de l'enquête et du règlement des questions en suspens.
       
       
   • Suivi :
     
     
     • S'assurer qu'un plan d'atténuation des risques est élaboré au cours de l'enquête de l'institution et qu'il est mis en œuvre.
     • S'il y a lieu, informer le CPVP et les parties touchées du plan d'atténuation des risques que l'institution est censée mettre en œuvre.
     • Déclarer les atteintes à la vie privée et les mesures prises pour éliminer les points vulnérables dans le rapport que l'institution doit présenter chaque année au Parlement en vertu de la Loi sur la protection des renseignements personnels.

Toute question concernant le contenu des présentes lignes directrices doit être adressée aux experts en sécurité et protection de la vie privée de l'institution, qui pourront demander les éclaircissements nécessaires au Secrétariat du Conseil du Trésor (SCT). Les fonctionnaires du SCT à contacter sont Andrée Morissette, agente principale de la politique en matière de protection de la vie privée, 952-3222 ou Morissette.Andree@tbs-sct.gc.ca, et Farryl Loney, analyste principal de la politique en matière de sécurité, 946-5046 ou Loney.Farryl@tbs-sct.gc.ca.

Au sujet des présentes lignes directrices :

À titre de « ministre désigné » aux termes de la Loi sur la protection des renseignements personnels, le président du Conseil du Trésor est chargé d'émettre des directives et des lignes directrices sur l'application de la Loi. Les présentes lignes directrices portent sur les exigences générales énoncées dans les articles 4à 8 de la Loi sur la protection des renseignements personnels en ce qui concerne la collecte, la conservation, l'utilisation, la communication et le retrait des renseignements personnels.

Liens aux politiques et lignes directrices pertinentes

Conseil du Trésor^[3]

Protection des renseignements personnels - Politiques et publications

Document d'orientation : Prise en compte de la protection des renseignements personnels avant de conclure un marché

Politique d'évaluation des facteurs relatifs à la vie privée et lignes directrices connexes

Politique sur la sécurité du gouvernement

Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI)

Norme opérationnelle sur la sécurité matérielle

Norme de sécurité relative à l'organisation et l'administration

Norme pour le transport ou la transmission de renseignements et de biens de nature délicate

Gendarmerie royale du Canada

Guides, rapports et bulletins en sécurité des TI (GRC)

Conteneurs de sécurité; Guide d'équipement de sécurité de la GRC

Centre de la sécurité des télécommunications

Conseils en matière de sécurité des TI : écrasement et déclassification des supports d'information électroniques

Commissariat à la protection de la vie privée

Commissariat à la protection de la vie privée - fiches d'information

---

[1]Peut viser ou inclure tout équipement ou appareil qui a la capacité de conserver, transmettre ou stocker des renseignements personnels. Voici quelques exemples d'équipement ou d'appareil : ordinateurs personnels, ordinateurs portables, mémoires externes, clés USB, disquettes ou CD-ROM, appareils Blackberry non protégés, téléphones cellulaires, photocopieurs dotés ou non d'une capacité de mémoire, classeurs, porte-documents et télécopieurs.

[2]Le site Web du CPVP contient une série de fiches d'information donnant des conseils aux particuliers sur la protection de leurs renseignements personnels, les moyens de réduire les risques de vol d'identité, les mesures à prendre si leurs renseignements personnels sont compromis, etc.

[3]Nota : L'ensemble des politiques du Conseil du Trésor est en cours de révision.