Lignes directrices pour signaler et traiter un incident touchant le respect de la vie privée
Les lignes directrices suivantes ont pour but d’informer les intéressés sur la marche à suivre en cas d’incident touchant le respect de la vie privée.
1. Introduction
Toute violation de renseignements personnels, selon la définition qui en est donnée ci-dessous, peut avoir des conséquences pour la ou les personnes visées.
L’Université doit agir de manière responsable, efficace et conforme à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, chapitre A-2.1 (la « Loi ») lorsqu’elle traite un incident mettant en jeu des renseignements personnels. Ces lignes directrices ont pour but d’informer les intéressés sur la marche à suivre lorsque survient un incident touchant le respect de la vie privée, selon la définition qui en est donnée ci-dessous.
2. Contexte
Les présentes lignes directrices doivent être interprétées en tenant compte des autres politiques et lignes directrices de le Concordia, y compris les suivantes :
3. Définitions
• « CAI » signifie la Commission d’accès à l’information du Québec;
• « Incident touchant le respect de la vie privée » signifie tout incident, avéré ou suspecté, qui découle de l’une des situations suivantes :
a) accès non autorisé à des renseignements personnels;
b) utilisation non autorisée de renseignements personnels;
c) communication non autorisée de renseignements personnels;
d) perte de renseignements personnels; ou
e) toute autre atteinte à la protection de tels renseignements.
Exemples d’incidents touchant le respect de la vie privée
- Consultation de renseignements sur des personnes étudiantes ou des membres du personnel à des fins personnelles
- Collecte de renseignements personnels qui ne sont pas nécessaires à l’exercice des fonctions du personnel de l’Université au moment de la collecte.
- Envoi d’un courriel contenant des renseignements personnels au mauvais destinataire.
- Vol ou perte d’un ordinateur portable contenant des renseignements personnels;
- Communication non autorisée de renseignements personnels à tout organisme public ou privé.
- Perte d’une clé USB contenant des renseignements personnels.
- Communication, que celle-ci soit intentionnelle ou non, de renseignements personnels à des collègues qui n’ont pas l’autorisation de les consulter.
- Violation de données causée par le piratage du serveur local ou distant d’un fournisseur de services sur lequel sont hébergés des renseignements confidentiels fournis par Concordia.
- « Signalement » signifie l’action de signaler un incident touchant le respect de la vie privée aux personnes concernées ou à la CAI.
- « Renseignements personnels » signifie tout renseignement concernant une personne physique qui permet de l’identifier directement ou indirectement. Les renseignements personnels peuvent comprendre le nom, l’adresse, le numéro de téléphone, la photo, le numéro d’assurance sociale, la date et le lieu de naissance, le dossier médical, le parcours scolaire, les diplômes, les antécédents professionnels et l’état civil d’une personne.
- « Ambassadeur du respect de la vie privée » signifie une personne désignée dans certains départements et unités qui a suivi une formation sur les procédures et les outils relatifs à la protection des renseignements personnels et, en particulier, sur les mesures à prendre lorsqu’un incident lié à la protection de la vie privée est susceptible de s’être produit.
- « Responsable du respect de la vie privée » signifie la personne qui doit veiller à la protection des renseignements personnels au sein de l’Université. La responsable du respect de la vie privée peut déléguer ses fonctions au besoin.
- « Membre » signifie une personne étudiante ou une personne employée à temps plein, à temps partiel ou à titre temporaire par l’Université, y compris les membres du personnel et du corps professoral, les boursières et boursiers postdoctoraux, les chercheuses et chercheurs, les membres de l’administration, les stagiaires et les bénévoles.
- « Comité sur le respect de la vie privée » signifie le comité chargé de soutenir l’Université dans l’exercice de ses responsabilités et obligations précisées dans la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, chapitre A-2.1.
- « Renseignements personnels sensibles » signifie les renseignements personnels qui, en raison de leur caractère très personnel ou du contexte de leur utilisation ou de leur communication, doivent être considérés comme particulièrement confidentiels et traités en conséquence.
4. Procédure à suivre pour signaler et traiter un incident touchant le respect de la vie privée
La procédure ci-après s’applique au signalement et au traitement d’un incident touchant le respect de la vie privée.
Détection d’un incident
Tout membre qui suspecte ou qui constate qu’un incident touchant le respect de la vie privée a eu lieu doit prévenir immédiatement l’ambassadeur du respect de la vie privée de son département ou de son unité. L’ambassadeur du respect de la vie privée doit signaler l’incident à la responsable du respect de la vie privée dans les 24 heures suivantes en remplissant ce formulaire. Si le membre ne sait pas qui est l’ambassadeur du respect de la vie privée de son unité, il peut remplir ce formulaire ou communiquer avec le Service de l’accès à l’information et de la protection des renseignements personnels en écrivant à privacy.office@concordia.ca.
Tout tiers, comme un prestataire de services ou un agent, qui détient des renseignements personnels pour le compte de l’Université doit signaler tout incident touchant le respect de la vie privée à la responsable du respect de la vie privée dans les 24 heures suivantes en écrivant à privacy.office@concordia.ca.
Évaluation
Lorsqu’elle est informée d’un incident touchant le respect de la vie privée ou avéré, la responsable du respect de la vie privée doit procéder à l’évaluation initiale de l’incident touchant le respect de la vie privée. Une fois cette évaluation terminée, la responsable du respect de la vie privée doit décider s’il convient de tenir une réunion de l’équipe d’intervention en cas d’incident (« EICI »). L’EICI peut :
- établir l’identité de la ou des personnes dont les renseignements personnels sont à risque;
- établir la nature des renseignements personnels à risque;
- évaluer le niveau de sensibilité des renseignements à risque ainsi que la possibilité que l’incident concerne des renseignements personnels sensibles;
- déterminer le nombre de personnes concernées;
- déterminer si les renseignements personnels ont été chiffrés, anonymisés ou rendus inaccessibles d’une quelconque manière;
- évaluer si et comment les renseignements personnels pourraient être utilisés à des fins préjudiciables;
- vérifier si l’incident touchant le respect de la vie privée est de nature systémique ou s’il s’agit plutôt d’un cas isolé;
- déterminer qui a reçu les renseignements personnels et évaluer s’il existe un lien entre les destinataires non autorisés et les personnes impliquées dans l’incident touchant le respect de la vie privée.
Notification de l’incident (si nécessaire)
Lorsque l’EICI, après consultation avec la responsable du respect de la vie privée, juge que l’incident touchant le respect de la vie privée présente un risque de préjudice grave pour la ou les personnes concernées, la responsable du respect de la vie privée peut décider de porter l’affaire à l’attention du comité sur le respect de la vie privée afin qu’elle soit examinée et qu’une recommandation soit émise par rapport à la pertinence d’aviser les personnes concernées par l’incident ainsi que la CAI. La responsable du respect de la vie privée ou la personne déléguée collaborera étroitement avec le Service des communications de l’Université afin de coordonner les communications destinées aux auditoires interne et externe au sujet de l’incident.
Reprise
L’EICI assure un suivi permanent de l’évaluation initiale et de l’enquête en cours afin d’évaluer si d’autres mesures peuvent être prises pour limiter les effets de l’incident touchant le respect de la vie privée. Si nécessaire, l’EICI évalue la meilleure façon de remettre en état les systèmes touchés. Les systèmes et les activités doivent être rétablis aussi rapidement que possible, mais seulement dans la mesure où cela ne crée pas de nouveaux problèmes de sécurité, n’expose pas l’Université à des incidents supplémentaires et n’entraîne pas la perte ou la destruction involontaire de preuves.
Prévention
Une fois que des mesures ont été prises pour limiter et atténuer les risques liés à l’incident touchant le respect de la vie privée, il peut être nécessaire d’élaborer ou de renforcer des mesures de protection à long terme. À cet effet, l’audit des protocoles de sécurité en place au moment de l’incident doit faire l’objet d’une attention particulière. Le cas échéant, la responsable du respect de la vie privée revoit et met à jour les politiques de l’Université pour tenir compte des enseignements tirés de l’incident.