Pratiques exemplaires – Prévention des atteintes à la vie privée

Introduction

Le présent document, produit par le Bureau de l’accès à l’information et de la protection de la vie privée et par les Technologies de l’information (TI), présente les pratiques exemplaires en matière de prévention des atteintes à la vie privée les plus courantes. Ces pratiques exemplaires devraient être lues en parallèle avec le Règlement 90 – Accès à l’information et protection des renseignements personnels, la Méthode 20-5 – Traitement des demandes d’accès à l’information et des plaintes relatives à la protection de la vie privée, ainsi que les politiques et les procédures des Technologies de l’information.  

Atteintes à la vie privée

Par atteinte à la vie privée, on entend la perte et la communication non autorisées de renseignements personnels sous le garde ou le contrôle de l’Université, ainsi que l’accès non autorisé à ces derniers. Parmi les situations pouvant entraîner une atteinte à la protection de la vie privée, mentionnons le vol ou la perte d’un appareil mobile contenant des renseignements personnels, l’accès à des renseignements personnels non nécessaires à l’exercice des fonctions liées à un poste, ainsi que la divulgation d’un mot de passe.

Pratiques exemplaires

Voici les pratiques exemplaires à suivre pour prévenir les atteintes à la vie privée :

  • Adopter des mesures de sécurité physique robustes pour le stockage des renseignements personnels. Verrouiller la porte de votre bureau en quittant les lieux, mettre sous clé les dossiers renfermant des renseignements personnels (papier et électronique) et limiter l’accès à ces derniers aux membres du personnel qui en ont besoin pour assumer leurs fonctions.  
  • Vérifier que les appareils mobiles renfermant des renseignements personnels sont protégés par des algorithmes d’encodage et des mots de passe robustes[1].
  • Utiliser des mots de passe robustes pour accéder aux comptes de l’Université et ne jamais les révéler à quiconque[2].
  • Ne jamais envoyer de renseignements personnels par courriel à moins d’absolue nécessité (p. ex. informations médicales, NAS, numéro de carte de crédit, numéro de permis de conduire, numéro de carte d’assurance maladie, mot de passe et toute autre information pouvant être utilisée pour commettre des fraudes financières). 
  • Installer et maintenir à jour des logiciels antivirus et anti programme malveillant[3].
  • Mettre à jour les logiciels régulièrement. Marche à suivre sur Windows : cliquer sur Démarrer; taper « Mettre à jour de Windows » dans le champ Recherche; appuyer sur Entrée; dans la fenêtre Mise à jour de Windows, cliquer sur Rechercher des mises à jour; cliquer sur Installer les mises à jour si des mises à jour sont disponibles. Marche à suivre sur un Mac : ouvrir l’App Store; cliquer sur Mises à jour dans la barre d’outils; cliquer sur Installer les mises à jour si des mises à jour sont disponibles.

Vérifier que tout logiciel de tiers tels que Java, Adobe, Firefox ou Chrome fait aussi l’objet de mises à jour régulières.

  • Éviter de sauvegarder des renseignements personnels directement sur le disque dur d’un ordinateur ou d’un appareil mobile; choisir plutôt des réseaux sécurisés comme des lecteurs partagés ou des ports (HOME drives) assignés par l’Université.
  • Ne pas utiliser les services de stockage en ligne tels que Dropbox, Box, One Drive ou Google Drive pour stocker les données de l’Université, sauf si les Technologies de l’information et les Approvisionnements ont examiné et approuvé le stockage en question.  
  • Connecter les appareils mobiles de l’Université uniquement à des réseaux sans fil sécurisés.
  • Ne jamais installer de programmes inconnus ou douteux sur les ordinateurs ou les appareils mobiles.
  • Régler l’impression sécurisée comme paramètre par défaut lors de l’utilisation d’une imprimante partagée.
  • Confirmer l’identité d’une personne avant de lui donner accès à ses renseignements personnels.
  • Ne pas utiliser de renseignements personnels identifiables lors d’essais ou de formations.
  • Déchiqueter avant de les jeter les documents contenant des renseignements identifiables ou des informations sensibles.
  • Conserver les renseignements personnels pendant au moins un an après leur dernière utilisation, puis aussi longtemps que l’exigent les activités de l’Université[4].  
  • Faire preuve de jugement pour empêcher ou contenir les atteintes à la vie privée, par exemple en sécurisant et en signalant au Service de la protection tout appareil mobile laissé sans surveillance. La protection de la vie privée et la sécurité des données sont la responsabilité de tous.  
  • Communiquer avec le Bureau de l’accès à l’information et de protection de la vie privée pour toute question ou préoccupation sur la collecte, l’utilisation ou la communication des renseignements personnels.

Signaler une atteinte à la vie privée

Lorsque vous répondez à un signalement d’atteinte à la vie privée, vous devez suivre les mesures à prendre en cas d’atteinte à la vie privée de l’Université prévues à l’article 14 de la Méthode 20-5 – Traitement des demandes d’accès à l’information et des plaintes relatives à la protection de la vie privée.

Vous devez également signaler tout vol, toute perte ou toute communication involontaire de renseignements personnels à votre supérieur immédiat au Bureau de l’accès à l’information et de la protection de la vie privée et à l’architecte de la sécurité.

Bureau de l’accès à l’information
et de la protection de la vie privée

Pavillon Tabaret, pièce M407         
550, rue Cumberland     
Tél. : 613-562-5800 poste 1667        
Courriel : Tracy.Murray@uOttawa.ca                 
Site Web : Bureau de l’accès à l’information
et de la protection de la vie privée

Technologies de l’information
110, rue Séraphin-Marion
Tél. : 613-562-5800 poste 7623    
Courriel : Sandeep.Gupta@uOttawa.ca
Site Web : Technologies de l’information


[1] Pour satisfaire aux exigences minimales de sécurité, voir la Méthode sur le chiffrement acceptable.

[2] Pour savoir comment créer des mots de passe robustes, comment les protéger et comment les modifier, voir la Méthode sur la protection des mots de passe.  

[3] Pour savoir comment réduire au minimum les risques d’infections et d’attaques dirigées contre les biens de TI de l’Université, voir la Méthode sur la protection contre les virus.

[4] Pour en savoir plus sur la conservation et l’élimination des renseignements personnels, voir l’article 14 du Règlement 90.

Haut de page