Protocole d'intervention en cas d'atteinte à la vie privée

Adoption
Date : 2018-04-10
Instance d'approbation : Secrétaire générale de l'Université
Service responsable : Cabinet de la secrétaire générale

OBJET

  1. La présente méthode a pour but d’établir un protocole d’intervention en cas d’atteinte à la vie privée (le « protocole ») :
    1. qui définit les responsabilités en matière d’intervention dans les cas d’atteinte à la vie privée au sens du Règlement 90 de l’Université;
    2. qui crée une équipe d’intervention en cas d’atteinte à la vie privée;
    3. qui instaure la procédure d’intervention à suivre pour réagir en cas d’atteinte à la vie privée.

INTERPRÉTATION

  1. La présente méthode s’interprète conformément aux obligations imposées à l’Université par la LAIPVP, toute autre législation sur l’accès à l’information et la protection de la vie privée applicable et le Règlement 90 – Accès à l’information et protection des renseignements personnels.
  2. Les termes ou expressions encadrés par des parenthèses et des chevrons dans cette méthode sont définis dans le Règlement 90 ou aux présentes.

RESPONSABILITÉS

  1. 4.    En cas d’atteinte à la vie privée (confirmées ou soupçonnées), il incombe aux personnes suivantes d’agir comme suit dans leurs interventions.
    1. Les employés, les entrepreneurs, les consultants ou autres mandataires œuvrant pour l’Université ou en son nom :
      1. neutralisent l’atteinte à la vie privée en suspendant le mécanisme ou l’activité qui l’a causée et prennent toute autre mesure provisoire nécessaire pour protéger les autres renseignements personnels dont ils ont la garde ou le contrôle pour le compte de l’Université;
      2. déclarent immédiatement l’atteinte à la vie privée à leur superviseur immédiat, au gestionnaire principal de leur unité scolaire ou administrative (p. ex. un directeur de département, un vice- doyen ou un doyen dans le cas d’une unité scolaire, un directeur ou l’équivalent dans le cas d’une unité ou d’un service administratif) et au BAIPVP;
      3. collaborent sans réserve et avec célérité avec le BAIPVP dans son enquête et quant aux mesures de redressement qu’il prend à l’égard de l’atteinte à la vie privée.
    2. Les gestionnaires ou personnes responsables des renseignements personnels faisant l’objet de l’atteinte à la vie privée :
      1. consignent les précisions sur l’atteinte à la vie privée au moyen du formulaire de déclaration d’atteinte à la vie privée;
      2. transmettent immédiatement au BAIPVP une copie des renseignements personnels faisant l’objet de l’atteinte à la vie privée ou, lorsque c’est impossible, une description aussi détaillée que possible de ces renseignements;
      3. coopèrent sans réserve et avec célérité avec le BAIPVP dans son enquête et quant aux mesures de redressement qu’il prend à l’égard de l’atteinte à la vie privée;
      4. sur ordre ou conformément aux conseils du BAIPVP, avisent les victimes de l’atteinte à la vie privée et répondent à leurs questions ou préoccupations;
      5. mettent en œuvre des mesures correctives et des sanctions pour mettre fin à la conduite de l’employé, de l’entrepreneur, du consultant ou du mandataire sous leur supervision qui est responsable de l’atteinte à la vie privée, selon ce qui convient et conformément à toutes conventions collectives, conditions d’emploi, autres relations contractuelles ou politiques applicables. Ces mesures peuvent aller jusqu’au congédiement de la personne en faute ou à la mise à terme de ses liens avec l’Université.
    3. La direction :
      1. avise le Secrétariat général de l’Université de l’atteinte à la vie privée signalée au BAIPVP;
      2. coordonne et pilote l’intervention relative à cette atteinte;
      3. communique avec les autorités et services compétents au sein de l’Université, notamment les Technologies de l’information, les Services juridiques, le Bureau de la gestion du risque, la Direction générale des communications, la Gestion des effectifs scolaires, les Ressources humaines et le Service de gestion informationnelle, selon la nature et la gravité de l’atteinte à la vie privée;
      4. organise et dirige les réunions et activités de l’équipe d’intervention en cas d’atteinte à la vie privée, au besoin et selon la nature ou la gravité de l’atteinte;
      5. donne aux gestionnaires des directives et des conseils relatifs aux avis à donner, lorsque cela est justifié, aux victimes de l’atteinte à la vie privée et aux réponses à donner aux questions ou préoccupations exprimées par elles;
      6. décide d’aviser ou non de l’atteinte le commissaire à l’information et à la protection de la vie privée de l’Ontario et du moment de le faire et, dans l’affirmative, transmet l’avis;
      7. décide des autres mesures de redressement nécessaires à l’égard de l’atteinte à la vie privée et en informe les personnes compétentes;
      8. présente au Secrétariat général de l’Université un rapport sur les conclusions et résultats relatifs à l’atteinte à la vie privée et à l’intervention faite pour la résoudre;
      9. formule des recommandations relatives à la prévention de nouvelles atteintes semblables, comme la formation des employés, le resserrement des restrictions à l’accès aux renseignements personnels, le renforcement des méthodes de protection des renseignements personnels stockés dans les appareils mobiles et l’examen des politiques, procédures et pratiques, entre autres mesures.
    4. Le Secrétariat général de l’Université :
      1. informe le recteur et le Comité d’administration de l’atteinte à la vie privée et des mesures nécessaires et justifiées prises à cet égard;
      2. assure une supervision de la direction et, s’il le faut, lui donne les conseils nécessaires.

ÉQUIPE D’INTERVENTION EN CAS D’ATTEINTE À LA VIE PRIVÉE

  1. La direction décide de réunir ou non l’équipe d’intervention en cas d’atteinte à la vie privée (« équipe d’intervention ». Normalement, elle réunit l’équipe d’intervention dans les cas d’atteinte complexe ou à grande échelle, selon son jugement. L’équipe d’intervention a deux buts : 1) se préparer à la mise en œuvre du protocole d’intervention en cas d’atteinte à la vie privée; 2) aider et soutenir la direction dans la mise en œuvre de ce protocole.
  2. L’équipe d’intervention comprend des représentants prédésignés des services suivants, entre autres : les Technologies de l’information, les Services juridiques, le Bureau de la gestion du risque, la Direction générale des communications, la Gestion des effectifs scolaires, les Ressources humaines et le Service de gestion informationnelle.
  3. Une fois réunie l’équipe d’intervention, la direction la dirige, au besoin, en veillant à coordonner en temps utile les efforts des divers services et secteurs de l’Université dans son intervention générale en réaction à l’atteinte à la vie privée.
  4. Une fois l’atteinte réglée, la direction peut réunir de nouveau l’équipe d’intervention pour faire un bilan de l’incident dans le but d’étudier de possibles révisions du présent protocole d’intervention ou de communiquer à la direction ou à d’autres autorités universitaires compétentes d’autres recommandations relatives à la prévention et à l’état de préparation en cas de nouvelles atteintes à la vie privée.
  5. La direction peut réunir l’équipe d’intervention aussi souvent qu’elle le souhaite aux fins suivantes ou pour d’autres fins pertinentes selon son jugement :
    • s’assurer que les membres de l’équipe d’intervention comprennent leurs rôles et responsabilités;
    • examiner le protocole d’intervention en cas d’atteinte à la vie privée afin de décider s’il doit être révisé et formuler des recommandations de révision;
    • vérifier si des consultants, des experts ou des entrepreneurs de l’extérieur susceptibles d’avoir fourni des services de soutien dans les interventions antérieures relatives à des atteintes à la vie privée ont bien répondu aux besoins de l’Université et, s’il le faut, trouver d’autres consultants, experts ou entrepreneurs dont les services pourraient être retenus pour des interventions en cas de nouvelles atteintes à la vie privée;
    • simuler la mise en œuvre du protocole d’intervention en cas d’atteinte à la vie privée face à divers types d’atteinte à la vie privée;
    • entreprendre toute autre activité de préparation que l’équipe d’intervention jugera recommandée.

PROCÉDURE D’INTERVENTION EN CAS D’ATTEINTE À LA VIE PRIVÉE

  1. Il y a six étapes à suivre en cas d’atteinte à la vie privée (que celle-ci soit confirmée ou soupçonnée), comme le montre l’annexe A de la présente méthode. Les étapes 1, 2 et 3 devraient avoir lieu simultanément ou se succéder rapidement.

MODIFICATION

  1. Le Secrétariat général de l’Université peut approuver des exceptions ou apporter des modifications à la présente méthode.

ANNEXE A - Procédure à suivre en cas d'atteinte à la vie privée

Étape 1 - Neutraliser l'atteinte
  • Prendre immédiatement des mesures pour neutraliser l'atteinte.
    • P. ex. modifier le mot de passe, désactiver l'application ou le site Web compromis, bloquer l'accès, aménager des balises de protection physiques.
Étape 2 - Déclarer l'atteinte à l'interne
  • Déclarer sans attendre l'atteinte à la vie privée (confirmée ou soupçonnée) :
    • au BAIPVP ([email protected] our 613-562-5800 poste 1851); et
    • au superviseur immédiat ainsi qu'au gestionnaire à la tête de l'unité scolaire ou administrative (p. ex. le directeur d'un département, un vice-doyen ou le doyen dans le cas d'une unité scolaire; un directeur ou l'équivalent dans le cas d'une unité ou d'un service administratif).
Étape 3 - Mener une évaluation préliminaire
  • Le gestionnaire soumet le formulaire de déclaration d'atteinte à la vie privée au BAIPVP dans les 14 heures qui suivent la découverte de l'atteinte. Le formulaire doit être accompagné d'une copie des renseignements personnels ayant fait l'objet d'une atteinte à la vie privée ou, dans les cas où cette copie ne peut être produite, une description la plus détaillée possible des renseignements personnels en cause.
  • Tenir un registre courant détaillant les événements en ordre chronologique.
Étape 4 - Évaluer les risques
  • La direction fait ce qui suit :
    • elle évalue la nature des renseignements personnels en cause;
    • elle entreprend une évaluation complète des risques que pose la divulgation de renseignements personnels.
Étape 5 - Envisager l'avis
  • La direction doit prendre les facteurs qui suivent en considération pour déterminer s'il est nécessaire d'aviser le particulier ou les particuliers en cause : les obligations juridiques, les obligations contractuelles, les risques à la lumière de l'évaluation de la direction à l'étape 4.
  • S'il est jugé que l'avis s'impose, il doit être donné aussitôt qu'il est raisonnablement possible de le faire.
  • Le gestionnaire de l'unité scolaire ou administrative ou du bureau où l'atteinte à la vie privée est survenue se charge d'aviser les particulier en cause.
Étape 6 - Atténuer et prévenir
  • La direction prend les autres mesures à sa portée pour atténuer ou rectifier l'atteinte à la vie privée comme il convient selon la gravité de l'atteinte à la vie privée et l'évaluation qu'elle a fait des risques à l'étape 4.
  • La direction envisage aussi de prendre les autres mesures nécessaires pour empêcher que les circonstances ayant mené à l'atteinte à la vie privée ne surviennent de nouveau et avise les autorités compétentes de l'Université de toute conclusions et de mesures correctives recommandées.