Méthode 20-8

Protocole d'intervention en cas d'atteinte à la vie privée

Adoption

Date : 2018-04-10
Instance d’approbation : Cabinet de la secrétaire générale

Modifications

2024-10-23

Service Responsable : Bureau de l’accès à l’information et de la protection de la vie privée

OBJET

  1. La présente méthode a pour but d’établir un protocole d’intervention en cas d’atteinte à la vie privée (« protocole ») :
    1. qui définit les responsabilités en matière d’intervention dans les cas d’atteinte à la vie privée au sens du Règlement 90 – Accès à l’information et protection des renseignements personnels;
    2. qui entraîne la création d’une équipe d’intervention en cas d’atteinte à la vie privée;
    3. qui instaure la procédure d’intervention à suivre en cas d’atteinte à la vie privée. 

INTERPRÉTATION

  1. La présente méthode s’interprète conformément aux obligations imposées à l’Université par la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP), le Règlement  90 – Accès à l’information et protection des renseignements personnels, le Règlement  125 – Programme de gestion des urgences et de continuité des affaires et toute autre loi ou politique interne connexe applicable.  
  2. Les termes ou expressions encadrés par des parenthèses et des chevrons dans cette méthode sont définis dans le Règlement 90 ou aux présentes. 

RESPONSABILITÉS

  1. En cas d’atteinte à la vie privée (confirmée ou soupçonnée), il incombe aux personnes suivantes d’agir comme suit dans leurs interventions :
    1. Les membres du personnel, les entrepreneurs, les consultants et les mandataires qui travaillent pour l’Université ou en son nom :
      1. atténuent les conséquences de l’atteinte à la vie privée en suspendant le mécanisme ou l’activité qui l’a causée et prennent toute autre mesure provisoire nécessaire pour protéger les autres renseignements personnels dont ils ont la garde ou le contrôle pour le compte de l’Université;
      2. signalent immédiatement le cas d’atteinte à la vie privée à leur superviseure immédiate ou superviseur immédiat, à la personne qui gère leur unité scolaire ou administrative (p. ex. une directrice de département, un vice-doyen ou une doyenne dans le cas d’une unité scolaire, un directeur ou l’équivalent dans le cas d’une unité ou d’un service administratif), ainsi qu’au Bureau de l’accès à l’information et de la protection de la vie privée (« BAIPVP »);
      3. collaborent sans réserve et avec célérité avec le BAIPVP dans son enquête et quant aux mesures pour corriger la situation.
    2. Les gestionnaires ou personnes responsables des renseignements personnels faisant l’objet de l’atteinte à la vie privée :
      1. consignent les précisions sur le cas d’atteinte à la vie privée au moyen du formulaire de déclaration d’atteinte à la vie privée;
      2. transmettent immédiatement au BAIPVP une copie des renseignements personnels faisant l’objet de l’atteinte à la vie privée ou, lorsque c’est impossible, une description aussi détaillée que possible de ces renseignements;
      3. coopèrent sans réserve et avec célérité avec le BAIPVP dans son enquête et quant aux mesures pour corriger la situation;
      4. sur ordre ou conformément aux conseils du BAIPVP, avisent les victimes de l’atteinte à la vie privée et répondent à leurs questions ou préoccupations;
      5. mettent en œuvre des mesures correctives et des sanctions pour mettre fin à la conduite de la partie en cause sous leur supervision (membre du personnel, entrepreneur, consultant, mandataire) qui est responsable de l’atteinte à la vie privée, selon ce qui convient et conformément à toutes les conventions collectives, les conditions d’emploi, les autres relations contractuelles et les politiques applicables. Ces mesures peuvent aller jusqu’au congédiement de la partie en cause ou à la mise à terme de ses liens avec l’Université.
    3. La ou le chef de la protection de la vie privée (« CPVP ») :
      1. avise la secrétaire générale ou le secrétaire général de l’Université du cas d’atteinte à la vie privée signalé au BAIPVP;
      2. coordonne et pilote l’intervention relative à cette atteinte;
      3. communique avec les autorités et services compétents au sein de l’Université, notamment les Technologies de l’information (« TI »), le Bureau de la dirigeante principale de la gestion des risques, le Service de la protection, le Bureau des communications et des affaires publiques, les Affaires étudiantes, les Ressources humaines et le Service de gestion informationnelle, selon la nature et la gravité de l’atteinte à la vie privée;
      4. organise et dirige les réunions et les activités de l’équipe d’intervention en cas d’atteinte à la vie privée, au besoin et selon la nature ou la gravité de l’atteinte;
      5. oriente les gestionnaires quant aux avis à donner aux victimes de l’atteinte à la vie privée, s’il y a lieu, et aux réponses à fournir à leurs questions ou préoccupations;
      6. décide s’il convient ou non d’aviser le Commissaire à l’information et à la protection de la vie privée de l’Ontario et du moment approprié pour le faire puis, le cas échéant, transmet l’avis;
      7. décide des autres mesures nécessaires pour corriger la situation et en informe les personnes compétentes;
      8. présente à la secrétaire générale ou au secrétaire général de l’Université un rapport sur les conclusions et résultats relatifs au cas d’atteinte à la vie privée et à l’intervention effectuée pour le résoudre;
      9. formule des recommandations pour éviter qu’une telle situation se reproduise, par exemple : formation du personnel, resserrement des restrictions à l’accès aux renseignements personnels, renforcement des méthodes de protection des renseignements personnels sur les appareils mobiles, et examen des politiques, procédures et pratiques.
    4. La secrétaire générale ou le secrétaire général de l’Université :
      1. informe la rectrice ou le recteur et le Comité d’administration de l’atteinte à la vie privée et des mesures prises à cet égard, si nécessaire et approprié;
      2. assure l’encadrement de la ou le CPVP et lui donne des conseils et du soutien au besoin. 

ÉQUIPE D’INTERVENTION EN CAS D’ATTEINTE À LA VIE PRIVÉE

  1. La ou le CPVP décide de réunir ou non l’équipe d’intervention en cas d’atteinte à la vie privée (« équipe d’intervention »). Normalement, la ou le CPVP réunit l’équipe d’intervention dans les cas d’atteinte qu’elle ou il juge complexes ou d’envergure. L’équipe d’intervention a deux buts : 1) établir le plan d’intervention en cas d’atteinte à la vie privée (« plan d’intervention ») et s’exercer à l’appliquer; 2) aider et soutenir la ou le CPVP dans la mise en œuvre de ce plan.  
  2. L’équipe d’intervention est composée de personnes désignées pour représenter divers services, notamment les suivants : les TI, le Bureau de la gestion du risque, le Service de la protection, le Bureau des communications et des affaires publiques, la Gestion des effectifs scolaires, les Ressources humaines et le Service de gestion informationnelle.
  3. C’est la ou le CPVP qui réunit au besoin l’équipe et qui la dirige, en veillant à coordonner l’intervention des divers services et secteurs de l’Université.
  4. Une fois que la situation d’atteinte à la vie privée est résolue, la ou le CPVP peut réunir de nouveau l’équipe pour revenir sur l’incident et rectifier le plan d’intervention au besoin. Cette dernière présentera également des recommandations à la ou au CPVP ou à d’autres autorités universitaires compétentes dans une optique de prévention et de préparation.
  5. La ou le CPVP peut réunir l’équipe d’intervention aussi souvent qu’elle ou il le souhaite aux fins suivantes ou pour d’autres fins qu’elle ou il juge pertinentes :
    1. s’assurer que les membres de l’équipe d’intervention comprennent leurs rôles et leurs responsabilités;
    2. examiner le plan d’intervention pour décider s’il doit être révisé, et recommander des améliorations;
    3. vérifier si les consultants, les experts ou les entrepreneurs ayant précédemment participé à des interventions liées à des cas d’atteintes à la vie privée ont répondu adéquatement aux besoins de l’Université et, s’il y a lieu, trouver d’autres prestataires dont les services pourraient être retenus pour les autres cas à venir;
    4. simuler la mise en œuvre du plan d’intervention face à divers types de cas d’atteinte à la vie privée;
    5. entreprendre toute autre activité préparatoire que l’équipe d’intervention jugera pertinente. 

PROCÉDURE D’INTERVENTION EN CAS D’ATTEINTE À LA VIE PRIVÉE

  1.  Il y a six étapes à suivre en cas d’atteinte à la vie privée (que celle-ci soit confirmée ou soupçonnée), comme le montre l’annexe A de la présente méthode. Les étapes 1, 2 et 3 devraient avoir lieu simultanément ou se succéder rapidement.
  2. Si l’atteinte à la vie privée confirmée ou soupçonnée résulte d’un incident de cybersécurité, le plan d’intervention est exécuté en parallèle avec le Plan de réponse aux incidents de cybersécurité de l’Université.  

ANNEXE A - Procédure à suivre en cas d'atteinte à la vie privée

Étape 1 – Atténuer les conséquences de l’atteinte

  • Prendre immédiatement des mesures pour atténuer les conséquences de l’atteinte à la vie privée. 
    • Exemples : modifier le mot de passe, désactiver l’application ou le site Web compromis, bloquer l’accès, prendre des mesures de précaution matérielles (comme un cadenas à clé). 

Étape 2 – Effectuer un signalement à l’interne

  • Signaler sans attendre le cas d’atteinte à la vie privée (confirmée ou soupçonnée) : 
    • au BAIPVP ([email protected] ou 613-562-5800, poste 1851);
    • à sa superviseure immédiate ou son superviseur immédiat ainsi qu’à la personne qui gère son unité scolaire ou administrative (p. ex. une directrice de département, un vice-doyen ou une doyenne dans le cas d’une unité scolaire, un directeur ou l’équivalent dans le cas d’une unité ou d’un service administratif).

Étape 3 – Mener une évaluation préliminaire

  • La ou le gestionnaire soumet le formulaire de déclaration d’atteinte à la vie privée au BAIPVP dans les 24 heures suivant la découverte de l’incident. Le formulaire doit être accompagné d’une copie des renseignements personnels ayant fait l’objet de l’atteinte à la vie privée ou, si cette copie ne peut être produite, d’une description la plus détaillée possible des renseignements personnels en cause.
  • La ou le gestionnaire doit également consigner les développements et la chronologie des événements.

Étape 4 – Évaluer les risques

  • La ou le CPVP : 
    • évalue la nature des renseignements personnels en cause;
    • entreprend une évaluation complète des risques que pose la divulgation de renseignements personnels.

Étape 5 – Envisager l’avis

  • Pour déterminer s’il est nécessaire d’aviser les personnes touchées, la ou le CPVP doit tenir compte des obligations juridiques, des obligations contractuelles et des risques repérés à l’étape 4 ci-dessus.
  • S’il est jugé qu’un avis s’impose, celui-ci doit être transmis le plus tôt possible.
  • Il incombe à la ou au gestionnaire de l’unité scolaire ou administrative ou du bureau où l’atteinte à la vie privée est survenue d’aviser les personnes touchées.

Étape 6 – Atténuer et prévenir

  • Au besoin, la ou le CPVP prend d’autres mesures dans les limites de ses pouvoirs pour atténuer ou rectifier les conséquences de l’atteinte à la vie privée. Ces mesures doivent être proportionnelles à la gravité de la situation et aux risques repérés à l’étape 4 ci-dessus.
  • La ou le CPVP envisage aussi des mesures correctives pour prévenir les futurs cas d’atteinte à la vie privée et informe les autorités compétentes de l’Université de ses conclusions et recommandations en la matière.