Il faut prendre des mesures dès qu’une atteinte à la vie privée est présumée ou découverte.
Étape 1 : Limiter l’atteinte
Dès qu’une atteinte est découverte ou présumée :
- signaler immédiatement l’atteinte en interne à votre supérieur et au chef de la protection de la vie privée;
- procéder à une première évaluation des événements;
- prendre des mesures immédiatement pour mettre fin à l’atteinte et empêcher toute nouvelle communication des renseignements personnels;
- sécuriser et récupérer tout renseignement personnel déjà communiqué;
- déterminer qui, au sein de votre organisation, doit être informé. La haute direction, les conseillers juridiques, les responsables de la sécurité informatique et les responsables des communications en sont quelques exemples;
- constituer une équipe d’intervention, si nécessaire, et définir le rôle et les responsabilités de chacun.
Étape 2 : Évaluer les risques
- Identifier le type de renseignements personnels concernés par l’atteinte et évaluer le niveau de risque. Le contexte de l’atteinte joue également un rôle important dans la détermination de la sensibilité.
- Déterminer la cause et l’ampleur de l’atteinte. Déterminer comment l’atteinte est survenue, quels systèmes ont été touchés, le risque d’exposition continue, la quantité de données consultées et les destinataires potentiels.
- Comprendre qui est concerné par l’atteinte (par exemple employés, étudiants, etc.) et combien de personnes sont touchées.
- Déterminer les dommages prévisibles pour les personnes concernées. Tenir compte de facteurs tels que :
o si les renseignements peuvent être utilisés à des fins malveillantes telles que la fraude ou le vol d’identité;
o le destinataire des renseignements personnels. Par exemple, un employé qui a reçu les renseignements par erreur et qui en informe l’expéditeur est moins susceptible d’utiliser les renseignements à mauvais escient;
o la relation entre la personne touchée et le destinataire.
Étape 3 : Fournir un avis
Il n’est pas toujours nécessaire de fournir des avis concernant les atteintes, mais dans certains cas, cela peut aider à réduire le préjudice potentiel découlant d’une atteinte. La LDIPVP exige des organismes publics qu’ils informent les personnes concernées dès que possible si une atteinte à la vie privée présente un risque de préjudice important. Dans ce cas, la LDIPVI exige également que l’ombud soit informé.
Un préjudice grave est défini dans la LDIPVP comme une lésion corporelle, une humiliation, un dommage à la réputation ou aux relations, une perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles, une perte financière, un vol d’identité, un effet négatif sur le dossier de crédit et un dommage aux biens ou leur perte.
Facteurs clés à prendre en compte pour déterminer si une atteinte à la vie privée crée un risque de préjudice grave :
- la sensibilité des renseignements personnels qui ont fait l’objet d’une atteinte;
- la probabilité que les renseignements personnels ont été, sont ou seront utilisés à mauvais escient;
- qui a accès aux renseignements personnels qui ont fait l’objet d’une atteinte;
- la rapidité avec laquelle l’atteinte a été limitée.
Étape 4 : Prévenir de futures atteintes
- Enquêter sur l’atteinte pour déterminer comment elle s’est produite, déterminer les points faibles et formuler des recommandations pour éviter qu’une atteinte similaire ne se reproduise.
- Élaborer un plan de mise en œuvre des recommandations et des mesures correctives. Il pourrait s’agir de modifier les politiques ou les procédures, d’améliorer les garanties de sécurité ou d’offrir de la formation au personnel.