Gestion des atteintes à la vie privée

La Loi sur le droit à l’information et la protection de la vie privée (LDIPVP) oblige les organismes publics à prendre certaines mesures en cas d’atteinte à la vie privée. Il y a atteinte à la vie privée lorsque des renseignements personnels sont consultés, utilisés, communiqués ou éliminés sans autorisation. Il s’agit par exemple de l’envoi de renseignements personnels à la mauvaise personne ou de la destruction non sécurisée de documents contenant des renseignements personnels. Lorsqu’une atteinte à la vie privée est présumée, les organismes publics doivent agir rapidement.

Dernière mise à jour : novembre 2023

Les renseignements fournis sur cette page sont destinés à fournir des orientations aux organismes publics. L’objectif est d’aider les organismes publics du Nouveau-Brunswick à comprendre comment gérer les atteintes à la vie privée et leurs obligations en vertu de la Loi sur le droit à l’information et la protection de la vie privée (LDIPVP). Les renseignements fournis sur cette page le sont à titre informatif uniquement et ne constituent pas un avis juridique. Les organismes publics doivent consulter leur propre conseiller juridique pour obtenir des avis juridiques concernant la LDIPVP.

La LDIPVP définit une atteinte à la vie privée comme tout incident d’accès, d’utilisation, de communication ou d’élimination non autorisés de renseignements personnels dont a la garde ou la responsabilité un organisme public.

Les atteintes à la vie privée peuvent être accidentelles ou délibérées. Par exemple :

• envoyer un courriel contenant des renseignements personnels à la mauvaise personne;
• fouiller dans des fichiers ou des systèmes contenant des renseignements personnels sans raison professionnelle légitime;
• éliminer des renseignements personnels sans y être autorisé. Par exemple, placer des documents contenant des renseignements personnels dans une corbeille au lieu de les déchiqueter en toute sécurité;
• subir une violation de la sécurité d’un réseau qui donne accès à des renseignements personnels.

Il faut prendre des mesures dès qu’une atteinte à la vie privée est présumée ou découverte.

Étape 1 : Limiter l’atteinte

Dès qu’une atteinte est découverte ou présumée :

• signaler immédiatement l’atteinte en interne à votre supérieur et au chef de la protection de la vie privée;
• procéder à une première évaluation des événements;
• prendre des mesures immédiatement pour mettre fin à l’atteinte et empêcher toute nouvelle communication des renseignements personnels;
• sécuriser et récupérer tout renseignement personnel déjà communiqué;
• déterminer qui, au sein de votre organisation, doit être informé. La haute direction, les conseillers juridiques, les responsables de la sécurité informatique et les responsables des communications en sont quelques exemples;
• constituer une équipe d’intervention, si nécessaire, et définir le rôle et les responsabilités de chacun.

Étape 2 : Évaluer les risques

• Identifier le type de renseignements personnels concernés par l’atteinte et évaluer le niveau de risque. Le contexte de l’atteinte joue également un rôle important dans la détermination de la sensibilité.
• Déterminer la cause et l’ampleur de l’atteinte. Déterminer comment l’atteinte est survenue, quels systèmes ont été touchés, le risque d’exposition continue, la quantité de données consultées et les destinataires potentiels.
• Comprendre qui est concerné par l’atteinte (par exemple employés, étudiants, etc.) et combien de personnes sont touchées.
• Déterminer les dommages prévisibles pour les personnes concernées. Tenir compte de facteurs tels que :

o   si les renseignements peuvent être utilisés à des fins malveillantes telles que la fraude ou le vol d’identité;

o   le destinataire des renseignements personnels. Par exemple, un employé qui a reçu les renseignements par erreur et qui en informe l’expéditeur est moins susceptible d’utiliser les renseignements à mauvais escient;

o   la relation entre la personne touchée et le destinataire.

Étape 3 : Fournir un avis

Il n’est pas toujours nécessaire de fournir des avis concernant les atteintes, mais dans certains cas, cela peut aider à réduire le préjudice potentiel découlant d’une atteinte. La LDIPVP exige des organismes publics qu’ils informent les personnes concernées dès que possible si une atteinte à la vie privée présente un risque de préjudice important. Dans ce cas, la LDIPVI exige également que l’ombud soit informé.

Un préjudice grave est défini dans la LDIPVP comme une lésion corporelle, une humiliation, un dommage à la réputation ou aux relations, une perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles, une perte financière, un vol d’identité, un effet négatif sur le dossier de crédit et un dommage aux biens ou leur perte.

Facteurs clés à prendre en compte pour déterminer si une atteinte à la vie privée crée un risque de préjudice grave :

• la sensibilité des renseignements personnels qui ont fait l’objet d’une atteinte;
• la probabilité que les renseignements personnels ont été, sont ou seront utilisés à mauvais escient;
• qui a accès aux renseignements personnels qui ont fait l’objet d’une atteinte;
• la rapidité avec laquelle l’atteinte a été limitée.

Étape 4 : Prévenir de futures atteintes

• Enquêter sur l’atteinte pour déterminer comment elle s’est produite, déterminer les points faibles et formuler des recommandations pour éviter qu’une atteinte similaire ne se reproduise.
• Élaborer un plan de mise en œuvre des recommandations et des mesures correctives. Il pourrait s’agir de modifier les politiques ou les procédures, d’améliorer les garanties de sécurité ou d’offrir de la formation au personnel.

L’alinéa 4.2(4)b) du Règlement général pris en vertu de la LDIPVP exige que les organismes publics tiennent un registre de chaque atteinte véritable à la vie privée et des mesures correctives prises. Au minimum, le registre doit comprendre une brève description de l’événement, la date à laquelle il s’est produit, le résultat, les mesures d’atténuation recommandées et les mesures correctives prises pour réduire la probabilité qu’un événement similaire se produise. Le suivi des atteintes permet à l’organisation de rendre compte des atteintes à la direction et de déterminer les tendances qui doivent être prises en compte pour prévenir de futures atteintes.

Un guide pour la gestion des atteintes à la vie privée, un modèle de formulaire de signalement des atteintes à la vie privée et un modèle de registre des atteintes à la vie privée seront bientôt mis à la disposition des organismes publics. Consultez à nouveau cette page pour obtenir les mises à jour.