L'atteinte à la vie privée

Type
Politique
Fichier
Politique-sur-les-atteintes-a-la-vie-privee-AD-01-2019-1 [PDF/919KB]

LA CORPORATION DE LA MUNICIPALITÉ DE LA NATION

POLITIQUE SUR LES ATTEINTES A  LA VIE PRIVE  E N⁰ AD-01-2019

Date d’entrée en vigueur: 23 septembre 2019

Résolution: 584-2019

1.   Déclaration d’engagement organisationnel

La Corporation de la municipalité de La Nation s’engage à protéger les informations personnelles qui sont sous la garde ou sous le contrôle de la municipalité, et à se conformer aux exigences en matière de protection de la vie privée comme prescrit par la Loi sur l’accès à l’information municipale et la protection de la vie privée.

2.   Contexte

La Loi sur l’accès à l’information municipale et la protection de la vie privée procure un droit d’accès à l’information qui se trouve sous le contrôle des institutions conformément aux principes et protège la vie privée des individus en ce qui concerne leurs renseignements personnels qui sont détenus par les institutions et fournit aux individus un droit d’accès à cette information.

Les articles 31 & 32 de la Loi sur l’accès à l’information municipale et la protection de la vie privée décrivent quand une institution peut utiliser et/ou divulguer les renseignements personnels dont elle a la garde ou le contrôle. Quand l’utilisation ou la divulgation de renseignements personnels ou de documents contenant des renseignements personnels enfreignent les articles 31 & 32 de la Loi sur l’accès à l’information municipale et la protection de la vie privée, ou d’une autre loi applicable, une atteinte à la vie privée survient. Les atteintes à la vie privée peuvent survenir quand les renseignements personnels des résidents ou employés sont volés, perdus, ou divulgués par erreur (ex. : des renseignements personnels sont envoyés par courriel à la mauvaise personne par erreur).

3.   Objectif

L’objectif de cette politique est de s’assurer que tous les employés de la municipalité de La Nation, ainsi que tous les membres du conseil municipal se conforment, en tout temps, aux exigences en matière de protection de la vie privée comme prescrit par la Loi sur l’accès à l’information municipale et la protection de la vie privée.

Cette politique confirme l’obligation de la municipalité de La Nation à protéger les renseignements personnels qui sont sous la garde ou le contrôle de l’institution. Les atteintes à la vie privée ébranlent la confiance du public envers une institution et peuvent entraîner des dommages importants pour la municipalité et pour ceux dont les renseignements personnels ont été recueillis, utilisés ou divulgués de façon inappropriée.

Cette politique décrit les étapes qui doivent être suivies lorsqu’une présumée atteinte à la vie privée est signalée afin de veiller à ce qu’elle soit rapidement maîtrisée et examinée pour minimiser le potentiel de propagation supplémentaire des renseignements personnels.

4.   Portée et responsabilité

Cette politique s’applique à tous les employés, bénévoles, agents, entrepreneurs et membres du conseil de la municipalité de La Nation.

La DG/Greffière est responsable de la mise en œuvre et l’application générale de cette politique.

5.        Définitions

« Loi » désigne la Loi sur l’accès à l’information municipale et la protection de la vie privée, L.R.O. 1990, chap. M.56.

« Employé » désigne n’importe quel employé rémunéré, incluant sans s’y limiter, les stagiaires rémunérés qui travaillent à temps plein et à temps partiel, ainsi que les employés saisonniers.

« Municipalité » désigne la Corporation de la municipalité de La Nation.

« Renseignements personnels » désigne des renseignements ayant trait à un particulier qui peut être identifié, incluant :

a) Des renseignements concernant la race, l’origine nationale ou ethnique, la couleur, la religion, l’âge, le sexe, l’orientation sexuelle, l’état matrimonial ou familial de celui-ci;

b) Des renseignements concernant l’éducation, les antécédents médicaux, psychiatriques, psychologiques, criminels ou professionnels de ce particulier ou des renseignements reliés à sa participation à une opération financière;

c) Un numéro d’identification, un symbole ou un autre signe individuel qui lui est attribué;

d) L’adresse et le numéro de téléphone de ce particulier;

e) Ses opinions ou ses points de vue personnels, sauf s’ils se rapportent à un autre particulier;

f) De la correspondance ayant explicitement ou implicitement un caractère personnel et confidentiel, adressé par le particulier à une institution, de même que des réponses à cette correspondance originale susceptibles d’en révéler le contenu;

g) Les opinions ou points de vue d’une autre personne au sujet de ce particulier;

h) Le nom du particulier, s’il figure parmi d’autres renseignements personnels qui le concernent, ou si sa divulgation risque de révéler d’autres renseignements personnels au sujet du

« Atteinte à la vie privée » désigne l’utilisation ou la divulgation de renseignements personnels ou de document contenant des renseignements personnels en violation l’article 31 ou 32 de la Loi.

« Document » désigne un document qui reproduit des renseignements sans égard à leur mode de transcription, que ce soit sous forme imprimée, sur film, au moyen de dispositifs électroniques ou autrement, et inclus :

a) De la correspondance, des notes, livres, plans, cartes, dessins, diagrammes, illustrations ou graphiques, photographies, films, microfilms, enregistrements sonores, bandes magnétoscopiques, documents lisibles par machine, de tout autre matériel documentaire sans égard à leur forme ou à leurs caractéristiques et de toute reproduction de ces éléments d’information;

b) sous réserve des règlements, tout document qui n’a pas pris forme, mais qui peut être constitué au moyen de matériel et de logiciel informatiques ou d’autres matériels de stockage de données, de même que des connaissances techniques normalement utilisées par une institution, à partir de documents lisibles par machine que celle-ci a en sa possession;

6.   Procédure générale

Lorsqu’une atteinte à la vie privée semble avoir été commise, les employés municipaux doivent entreprendre des mesures immédiates. Dans tous les cas d’atteinte à la vie privée ou de violation présumée, la procédure suivante, menée en succession rapide, ou simultanément, doit être suivie.

6.1  Étape 1 : Identifier et alerter

Si une plainte a été reçue ou si vous doutez qu’une atteinte à la vie privée se soit produite, contactez la DG/Greffière ou la personne désignée immédiatement. La DG/Greffière examinera alors la validité de la plainte ou suspicion. Le « Tableau d’évaluation des risques » ci-joint peut être utilisé pour aider à déterminer si une atteinte à la vie privée s’est produite. Si une atteinte à la vie privée est confirmée, la DG/Greffière ou la personne désignée évaluera la sévérité de  l’atteinte et agira en conséquence.

6.2  Étape 2 : Maîtriser

La DG/Greffière doit, en collaboration avec les autres employés, entreprendre les actions suivantes pour maîtriser la présumée atteinte à la vie privée :

  • Extraire et sécuriser tout document associé à la présumée atteinte;
  • Au besoin et selon les circonstances, isoler et suspendre l’accès à tout système associé à la présumée atteinte (ex. : un système d’information électronique, changer les mots de passe, );
  • Suspendre les processus ou pratiques qui semblent avoir servi de source pour la présumée atteinte; et
  • Entreprendre toute autre action nécessaire pour maîtriser la présumée

6.3  Étape 3 : Aviser

La DG/Greffière doit aviser le Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) de toutes les atteintes à la vie privée présumées et confirmées.

La DG/Greffière se doit d’aviser le plus tôt possible tous les individus qui sont touchés par une atteinte à la vie privée, par téléphone suivi d’une lettre formelle qui doit inclure les informations suivantes :

  • L’information entourant la nature de l’atteinte à la vie privée, quelle soit présumée ou confirmée;
  • Les détails de l’atteinte (tel que compris au moment de la notification);
  • Les renseignements personnels spécifiques qui sont affectés;
  • S’il y a lieu, les mesures qui ont été prises jusqu’à présent pour contrôler et réduire les dommages;
  • Les futures démarches prévues pour prévenir de futures atteintes à la vie privée;
  • Les mesures que les individus peuvent prendre pour se protéger; et
  • Les coordonnées pour contacter les employés municipaux et le Commissaire à l’information et à la protection de la vie privée de l’Ontario, s’ils ont des

La DG/Greffière doit gérer toutes les demandes liées aux atteintes à la vie privée et aux actions de la municipalité en réponse à une atteinte présumée ou confirmée. La DG/Greffière ou la personne désignée déterminera si d’autres autorités ou organismes, comme les autorités policières, le bureau du commissaire, et/ou des organismes professionnels/de réglementation doivent être informés de l’atteinte.

6.4  Étape 4 : Enquêter

Une fois que tous les efforts ont été épuisés pour maîtriser la présumée atteinte à la vie privée et que les personnes affectées ont été avisées, la DG/Greffière ou la personne désignée doit entreprendre une enquête afin de tenter d’établir :

  • Si une atteinte à la vie privée s’est produite;
  • Une ligne de temps des événements qui ont mené à l’atteinte;
  • La source de l’atteinte, incluant toutes les politiques et procédures responsables pour l’atteinte;
  • La nature et la sensibilité des renseignements personnels divulgués;
  • Le nombre d’individus affectés; et
  • Tout autre facteur pertinent en lien avec les circonstances;

6.5  Étape 5 : Rapport et suivi

Une fois l’enquête achevée, un rapport doit être préparé par la DG/Greffière ou la personne désignée précisant les résultats de l’enquête, incluant les recommandations pour minimiser les incidents éventuels. Conformément aux pratiques exemplaires en matière de protection de la vie privée, une copie du rapport doit être envoyée au CIPVP, de même qu’à tous les individus qui ont été touchés par l’atteinte à la vie privée.

7.   Tableau d’évaluation des risques

Le « Tableau d’évaluation des risques » peut être utilisé pour aider à déterminer si une atteinte à la vie privée s’est produite. Si vous répondez « Non » à tous les facteurs de risque, il y a une faible probabilité que des renseignements personnels aient été compromis et il est peu probable que ce soit une atteinte qui doit être déclarée. La DG/Greffière prendra tout de même la décision finale.

Évaluation des risques

Risque de vol d’identité.

Est-ce qu’il y a un risque de vol d’identité ou d’autre fraude?

Le vol d’identité est une préoccupation si l’atteinte inclus de l’information non cryptée comme des noms conjointement avec des numéros d’assurance sociale, des numéros de carte de crédit, des numéros de permis de conduire, des numéros médicaux personnels, des numéros de carte de débit avec les informations relatives au mot de passe ou toute autre information qui peut être utilisée par de tierces parties pour de la fraude (ex. : informations financières).

Risque de dommage physique

Est-ce que la perte d’information met une personne à risque de dommage physique ou de harcèlement?

Risque de préjudice, d’humiliation, de dommage à la réputation

Est-ce que la perte d’information pourrait mener à des préjudices, de l’humiliation ou des dommages à la réputation d’un individu?  Ce type de préjudice peut se produire avec la perte d’information comme des dossiers médicaux ou disciplinaires.

4- Risque de perte d’affaires ou de possibilités d’emploi

Est-ce que la perte d’information pourrait endommager la réputation d’un individu, affectant les opportunités d’affaires ou d’emploi?

Politique sur l’Atteinte à la vie privée en format PDF