Mesures de sécurité

Juin 2015

L’un des principaux rôles du commissaire consiste à enquêter sur des plaintes en matière de protection de la vie privée déposées contre des organisations et à tenter de les résoudre. Ses conclusions varieront selon les faits propres à chaque affaire et la jurisprudence produite au fil du temps. Les conclusions au sujet de certaines questions clés se cristallisent pour former des principes généraux pouvant servir de lignes directrices utiles aux organisations.

Dans ses efforts visant à résumer les principes généraux qui se sont dégagés des décisions judiciaires et des conclusions du commissaire, le Commissariat publie des bulletins d’interprétation de certains concepts clés de la LPRPDE. Ces derniers n’ont pas force exécutoire, mais servent plutôt d’orientation à des fins de conformité à la LPRPDE. À mesure que le commissaire émet d’autres conclusions et que les tribunaux rendent d’autres décisions, ces bulletins d’interprétation peuvent évoluer et se préciser.

I. Dispositions législatives pertinentes de la LPRPDE

Principe 4.7 : Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Principe 4.7.1 : Les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol, ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisée. Les organisations doivent protéger les renseignements personnels, quelle que soit la forme sous laquelle ils sont conservés.

Principe 4.7.2 : La nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation. Les renseignements plus délicats doivent être protégés à un plus haut niveau. La notion de sensibilité est présentée à l’article 4.3.4.

Principe 4.7.3 : Les méthodes de protection devraient comprendre :
(a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux;
(b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif;
(c) des mesures techniques, par exemple l’usage de mots de passe et du chiffrement.

Principe 4.7.4 : Les institutions doivent sensibiliser leur personnel à l’importance de protéger le caractère confidentiel des renseignements personnels.

Principe 4.7.5 : Au moment du retrait ou de la destruction des renseignements personnels, on doit veiller à empêcher les personnes non autorisées d’y avoir accès (article 4.5.3).

II. Interprétations générales des tribunaux

  1. Les enregistrements vidéo qui sont conservés dans un endroit verrouillé et uniquement accessibles par les gestionnaires responsables ou des policiers d’entreprise à la suite d’un incident signalé font l’objet de mesures de sécurité adéquates. Les enregistrements vidéo qui ne contiennent aucun incident devraient être détruits dans un délai approprié. (Eastmond c. Canadien Pacifique Ltée, 2004 CF 852  No 1043)
  2. Le bien-fondé d’une mesure de sécurité doit être évalué en fonction des circonstances existantes, non en fonction de possibles nouveaux usages des technologies existantes ou des technologies qui ne sont pas encore disponibles. (Turner c. Telus Communications Inc., 2005 CF 1601 No 1981)
  3. Une organisation peut mettre en œuvre des mesures de sécurité qui englobent les renseignements personnels à caractère biométrique à condition que l’information soit protégée de manière appropriée. Dans ce cas, les renseignements étaient suffisamment protégés par la conversion d’une empreinte vocale en une matrice de chiffres protégée par d’importantes mesures de sécurité. (Turner c. Telus Communications Inc., 2005 CF 1601 No 1981)
  4. En soi, la divulgation de renseignements personnels ne peut être considérée comme une preuve que les mesures de sécurité sont insuffisantes. Dans ce cas, les renseignements médicaux personnels du demandeur ont été expédiés à une mauvaise adresse et à un conseiller non autorisé en raison d’une erreur administrative. (Townsend c. Financière Sun Life, 2012 CF 550 No 777)

III. Application par le Commissariat dans divers contextes

La question de savoir si une organisation satisfait aux obligations que la LPRPDE lui impose en matière de mesures de sécurité dépend des faits de chaque enquête relative à une plainte. Les exemples suivants illustrent la manière dont le principe de responsabilité de la sécurité a été interprété et appliqué par le Commissariat ainsi que certaines des conclusions générales qu’il a tirées dans différents contextes.

Politiques, pratiques et méthodes

Les renseignements plus sensibles devraient être mieux protégés

Formation des employés

Organismes tiers

Identification et autorisation des clients

Courrier, courriel et télécopieur

 Internet et technologie

Lorsque des atteintes se produisent

Entreposage de renseignements personnels

Responsabilité individuelle

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :