Trousse d’urgence pour la protection des renseignements personnels

Supports de substitution

Mai 2013


Le doute qui entoure la communication de renseignements personnels en cas d’urgence peut entraîner une confusion et des retards inutiles. Les conséquences d’une erreur peuvent être considérables. Ces conséquences ont été décrites dans des examens sur la gestion de situations comme le tsunami de 2004 en Asie et l’ouragan Katrina en 2005. 

Les lois sur la protection des renseignements personnels ne devraient pas être considérées comme un obstacle à la communication appropriée des renseignements ni être utilisées pour justifier une inaction. Il existe tout un éventail de lois sur la protection des renseignements personnels au sein des secteurs public et privé aux paliers fédéral, provincial et territorial. Ces lois régissent la collecte, l’utilisation et la divulgation de renseignements personnels et elles renferment toutes des dispositions qui permettent la communication de renseignements personnels en cas d’urgence.

Ce guide s’adresse avant tout aux décideurs des organisations qui sont soumises aux lois fédérales sur la protection des renseignements personnels, mais les pratiques décrites s’appliquent en bonne partie à des organisations relevant d’autres compétences.

Le guide a été élaborée par le Commissariat à la protection de la vie privée du Canada, en collaboration avec les organismes de surveillance de la protection de la vie privée des provinces et territoires suivants : Alberta, Colombie-Britannique, Manitoba, Nouveau-Brunswick, Terre-Neuve-et-Labrador, Territoires du Nord-Ouest, Nouvelle-Écosse, Nunavut, Ontario, Île-du-Prince-Édouard, Saskatchewan et Yukon. Le développement de ce guide fait suite à la Résolution sur la protection des données et les catastrophes naturelles graves,qui a été adoptée en novembre 2011, lors de la 33e Conférence internationale des commissaires à la protection des données et de la vie privée.

L’objectif du guide est d’aider les organisations à améliorer la rapidité et le contenu des communications en cas d’urgence tout en garantissant aux gens que leurs renseignements personnels seront traités de façon appropriée. Il contient :

Remerciements

Nous tenons à remercier le Commissariat à la protection de la vie privée de la Nouvelle-Zélande et le Commissariat à l’information du Royaume-Uni, qui nous ont remis des documents de référence, ainsi que le Commissariat à l’information et à la protection de la vie privée de l’État de Victoria pour sa feuille de renseignements sur les urgences et la protection de la vie privée (janvier 2010), que nous avons adaptée en fonction du contexte canadien.

Foire aux questions – Situations d’urgence et pouvoirs juridiques de communiquer des renseignements personnelsNote de bas de page 1

1. Qu’est-ce qu’une situation d’urgence?

En 2011, les ministres fédéral, provinciaux et territoriaux ont approuvé la deuxième édition du Cadre de sécurité civile pour le Canada, qui définit une situation d’urgence comme suit : « Situation présente ou imminente requérant des actions rapides et coordonnées touchant des personnes ou des biens, pour protéger la santé, la sécurité et le bien-être des personnes ou limiter les dommages aux biens ou à l’environnement ». Une urgence peut être d’origine naturelle, technologique ou humaine. À titre d’exemples, mentionnons les inondations, les tremblements de terre, les déversements de matières dangereuses, les incidents touchant la cybersécurité, les pandémies et le terrorisme.

2. Qui est responsable?

Dans le cadre constitutionnel canadien, les gouvernements provinciaux et territoriaux et les autorités locales sont les premiers à intervenir dans la grande majorité des situations d’urgence. Les gouvernements fédéral et provinciaux/territoriaux jouent des rôles complémentaires quant à la gestion des urgences et chaque compétence dispose d’une loi sur la gestion des urgences qui précise ses responsabilités. Si la situation d’urgence menace de dépasser les ressources d’une province ou d’un territoire, le gouvernement fédéral peut intervenir à la demande expresse de la province ou du territoire en question. Les administrations locales assument beaucoup de responsabilités en matière de gestion des situations d’urgence, en raison des pouvoirs qui leur sont délégués et parce qu’elles sont les intervenants les plus près de l’événement. 

En vertu de la Loi sur la gestion des urgences, Sécurité publique Canada est chargé de faire preuve de leadership en ce qui a trait à la gestion des urgences au Canada en élaborant des programmes, des politiques et des activités qui appuient la gestion des urgences. À ce titre, diverses ressources sur la gestion des urgences ont été produites. Les interventions fédérales en cas d’incidents touchant les intérêts nationaux sont coordonnées par le Centre des opérations du gouvernement (COG) au nom du gouvernement du Canada. Le COG s’acquitte de son rôle en fournissant au gouvernement du Canada et aux organisations de la gestion des urgences des niveaux fédéral, provincial et territorial une surveillance vingt-quatre heures par jour, sept jours par semaine, et une intervention rapide, une connaissance de la situation nationale et une coordination des interventions intergouvernementales.

En 2005, les ministres de la Santé fédéral, provinciaux et territoriaux ont mis sur pied un Réseau pancanadien de santé publique afin d’aider les gouvernements à collaborer au sujet des questions de santé, de rehausser la capacité de santé publique du Canada et d’intervenir en cas d’événements et de menaces pour le public.

3. Est-ce qu’il existe des lois qui portent sur la communication de renseignements personnels par les institutions gouvernementales en cas d’urgence?

Oui. Aux échelons fédéral, provincial et municipal, on dispose en général d’une mesure d’exception au sujet du consentement, qui figure dans les lois sur la protection des renseignements personnels et qui permet la divulgation de renseignements personnels sans consentement, au besoin ou si la loi l’autorise. Les dispositions sur la divulgation propres à l’intérêt public autorisent la divulgation de dossiers dans les cas où on peut croire, en raison de motifs particuliers, qu’il est dans l’intérêt du public d’agir ainsi.

Afin de déterminer les règles et les exceptions qui s’appliquent aux organismes responsables et d’aider les organisations en cas d’urgence, il est préférable de vérifier les exigences touchant le consentement de la compétence concernée. Les règles sur la divulgation de renseignements personnels en vertu de la Loi sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) en situation d’urgence sont précisées aux points 3(a) et 3(b) ci-après.

Les administrations locales ont souvent établi des règlements administratifs et des mesures d’urgence qui comprennent les pouvoirs relatifs à la collecte, à l’utilisation et à la communication des renseignements, y compris des renseignements personnels. Les règlements administratifs municipaux peuvent, par exemple, inclure les pouvoirs suivants :

  • faire le bilan des morts, des blessés et des disparus;
  • coordonner l’aide aux victimes, y compris aux familles des personnes décédées;
  • coordonner les soins aux personnes ayant des besoins spéciaux;
  • déterminer les personnes ou organismes qui participeront aux mesures d’urgence;
  • informer les parents des employés de la ville blessés, disparus ou tués;
  • déterminer les personnes ou organismes dont on devra souligner la participation aux mesures d’urgence. 

Les médecins peuvent disposer de pouvoirs extraordinaires qui ont priorité sur la législation en matière de protection de la vie privée en cas de pandémie. En outre, les lois sur la santé publique peuvent comporter des dispositions qui ont priorité sur les lois sur la protection de la vie privée en cas d’urgence.

La Loi sur la gestion des urgences de 2007 du gouvernement fédéral traite de la communication de renseignements à d’autres ordres de gouvernement et au secteur privé. Notamment, la Loi porte sur un problème propre à la gestion moderne des urgences en accordant au ministre de la Sécurité publique l’autorisation de faciliter la communication de renseignements dans le but d’améliorer la gestion des urgences. La Loi sur le ministère de la Sécurité publique et de la Protection civile autorise la communication de renseignements pour atteindre des objectifs en matière de sécurité publique.

Le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a élaboré une approche concernant la mise en place de services d’alerte d’urgence et de services d’avis à la communauté par téléphone.  Par exemple, le CRTC a conclu qu’il était dans l’intérêt public de permettre aux autorités publiques d’utiliser les numéros de téléphone et les adresses correspondantes contenus dans les bases de données du service 9-1-1, afin d’améliorer l’efficacité des services d’alerte d’urgence par téléphone destinés au public, également appelés services d’avis à la communauté.

a. De quelle façon des renseignements personnels peuvent-ils être communiqués, durant une situation d’urgence, aux termes de la Loi sur la protection des renseignements personnels?

La Loi sur la protection des renseignements personnelsoblige environ 250 ministères et organismes fédéraux à respecter les droits des particuliers en ce qui a trait à la collecte, à l’utilisation et à la divulgation de leurs renseignements personnels.

La règle générale veut que l’on obtienne le consentement de la personne concernée en vue de la divulgation de ses renseignements, mais la Loi sur la protection des renseignements personnels n’est pas un obstacle à une communication adéquate de renseignements personnels par le gouvernement fédéral en cas d’urgence, dans les cas où on ne peut pas obtenir le consentement. L’article 8 de la Loi sur la protection des renseignements personnels précise certaines exemptions particulières qui permettent la divulgation sans consentement, notamment à une fin conforme à une loi ou à un règlement adopté par le Parlement.

La Loi sur la protection des renseignements personnels permet, dans certaines situations, de communiquer des renseignements personnels dans l’« intérêt public ». L’alinéa 8(2)m) de la Loi sur la protection des renseignements personnels autorise la « communication à toute autre fin dans les cas où, de l’avis du responsable de l’institution : (i) des raisons d’intérêt public justifieraient nettement une éventuelle violation de la vie privée; (ii) la personne concernée en tirerait un avantage certain. »

Le pouvoir discrétionnaire général de divulgation, dans l’intérêt public, est conféré au responsable de l’institution gouvernementale. Pour prendre une décision, le responsable doit évaluer l’intérêt public de la divulgation par rapport à l’atteinte à la vie privée que la divulgation pourrait entraîner. L’exercice de ce pouvoir discrétionnaire doit être réalisé de bonne foi, conformément aux principes de la justice naturelle, et se fonder sur des considérations liées aux fins législatives.

Bien que la Loi sur la protection des renseignements personnels précise que l’institution fédérale doit aviser la commissaire à la protection de la vie privée avant la divulgation dans l’intérêt public, elle reconnaît que dans certains cas, le temps est un facteur crucial. Dans les circonstances qui ne permettent pas au responsable de l’institution gouvernementale, d’informer la commissaire avant la divulgation présumée, l’avis doit être envoyé à la commissaire dès que possible après la divulgation.

b. De quelle façon peut-on divulguer des renseignements personnels en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) en cas d’urgence?

La LPRPDE est une loi fédérale sur la protection de la vie privée qui s’applique au secteur privé. Il existe des lois essentiellement similaires à la LPRPDE dans les provinces suivantes : Alberta, Colombie-Britannique et Québec. Il y a en outre des lois essentiellement similaires, au sujet des dépositaires de renseignements sur la santé, dans les provinces suivantes : Nouveau-Brunswick, Terre-Neuve-et-Labrador et Ontario

En général, la divulgation de renseignements personnels en vertu de la LPRPDE ne doit avoir lieu que si la personne concernée est au courant de cette divulgation et a donné son consentement.

Exceptionnellement, l’article 7 de la LPRPDE décrit plusieurs situations dans lesquelles l’information peut être recueillie, utilisée ou communiquée à l’insu de la personne concernée et sans son consentement. Par exemple, l’organisation peut divulguer des renseignements à une institution gouvernementale si cette institution a présenté une demande à cet égard et a précisé la source de l’autorité légitime pour obtenir les renseignements, et si la divulgation est demandée en vue de l’administration d’une loi du Canada ou d’une province (sous-alinéa 7(3)c.1)(iii)).

En outre, une organisation peut communiquer des renseignements personnels sans le consentement de l’intéressé à une institution gouvernementale ou à une subdivision d’une telle institution, à un proche parent de l’intéressé ou à son représentant autorisé si la communication est nécessaire aux fins d’identification de l’intéressé qui est blessé, malade ou décédé. Si l’intéressé est vivant, l’organisation doit l’informer par écrit et sans délai que la communication a eu lieu (sous-alinéa 7(3)(d.4)).

La disposition concernant plus particulièrement la divulgation de renseignements sur la santé et la sécurité, qui figure à l’alinéa 7(3)e) de la LPRPDE, a une portée relativement restreinte. Elle permet la communication de renseignements personnels, à l’insu de la personne concernée et sans son consentement, « à toute personne qui a besoin du renseignement en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de toute personne et, dans le cas où la personne visée par le renseignement est vivante, l’organisation en informe par écrit et sans délai cette dernière ».

c. Comment s’appliquent les lois provinciales et territoriales en matière de protection de la vie privée en cas d’urgence?

Plusieurs organismes de surveillance de la protection de la vie privée à travers le Canada ont élaboré des documents afin d’expliquer de quelle façon les lois sur la protection de la vie privée de leur compétence s’appliquent dans le contexte d’une situation d’urgence.

Pour consulter cette information, utilisez les liens fournis par chaque compétence : Alberta, Colombie-Britannique, Manitoba, Nouveau-Brunswick, Terre-Neuve-et-Labrador, Territoires du Nord-Ouest, Nouvelle-Écosse, Nunavut, Ontario, Île-du-Prince-Édouard, Saskatchewan et Yukon.

Avant une situation d’urgence
Liste de vérification en vue d’une utilisation adéquate des renseignements personnels

1. Déterminer les autorités législatives

Prenez connaissance de votre autorité législative en matière de divulgation et assurez-vous de comprendre dans quelles situations elle s’applique.

2. Rédiger une politique et des procédures

Ainsi, les employés savent quoi faire lorsqu’ils reçoivent une demande portant sur des renseignements personnels de la part d’un organisme gouvernemental, d’une organisation non gouvernementale, de particuliers ou des médias.

  • Préciser les fins auxquelles les renseignements pourront être utilisés : Si votre organisation désire être en mesure d’informer les amis et la famille d’une personne en cas d’urgence ou de catastrophe, elle doit inclure cette fin dans la liste des fins auxquelles les renseignements personnels peuvent être utilisés ou divulgués, et en informer ses clients à l’aide de ses formulaires de consentement et de sa politique en matière de protection de la vie privée. Cela lui conférera une plus grande souplesse quant à la divulgation de renseignements personnels aux membres de la famille et à d’autres personnes pour des motifs de compassion dans les cas où les conditions restreintes établies en vue de divulgations exceptionnelles ne pourraient pas être respectées.
  • Traiter les renseignements personnels délicats avec un soin particulier : Reconnaître que les renseignements personnels de nature délicate, notamment les renseignements sur la santé ou de nature financière, doivent être traités en respectant des précautions supplémentaires (par exemple, une surveillance accrue visant à limiter les fins auxquelles les renseignements peuvent être utilisés, la garantie d’un stockage en lieu sûr, etc.).
  • Vérifier les exigences de votre compétence quant à la divulgation de renseignements concernant une personne décédée : Les lois sur la protection de la vie privée définissent souvent des règles qui régissent la capacité d’agir au nom de la personne décédée. Précisons qu’une exigence quant au consentement peut toujours prévaloir au sujet de la communication de renseignements personnels, même si cette information concerne une personne décédée.

    Par exemple, la Loi sur la protection des renseignements personnels, qui s’applique aux institutions du gouvernement fédéral, accorde certains droits à l’administrateur de la succession, mais uniquement aux fins de l’administration de la succession (article 10 du Règlement sur la protection des renseignements personnels.)

    Actuellement, la LPRPDE ne comporte pas d’exception permettant expressément de divulguer pour des motifs de compassion des renseignements personnels à la famille d’une personne décédée. L’exception ne s’applique que si la vie, la santé ou la sécurité d’une personne est en danger.

3. Établir un cadre décisionnel

Joindre un cadre décisionnel sur la communication de renseignements personnels, qui concorde avec la politique globale de l’organisation sur les urgences, afin d’englober les exigences législatives et pour orienter l’exercice du pouvoir discrétionnaire en ce qui a trait à la communication de renseignements personnels.

4. Garantir la qualité de l’information

Prendre des mesures pour s’assurer que les renseignements personnels conservés par votre organisation sont exacts, exhaustifs et à jour, afin qu’ils soient les plus utiles possible durant une situation d’urgence.

5. Établir les protocoles de communication d’information en cas de besoin

Si votre organisation peut, dans certains cas, offrir de l’aide, vous pouvez conclure des arrangements sur la communication d’information avec des organisations de la gestion des urgences (par exemple, une organisation d’une administration locale), en vue de la coordination des mesures dans les limites de l’autorité législative correspondante.

Il existe plusieurs ressources qui peuvent être consultées en vue de l’élaboration d’ententes d’échanges de renseignements, comme le Document d’orientation pour aider à préparer des Ententes d’échange de renseignements personnels du Secrétariat du Conseil du Trésor et le document Ententes d’échange de renseignements personnels entre gouvernements - Lignes directrices sur les pratiques exemplaires, qui a été élaboré par le Sous-comité sur la protection de la vie privée pour le compte du Conseil des dirigeants principaux de l’information du secteur public.

Les organisations doivent tenir compte des éléments suivants lorsqu’elles élaborent un protocole d’échange de données en cas de situation d’urgence.

  • Établir des dates de début et de fin : Indiquer clairement la période durant laquelle les ententes d’échange de renseignements seront en vigueur, et indiquer leur date de fin.
  • Identifier les autres personnes qui auront accès aux renseignements : Indiquer avec quelles organisations des renseignements seront échangés et imposer des limites à cet égard. S’assurer que le responsable en cas d’urgence qui présente une demande de renseignements fasse état des motifs qui justifient sa demande.
  • Définir le cadre décisionnel : En se fondant sur les autorisations concernant la divulgation, déterminer de quelle façon les renseignements seront communiqués et identifier la personne chargée d’autoriser la divulgation.
  • Déterminer les renseignements personnels qui doivent être communiqués à chaque étape du processus d’autorisation : Ceci permettra de s’assurer que les renseignements communiqués sont ceux qui sont nécessaires dans le cas en question.
  • Restreindre les divulgations aux fins qui sont directement liées à l’urgence : En précisant la quantité de renseignements nécessaires et en adaptant la divulgation à la fin réelle, on facilite la tâche à l’organisation qui effectue la divulgation et à l’organisation qui reçoit les renseignements.
  • Demander que l’information soit conservée ailleurs que dans les systèmes existants de l’organisation qui reçoit l’information : Cela permettra d’archiver ou d’éliminer les renseignements de façon sécuritaire lorsqu’ils ne seront plus nécessaires dans le cadre de la situation d’urgence ou du processus de rétablissement.
  • Garantir la sécurité de l’information : Préciser que des mesures doivent être mises en place pour assurer le transfert et le stockage sécurisés des renseignements (par exemple, cryptage, contrôles de l’accès technique et administratif).
  • Établir des modalités de destruction et d’élimination : Définir un régime de destruction et de retrait des renseignements personnels une fois qu’ils ne sont plus nécessaires, conformément aux obligations législatives.
  • Permettre des droits d’accès et de correction : Établir des procédures permettant aux particuliers d’accéder à leurs renseignements personnels et de les corriger au besoin.
  • Désigner une personne chargée de répondre aux questions et de donner suite aux plaintes : S’assurer de disposer de politiques et de procédures de gestion des plaintes et d’un processus par lequel les personnes concernées et la commissaire à la protection de la vie privée seront avisées en cas d’atteinte à la protection des renseignements personnels.

6. Former vos employés sur la façon de respecter la protection des renseignements personnels en cas d’urgence

Offrir une formation à l’unité d’intervention en cas d’urgence sur la protection des renseignements personnels en général, mais aussi plus particulièrement sur la façon de composer avec la protection des renseignements personnels en situation d’urgence.

Inclure des scénarios d’échange de renseignements personnels dans vos plans généraux de formation sur les urgences afin d’aider votre organisation à mieux comprendre les décisions qui pourraient devoir être prises et la façon d’appliquer les politiques et les procédures pertinentes.

7. Déterminer comment se fera la transition du volet officiel de l’urgence à la reprise des méthodes normales de traitement de l’information

Établir des procédures en vue de la période de transition du volet officiel de l’urgence à la reprise des méthodes normales de traitement de l’information. Envisager le fait que, lorsque la situation d’urgence prendra officiellement fin, il est peu probable que les choses reviennent immédiatement à la normale pour les gens, les entreprises et les organismes touchés.

Pendant une urgence
Liste de vérification en vue d’une utilisation adéquate des renseignements personnels

1. Consulter les politiques et les procédures, et utiliser le cadre décisionnel

Respecter les politiques et les procédures, et utiliser le cadre décisionnel établi avant l’urgence, afin d’orienter les décisions et les actions. Identifier et localiser les personnes de votre organisation qui ont les pouvoirs délégués nécessaires pour communiquer des renseignements personnels dans des circonstances exceptionnelles.

2. Être réceptif et prêt à agir

Il est impossible de prévoir toutes les situations et vous pouvez décider, ou on peut vous demander, de communiquer des renseignements personnels dans des situations non prévues dans les règles et les procédures habituelles. N’oubliez pas qu’il est raisonnable de communiquer des renseignements sur la santé en vue de l’exécution d’une fonction légale (par exemple, celle d’intervenant d’urgence) ou d’aider une personne qui n’est pas apte à donner son consentement.

Par exemple, la famille ou les amis d’une personne peuvent demander si leur proche a été touché par l’incident, ou s’il s’en est sorti, ou poser des questions sur ses allées et venues. Si l’organisation a ajouté cette fin à la liste des fins auxquelles des renseignements personnels peuvent être utilisés, vous aurez la flexibilité nécessaire pour répondre à ces situations.

3. Si aucun protocole d’échange d’information n’est en place, obtenir des réponses aux principales questions liées à l’utilisation de l’information avant de divulguer des renseignements à une autre organisation

Vous devriez idéalement disposer d’un protocole d’échange d’information avec l’organisation qui souhaite obtenir les renseignements, mais cela ne sera pas possible dans toutes les situations. Avant de divulguer des renseignements personnels, il importe donc de prendre les précautions suivantes :

  • S’assurer que l’organisation explique les raisons de la demande de renseignements personnels et précise son autorisation à cet égard. Ainsi, votre organisation sera plus confiante de poser le bon geste en divulguant les renseignements en vertu de son cadre décisionnel.
  • Communiquer aussi peu de renseignements que possible. Préciser le plus possible les renseignements exigés et fournir seulement les renseignements réellement nécessaires, afin de réduire au minimum la quantité de renseignements personnels communiqués. La divulgation de renseignements personnels doit se limiter aux fins directement liées à l’urgence. Cet aspect doit correspondre à la méthode du plan d’échange d’information et de protection des renseignements personnels.
  • Restreindre les fins auxquelles les renseignements seront utilisés : S’assurer que les destinataires de l’information comprennent bien que les renseignements personnels visés sont divulgués à des fins particulières qui sont liées à une urgence.
  • Veiller à ce que les renseignements personnels délicats soient traités avec un soin particulier : Il faut traiter les renseignements personnels délicats, comme les renseignements sur la santé ou les finances, en prenant des précautions supplémentaires (par exemple, une surveillance accrue visant à limiter les fins auxquelles les renseignements peuvent être utilisés, la garantie d’un stockage en lieu sûr, etc.).
  • Veiller à ce que des mesures de sécurité appropriées soient prises : Veiller à ce que les renseignements personnels soient communiqués et stockés de façon à les protéger contre l’usage abusif ou la perte, ou encore l’accès, la modification ou la communication non autorisés.

4. S’efforcer de documenter toute divulgation de renseignements personnels

Dans la mesure du possible, créez un dossier pour chaque divulgation. Indiquez-y :

  • les renseignements personnels qui ont été communiqués;
  • la date à laquelle les renseignements ont été communiqués;
  • la personne à laquelle les renseignements ont été communiqués;
  • les fins auxquelles les renseignements ont été communiqués;
  • la personne qui a autorisé la communication des renseignements;
  • l’autorité législative en vertu de laquelle la communication a eu lieu;
  • toute restriction quant à la façon d’utiliser les renseignements par la suite, notamment la durée de leur conservation et s’ils doivent être renvoyés.

5. Aviser les personnes concernées de toute divulgation

Dans la mesure du possible, aviser par écrit les personnes concernées, ou les parents les plus proches, au sujet des renseignements personnels divulgués, à des fins d’urgence, avant la divulgation ou dès que possible après celle-ci.

Après une urgence
Liste de vérification en vue d’une utilisation adéquate des renseignements personnels

Lorsque la situation d’urgence prendra officiellement fin, il est peu probable que les choses reviennent immédiatement à la normale pour les gens, les entreprises et les organismes touchés. Toutefois, il peut être difficile de déterminer la période requise pour respecter les procédures d’urgence qui ont trait à l’échange d’information.

1. Consulter les politiques et les procédures en matière de protection des renseignements personnels de votre organisation pour connaître les modalités relatives à la reprise de méthodes normales d’utilisation de l’information

Respecter les procédures établies par l’organisation afin de composer avec la période de transition, de la fin officielle de l’urgence à la reprise des méthodes normales d’utilisation de l’information.

Les organisations doivent savoir qu’elles devront peut-être évaluer continuellement si une urgence prévaut.

Il faut rétablir les règles et les procédures normales en matière de collecte, d’utilisation et de communication des renseignements personnels le plus rapidement possible après une situation d’urgence. Il faut toutefois choisir une date à laquelle une personne normale serait en droit de s’attendre. L’avis sur la reprise des règles normales doit être communiqué à grande échelle.

2. Effectuer un suivi sur les renseignements communiqués

Poser des questions pour déterminer si les renseignements ont été utilisés correctement, conformément aux exigences législatives et aux politiques organisationnelles.

3. Évaluer et mettre à jour les politiques et pratiques de l’organisation, au besoin

  • Examiner les politiques et les procédures, ainsi que la formation offerte, en analyser l’efficacité et déterminer s’il y a lieu d’apporter des améliorations.
  • Mettre à jour les politiques et les procédures, les protocoles, les ententes d’échange et la formation offerte aux employés en ce qui a trait aux pratiques liées à la protection des renseignements personnels, au besoin.

Pour de plus amples renseignements, veuillez communiquer avec le Commissariat à la protection de la vie privée du Canada :

1-800-282-1376
www.priv.gc.ca

Date de modification :