Qu’est-ce que l’outil d’autoévaluation des risques d’atteinte à la vie privée?

L’outil d’autoévaluation des risques d’atteinte à la vie privée permet aux entreprises et aux institutions fédérales d’établir si une atteinte à la vie privée entraîne un risque réel de préjudice grave pour les individus concernés.

Si une atteinte engendre un tel risque, elle doit être signalée au Commissariat à la protection de la vie privée du Canada. Les institutions fédérales doivent également signaler l’atteinte au Secrétariat du Conseil du Trésor du Canada (SCT).

Les organisations sont également tenues d’aviser tous les individus qui ont été touchés par une atteinte qui entraîne un risque réel de préjudice grave. 

Comment l’outil fonctionne-t-il?

L’outil d’autoévaluation des risques d’atteinte à la vie privée pose aux utilisateurs une série de questions visant à analyser les principaux renseignements relatifs à une atteinte et à évaluer si les circonstances entraînent un risque réel de préjudice grave.

Les questions sont dynamiques, c’est-à-dire qu’elles dépendront des réponses précédemment fournies.

Pour être en mesure de remplir l’autoévaluation, vous devez connaître certains renseignements sur l’atteinte. Plus les renseignements saisis sont précis, plus le résultat le sera également.

Vous devez au minimum indiquer ce qui suit :

• les types de renseignements personnels en cause;
• le nombre de personnes touchées par l’atteinte.

D’autres renseignements peuvent être fournis à l’appui de votre autoévaluation :

• les circonstances de l’atteinte;
• la personne qui a reçu les renseignements personnels;
• la relation entre les personnes touchées par l’atteinte et la partie non autorisée, qui a porté atteinte à la sécurité des renseignements personnels ou à qui les renseignements ont été transmis.

À l’aide des réponses fournies, l’outil évalue le degré de sensibilité des renseignements personnels en cause dans l’atteinte et la probabilité qu’ils soient mal utilisés.

Comment dois-je interpréter les résultats?

Une fois que vous aurez rempli le questionnaire, l’outil indiquera si un risque réel de préjudice grave est probable ou improbable. Ce résultat vous permettra d’établir si vous devez signaler l’atteinte au Commissariat (et au SCT dans le cas d’une institution fédérale) et aviser les individus concernés.

Important : Les résultats fournissent une orientation à votre organisation et ne constituent pas une position officielle du Commissariat; ils ne représentent qu’un élément dont il faut tenir compte pour établir si une atteinte entraîne un risque réel de préjudice grave.

Comment un préjudice peut-il survenir?

S’il est établi qu’il est probable que l’atteinte entraîne un risque réel de préjudice grave, l’outil dressera une liste des moyens possibles d’utiliser les renseignements personnels compromis pour causer du tort à une personne.

Il est à noter que cette liste n’est pas exhaustive et que les organisations devraient tenir compte des autres préjudices possibles et des différentes autres façons par lesquelles ces autres préjudices pourraient se produire. Cette liste vise à permettre aux organisations d’atténuer les risques.

• Chantage, autre
• Chantage, financier
• Exploitation financière
• Fraude bancaire
• Fraude relative à l’identité
• Fraude relative aux paiements
• Hameçonnage
• Humiliation publique
• Renseignements personnels inaccessibles
• Surveillance