PM-18 - Plan du programme de protection de la vie privée (Pa--)
Énoncés :
a. Élaborer et diffuser le plan du programme de protection de la vie privée panorganisationnel, qui offre une vue d’ensemble du programme de protection de la vie privée de l’organisation et :
1. comprend une description de la structure du programme de prestation des services en matière de protection de la vie privée et des ressources consacrées au programme de protection de la vie privée
2. donne une vue d’ensemble des exigences liées au programme de protection de la vie privée et une description des contrôles de gestion du programme de protection de la vie privée et des contrôles communs qui ont été mis en place ou que l’on envisage de mettre en place en vue de satisfaire ces exigences
3. comprend le rôle de la ou du haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée approprié, décrit la délégation officielle des pouvoirs de l’administratrice générale ou de l’administrateur général, et établit et affecte les rôles et responsabilités des autres cadres supérieures et supérieurs en matière de protection de la vie privée et de leur personnel
4. décrit l’engagement de la direction, les exigences relatives à la conformité, ainsi que les buts et les objectifs du programme de protection de la vie privée
5. tient compte de la coordination parmi les entités organisationnelles responsables des différents aspects de la protection de la vie privée
6. est approuvé par une ou un cadre supérieur ayant les responsabilités et la reddition de comptes nécessaires pour le risque qui pèse sur la protection de la vie privée des opérations organisationnelles (ce qui comprend la mission, les fonctions, l’image et la réputation), les biens organisationnels, les individus, les autres organisations et le gouvernement
b. Mettre à jour le plan [Affectation : fréquence définie par l’organisation] et tenir compte des changements apportés à l’application des lois en matière de respect de la vie privée en fonction de la jurisprudence, des changements stratégiques et organisationnels et des problèmes relevés au cours de la mise en œuvre du plan ou des évaluations de contrôle de la protection de la vie privée
a
a. S’assurer que le plan du programme de protection de la vie privée est communiqué et transmis au personnel responsable de sa mise en œuvre
Le plan du programme de protection de la vie privée est un document formel qui offre une vue d’ensemble du programme de protection de la vie privée d’une organisation, notamment une description de la structure du programme de protection de la vie privée, les ressources consacrées au programme de protection de la vie privée, le rôle de la ou du haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée approprié, les buts et objectifs stratégiques du programme de protection de la vie privée, de même que les contrôles de gestion des programmes et les contrôles communs qui ont été mis en place ou que l’on envisage de mettre en place pour répondre aux exigences de protection de la vie privée applicables et gérer les risques d’atteinte à la vie privée. Le plan des programmes de protection de la vie privée peut être représenté dans un seul document ou un ensemble de documents. Il incombe à la ou au haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée d’établir les contrôles de protection de la vie privée qui seront traités par l’organisation comme des contrôles courants, hybrides, de gestion des programmes et propres aux systèmes. Les plans des programmes de protection de la vie privée fournissent suffisamment d’information sur les contrôles communs et de gestion des programmes de protection de la vie privée (y compris la spécification explicite ou par référence des paramètres d’affectation et de sélection) pour permettre une mise en œuvre clairement conforme à leurs objectifs et la détermination des risques qu’ils représentent, s’ils sont appliqués comme prévu. Les contrôles de gestion des problèmes sont généralement mis en œuvre au niveau de l’organisation et sont essentiels à la gestion du programme de protection de la vie privée de l’organisation. Les contrôles de gestion des programmes se distinguent des contrôles hybrides, courants et propres aux systèmes, puisqu’ils sont indépendants de tout système d’information. Ensemble, les plans de protection de la vie privée individuels et le plan du programme de protection de la vie privée panorganisationnel fournissent une couverture complète des contrôles de protection de la vie privée employés dans l’organisation. Les contrôles communs sont documentés dans une annexe du plan du programme de protection de la vie privée de l’organisation, à moins qu’ils ne soient compris dans le plan de protection de la vie privée distinct d’un système. Le plan du programme de protection de la vie privée panorganisationnel précise quels plans de protection de la vie privée distincts contiennent les descriptions des contrôles de protection de la vie privée.