PT-01 - Politique et procédures de traitement des renseignements personnels et de transparence (Pa--)
Énoncés :
a. Développer, documenter et diffuser à [Affectation : personnel ou rôles définis par l’organisation] :
1. une politique de protection de la vie privée et des procédures de traitement des renseignements personnels [Sélection (un choix ou plus) : au niveau de l’organisation; au niveau des processus de la mission et des activités; au niveau du système] qui :
(a) définissent les objectifs, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et les obligations en matière de conformité
(b) sont conformes aux lois, à la jurisprudence, aux directives, à la réglementation, aux politiques, aux directives, aux normes et aux lignes directrices applicables
2. les procédures visant à faciliter la mise en oeuvre de la politique de protection de la vie privée et des procédures de traitement des renseignements personnels, ainsi que les contrôles de traitement des renseignements personnels et de transparence connexes
b. Déléguer la responsabilité à [Affectation : responsable désignée ou désigné par l’organisation] pour élaborer, documenter et communiquer la politique et les procédures de traitement de renseignements personnels et de transparence
c. Passer en revue et mettre à jour, par rapport au traitement des renseignements personnels et de la transparence :
1. la politique actuelle [Affectation : fréquence définie par l’organisation] et à la suite de [Affectation : événements définis par l’organisation]
2. les procédures de traitement des renseignements personnels, dont les exigences en matière de transparence, [Affectation : fréquence définie par l’organisation] et à la suite de [Affectation : événements définis par l’organisation]
a. tout le personnel
a.
1. organisationnel
b. chef de la sécurité de l'information organisationnelle
c.
1. triennale; lors de changements significatifs
c.
2. annuelle; lors de changements significatifs
Les politiques de protection de la vie privée et les procédures de traitement des renseignements personnels, dont les exigences en matière de transparence, portent sur les contrôles dans la famille PT qui sont mis en oeuvre dans les systèmes ou qui sont propres aux activités des programmes et à l’organisation. La politique de gestion des risques est un facteur important dans l’établissement de telles politiques et procédures. Les politiques et les procédures contribuent à l’assurance de la sécurité et de la protection de la vie privée. Par conséquent, il est important que les programmes de sécurité et de protection de la vie privée collaborent à l’élaboration des politiques qui visent à documenter le traitement des renseignements personnels et les procédures, ou qui ont une incidence sur ces derniers. Il convient de mettre en place des politiques et des procédures de sécurité et de protection de la vie privée au niveau de l’organisation et de renforcer les procédures de traitement des renseignements personnels propres aux activités des programmes ou aux systèmes. La politique de protection de la vie privée peut être intégrée à la politique générale de sécurité et de protection de la vie privée ou, inversement, elle peut être représentée par de multiples politiques tenant compte de la nature complexe de certaines organisations. Les procédures peuvent être établies au niveau de l’organisation, pour les activités des programmes ou les processus opérationnels, et pour les systèmes, le cas échéant. Les procédures décrivent comment les politiques ou les contrôles sont mis en oeuvre et peuvent s’appliquer aux personnes ou aux rôles qui font l’objet de la procédure. Les procédures peuvent être documentées dans les plans de sécurité et de protection de la vie privée du système ou dans un ou plusieurs documents distincts. Les événements qui peuvent précipiter une mise à jour des politiques de protection de la vie privée et des procédures de traitement des renseignements personnels et de transparence comprennent les constatations tirées d’évaluations ou de vérifications, les effractions ou les changements apportés aux lois, à la jurisprudence, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables. Répéter les contrôles ne constitue pas une politique ou une procédure organisationnelle.