RA-08 - Évaluations des facteurs relatifs à la vie privée (Pa--)
Énoncés :
Effectuer des EFVP pour les systèmes, les programmes et les autres activités au moment de :
a. concevoir, développer ou livrer des moyens de traiter les renseignements personnels
b. procéder à une nouvelle collecte des renseignements personnels
a
a. apporter des modifications importantes aux systèmes, aux programmes ou aux activités lorsque des renseignements personnels sont traités
Pour gérer le risque lié à la sécurité, il convient d’effectuer une évaluation des préjudices. Plusieurs systèmes traiteront des renseignements personnels susceptibles de donner lieu à un préjudice advenant une atteinte à la vie privée (contrairement aux données financières ou à la propriété intellectuelle, par exemple). En plus du préjudice potentiel dont pourraient faire l’objet les individus concernés, il pourrait également y avoir des répercussions à considérer sur le plan juridique et réglementaire ou la situation pourrait porter atteinte à la réputation ou aux activités de l’organisation. Par conséquent, une évaluation des préjudices potentiels propres à la protection de la vie privée est nécessaire pour déterminer la catégorisation de la sécurité du système prévu. Une EFVP est une analyse qui démontre comment les renseignements personnels sont traités pour assurer que ce traitement est conforme aux exigences applicables en matière de protection de la vie privée et qu’il est possible de déterminer les préjudices possibles au respect de la vie privée qui sont associés à un système d’information ou à une activité. Une EFVP est à la fois une analyse et un document officiel qui donne en détail le processus et les résultats de l’analyse. Les organisations effectuent et élaborent une EFVP suffisamment claire et précise pour démontrer que l’organisation a pleinement pris en compte le respect de la vie privée et a incorporé les menaces liées à la vie privée dès les premières étapes de l’activité de l’organisation et tout au long du cycle de vie de l’information. Afin d’effectuer une EFVP significative, la ou le haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée peut collaborer étroitement avec les gestionnaires du programme, les gardiennes et gardiens de l’information, les praticiennes et praticiens de la gestion de l’information, les expertes et experts des TI, les architectes de la sécurité, les conseillères et conseillers juridiques, et autres membres du personnel de l’organisation. Une EFVP ne se veut pas une activité limitée dans le temps qui est réservée à un jalon ou à un stade particulier du cycle de vie des systèmes d’information ou des renseignements personnels. Elle est plutôt une analyse relative à la vie privée qui se poursuit tout au long du cycle de vie du système et des renseignements personnels. Par conséquent, une EFVP est un document qui doit constamment faire l’objet d’un examen et être mis à jour chaque fois que des changements sont apportés aux TI ou aux pratiques de l’organisation, ou que d’autres facteurs modifient les préjudices possibles au respect de la vie privée qui sont associés à l’emploi de ces technologies. Après avoir effectué l’EFVP, les organisations peuvent se servir de cette information pour communiquer les évaluations des risques relatifs à la sécurité et à la protection de la vie privée. Les organisations peuvent également avoir recours à d’autres processus connexes pouvant porter des noms différents, notamment les évaluations de l’incidence algorithmique. Une EFVP peut aussi informer le public de la posture de l’organisation sur le plan de la protection de la vie privée.