Votre organisme honore-t-il son fardeau de diligence raisonnable dans la gestion d information confidentielle obtenue via Internet? Me René W. Vergé, CISSP, CISA, CIPP/C Associé principal et avocat-conseil Landry Vergé et associés 27 mai 2010 Conférence de l Institut Canadien: Gestion des risques juridiques reliés à l'utilisation d'internet au sein du secteur public
Agenda GESTION DE RISQUES ET Appliquer les standards de l'industrie aux contrôles d'accès sécurisés Mécanisme de contrôle et vérification des termes et conditions d'utilisation des technologies de l'information de l'état Mise en place d'outils et de processus pour faire face aux brèches de sécurité informationnelle Les conséquences à craindre de procédures de sécurité trop fastidieuses et quelques cas vécus 2
Lois applicables et encadrement GESTION DE RISQUES ET Code civil du Québec, art. 36 et 37 Loi sur les archives, art. 7, 8 et 15 (calendrier de conservation des documents) Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels Règlement sur la diffusion de l'information et sur la protection des renseignements personnels Guide de référence du règlement et modèle de pratique de protection des renseignements personnels: http://www.institutionsdemocratiques.gouv.qc.ca/acces-information/documentation.htm 3
Code civil du Québec GESTION DE RISQUES ET Article 36: Peuvent être notamment considérés comme des atteintes à la vie privée d'une personne les actes suivants: 1. Pénétrer chez elle ou y prendre quoi que ce soit; 2. Intercepter ou utiliser volontairement une communication privée; 3. Capter ou utiliser son image ou sa voix lorsqu'elle se trouve dans des lieux privés; 4. Surveiller sa vie privée par quelque moyen que ce soit; 5. Utiliser son nom, son image, sa ressemblance ou sa voix à toute autre fin que l'information légitime du public; 6. Utiliser sa correspondance, ses manuscrits ou ses autres documents personnels. 4
Code civil du Québec GESTION DE RISQUES ET Article 37: Toute personne qui constitue un dossier sur une autre personne doit avoir un intérêt sérieux et légitime à le faire. Elle ne peut recueillir que les renseignements pertinents à l'objet déclaré du dossier et elle ne peut, sans le consentement de l'intéressé ou l'autorisation de la loi, les communiquer à des tiers ou les utiliser à des fins incompatibles avec celles de sa constitution; elle ne peut non plus, dans la constitution ou l'utilisation du dossier, porter autrement atteinte à la vie privée de l'intéressé ni à sa réputation. 5
Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q., chapitre A-2.1 Article 3: Sont des organismes publics: le gouvernement, le Conseil exécutif, le Conseil du trésor, les ministères, les organismes gouvernementaux, les organismes municipaux, les organismes scolaires et les établissements de santé ou de services sociaux. Article 63.1: Un organisme public doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. 6
Exemple de guide de protection de l information découlant d une politique de classification 7
Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q., chapitre A-2.1 Article 63.2: Un organisme public, à l'exception du Lieutenant-gouverneur, de l'assemblée nationale et d'une personne qu'elle désigne pour exercer une fonction en relevant, doit protéger les renseignements personnels en mettant en œuvre les mesures édictées à cette fin par règlement du gouvernement. Article 73: Lorsque les fins pour lesquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, l'organisme public doit le détruire, sous réserve de la Loi sur les archives (chapitre A-21.1) ou du Code des professions (chapitre C-26). 8
Règlement sur la diffusion de l'information et sur la protection des renseignements personnels, c. A-2.1, r. 0.2 Article 7: Un organisme public doit informer le comité visé à l'article 2 des projets d'acquisition, de développement et de refonte d'un système d'information ou de prestation électronique de services qui recueille, utilise, conserve, communique ou détruit des renseignements personnels. Le comité suggère, parmi ces projets, ceux qui doivent être encadrés par des mesures particulières de protection des renseignements personnels. Ces mesures comprennent: 1 la nomination d'une personne chargée de la mise en œuvre des mesures de protection des renseignements personnels pour chaque projet; 2 l'évaluation, dès l'étude préliminaire du projet, des risques d'atteinte à la protection des renseignements personnels; suite 9
Règlement sur la diffusion de l'information et sur la protection des renseignements personnels, c. A-2.1, r. 0.2 suite 3 des mesures propres à assurer la protection des renseignements personnels pendant toute la période de réalisation du projet et son maintien lors de l'utilisation, de l'entretien, de la modification et de l'évolution du système d'information ou de prestation électronique des services visés; 4 la description des exigences* de protection des renseignements personnels dans le cahier de charges ou le contrat relatif au projet, à moins que l'exécutant du contrat soit un autre organisme public; 5 la description des responsabilités des participants au projet en matière de protection des renseignements personnels; 6 la tenue d'activités de formation sur la protection des renseignements personnels à l'intention des participants au projet. 10
Règlement sur la diffusion de l'information et sur la protection des renseignements personnels, c. A-2.1, r. 0.2 Article 7, paragraphe 4: description des exigences* de protection des renseignements personnels: Indiquer les dispositions de la Loi sur l accès applicables aux renseignements communiqués Les mesures de sécurité qui doivent être prises pour en assurer la confidentialité, la limite d utilisation et la destruction éventuelle Une entente de confidentialité doit être complétée par toute personne à qui les renseignements peuvent être communiqués Toute violation ou tentative de violation d une obligation doit être rapportée au responsable de la PRP, qui peut faire des vérifications Mise en œuvre par le biais d une politique et d un processus de gestion des tiers 11
Gestion contractuelle des tiers GESTION DE RISQUES ET Type 1 Type 2 Type 3 Type 4 Type 5 Contrat d impartition important ou stratégique, impliquant le traitement, la conservation et la communication d information sensible sur une base régulière. Contrat d impartition impliquant le traitement, la conservation et la communication d information sensible sur une base occasionnelle ou uniquement la communication d information sensible sur une base régulière. Contrat de services ou d impartition impliquant uniquement la communication limitée d information sensible. Contrat de services n impliquant pas la communication d information sensible, sauf celle communiquée directement à la personne responsable de la prestation des services. Contrat de services ne prévoyant aucune communication d information sensible rattachée à la prestation des services. 12
Gestion contractuelle des tiers GESTION DE RISQUES ET Activités et exigences Type 1 Type 2 Type 3 Type 4 Type 5 Activités préalables au contrat 1 Vérification au préalable 2 Implication du RPRP et sécurité lors de la négociation 3 Analyse de risques Exigences contractuelles 4 Entente de confidentialité 5 Notification d incident majeur 6 Étendue des exigences aux sous-traitants du tiers 7 Mesures de protection de l information 8 Application de la Politique des ressources humaines 9 Restitution/destruction de l information à la fin du contrat 10 Équivalence des politiques du tiers 11 Droit de vérification de l organisation 12 Autoévaluation de sécurité par le tiers 13 Droit d intervention en cas d incident majeur 14 Vérification externe (5025, 5900, 5970, SAS70 I&II, Systrust, etc.) 15 Tests d intrusion périodique 16 Indicateur de performance sécurité (KPI) 17 Balisage à une norme ou standard de sécurité 18 Assignation par le tiers d un Officier de sécurité 13
Modèle de pratiques de protection des renseignements personnels: Interrelations entre les notions 14
Modèle de pratiques de protection des renseignements personnels: Cycle de vie de la PRP 15
Modèle de pratiques de protection des renseignements personnels: BS1 - Recueillir des RP Art. 54 - Loi sur l accès Art. 64 - Loi sur l accès Art. 66 - Loi sur l accès Art. 36 et 37 - Code civil du Québec Art. 65 - Loi sur l accès 16
Modèle de pratiques de protection des renseignements personnels: BS2 Traiter les demandes d accès à des RP et de rectification Art. 53, 83 à 102.1 - Loi sur l accès 17
Modèle de pratiques de protection des renseignements personnels: BS3 Attribuer au personnel les droits d accès aux RP Art. 62 - Loi sur l accès Art. 62 - Loi sur l accès Art. 62 et 76 - Loi sur l accès 18
Modèle de pratiques de protection des renseignements personnels: BS4 Utiliser des RP à l intérieur de l organisme public Art. 65.1 et 67.3 - Loi sur l accès Art. 8 Règlement sur la diffusion Art. 65.1 et 67.3 - Loi sur l accès Art. 8 Règlement sur la diffusion 19
Modèle de pratiques de protection des renseignements personnels: BS5 Communiquer des RP à des tiers à l extérieur de l organisme public Art. 53, 59, 59.1, 60, 60.1, 61, 66 à 70.1 et 171 3º - Loi sur l accès Art. 59 1º 4º, 59.1, 60, 60.1, 61, 63.1, 66 à 70.1 et 125 - Loi sur l accès Art. 53 - Loi sur l accès 20
Modèle de pratiques de protection des renseignements personnels: BS6 Conserver des RP Art. 7, 8 et 15 - Loi sur les archives Article 63.1 - Loi sur l accès 21
Modèle de pratiques de protection des renseignements personnels: BS7 Détruire des RP Art. 53, 63.1 et 73 - Loi sur l accès Art. 7, 8 et 15 - Loi sur les archives 22
Modèle de pratiques de protection des renseignements personnels: BS8 Diffuser l information sur la gestion des RP Art. 71 et 76 - Loi sur l accès Art. 16.1 et 63.2 - Loi sur l accès Art. 2 4 e, 4 3 e 5 e 6 e et 14 e Règlement sur la diffusion 23
Que faire en cas d atteinte à la vie privée? GESTION DE RISQUES ET Incident = non respect des lois touchant à la vie privée et la protection des renseignements Exemple: perte, vol ou divulgation par inadvertance de renseignements personnels 1. Maîtriser la situation Déterminer la portée de l atteinte éventuelle à la vie privée et en limiter les conséquences Récupérer les copies papier des RP S assurer que le destinataire ne conserve aucune copie et obtenir ses coordonnées Déterminer si un accès non autorisé à d autres RP pourrait avoir lieu et prendre les mesures nécessaires 24
Que faire en cas d atteinte à la vie privée? GESTION DE RISQUES ET 2. Notification Identifier les personnes concernées et les informer de la situation (par téléphone ou par écrit) Indiquer la portée de l atteinte à la vie privée et décrire les RP en cause Indiquer les mesures qui ont été ou qui seront prises pour rectifier la situation Préciser que l organisation a fait appel au CPVPC ou à la CAI pour s assurer de remplir toutes ses obligations 25
Que faire en cas d atteinte à la vie privée? GESTION DE RISQUES ET 3. Autres mesures à prendre Informer immédiatement le personnel concerné de l organisation (responsable de la vie privée ou PRP) Collaborer avec le personnel du CPVPC ou de la CAI Mener une enquête interne (maîtrise et notification, circonstances, suffisances des politiques et procédures, étendu des correctifs) S assurer que le personnel reçoive une formation suffisante sur la conformité aux lois applicables 4. Mettre en place un processus global de gestion des incidents à la vie privée, incluant tout les intervenants ainsi que leurs rôle et responsabilités 26
Questions? rene@landryverge.com