Le gouvernement de la Colombie-Britannique met à jour la loi sur la liberté d'information et la protection de la vie privée (FIPPA)
Depuis le 1er février 2023, les modifications apportées à la loi sur l'accès à l'information et la protection de la vie privée de la Colombie-Britannique (FIPPA) sont entrées en vigueur. Les nouvelles exigences, qui faisaient initialement partie d'une série d'amendements promulgués en novembre 2021, s'appliquent désormais à plus de 2 900 organismes publics qui sont régis par la FIPPA (de manière générale - tous les ministères et la fonction publique au sens large).
Ces mises à jour de la FIPPA, qui ont été accueillies favorablement par le Commissariat à l'information et à la protection de la vie privée de la Colombie-Britannique et le ministère des Services aux citoyens, ont légiféré deux changements clés qui auront un impact sur le mode de fonctionnement du secteur public : l'obligation de notifier les violations et l'élaboration de programmes de gestion de la vie privée (PMP).
Nouvelle exigence : Notifications obligatoires des violations
En vertu des nouvelles modifications de la FIPPA, tous les organismes publics de la Colombie-Britannique ont l'obligation de signaler les atteintes à la vie privée. Ce faisant, les notifications de la violation doivent être transmises sans délai à toutes les personnes touchées et au Commissariat à l'information et à la protection de la vie privée de la Colombie-Britannique. Il s'agit maintenant d'un élément obligatoire d'un protocole en quatre étapes que les organismes publics doivent mettre en œuvre et qui est le suivant :
Étape 1 : Contenir la brèche
Des mesures immédiates doivent être prises pour contenir la brèche. Les mesures à prendre comprennent l'arrêt de la pratique non autorisée, l'activation du processus de gestion des brèches requis, le contact avec le responsable de la protection de la vie privée désigné par l'organisation, la détermination de la nécessité de constituer une équipe de réponse aux brèches et la notification à la police si un vol ou d'autres activités criminelles sont impliqués.
Step 2: Evaluate the Risks
Pour évaluer les risques que la violation a causés, les organismes publics touchés devront prendre en compte une multitude de facteurs. Il s'agit notamment des informations personnelles concernées, de la cause et de l'étendue de la compromission, du nombre de personnes et d'autres personnes touchées, et du préjudice prévisible de la violation.
Step 3: Notification
Les organismes publics doivent informer rapidement les personnes concernées et le Commissaire à la protection de la vie privée, conformément à l'article 11.1 du règlement de la FIPPA. Cette notification doit être écrite, directe et inclure les informations requises sur la violation. Pour notifier le Commissariat à l'information et à la protection de la vie privée, il faut remplir un formulaire de déclaration en ligne ou la liste de contrôle des atteintes à la vie privée.
Step 4: Prevention
Des mesures préventives doivent être prises pour s'assurer que de futures atteintes à la sécurité ne se produisent pas. Il s'agira notamment de mener une enquête approfondie sur la violation (qui peut inclure un audit de sécurité obligatoire - potentiellement mené par un tiers lorsque la violation est importante en termes de taille ou de préjudice) et de veiller à ce que les mesures de protection à long terme soient améliorées. En outre, l'organisme public doit former ses employés aux obligations de protection de la vie privée prévues par la FIPPA.
Nouvelle exigence : Programmes de gestion de la confidentialité
En vertu de la nouvelle réglementation de la FIPPA, le ministère des Services aux citoyens du gouvernement de la Colombie-Britannique a publié une directive qui exige que le responsable de tous les organismes publics élabore et maintienne un PMP. Bien que le ministre responsable de la FIPPA n'ait pas l'intention que le PMP soit lourd à mettre en œuvre, l'exécution des sept exigences nécessaires suivantes pourrait obliger les organismes publics à procéder à des changements importants :
- Désigne une personne responsable des questions liées à la vie privée et du développement, de la mise en œuvre et de la maintenance des politiques / procédures de confidentialité conformément à la FIPPA.
- Complète et documente les évaluations d'impact sur la vie privée et les accords de partage d'informations, comme il se doit, en vertu de la loi FIPPA.
- Documente les processus pour répondre aux plaintes et aux violations de la vie privée.
- Mène une sensibilisation / éducation continue sur les activités de protection de la vie privée pour le personnel.
- Veille à ce que les politiques de confidentialité / les processus ou pratiques de confidentialité documentés soient facilement accessibles aux employés et, dans la mesure du possible, au public.
- Mets en place des méthodes pour garantir que les fournisseurs de services sont informés de leurs obligations en matière de confidentialité.
- Contrôle et met à jour régulièrement les PMP conformes à la FIPPA, selon les besoins.
Impact sur les organismes publics et les prestataires de services
Comme les amendements à la FIPPA sont maintenant en place, les organismes publics de la Colombie-Britannique devraient immédiatement revoir leurs PMP actuels et se préparer à mettre à jour et à développer ces programmes afin d'être conformes à la FIPPA.
Ces nouvelles mesures de conformité s'étendent aux organisations qui agissent en tant que fournisseurs de services pour les organismes publics en Colombie-Britannique. Pour s'assurer que les nouvelles exigences de la LAIPVP sont respectées, les dialogues et la collaboration en matière de protection de la vie privée doivent être permanents entre le Bureau de la protection de la vie privée et le personnel chargé de l'approvisionnement de l'organisme public. Ces mesures de protection sont particulièrement pertinentes lorsqu'un organisme public envisage d'attribuer un contrat à un fournisseur de services en nuage. Il convient alors de mener des enquêtes minutieuses sur les pratiques du fournisseur de services en matière de protection de la vie privée, et de remplir et joindre une annexe sur la protection de la vie privée si le contrat est attribué avec succès.
