ISACA Québec : Conférence
Nous présenterons un aperçu des dix principes qui sont énoncés dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Nous discuterons ensuite de certaines sources d’information intéressantes ainsi que de certaines observations faites dans le cadre de vérifications et d’enquêtes du Commissariat à la protection de la vie privée du Canada reliées à la protection des renseignements personnels.
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
1. La gouvernance de la
sécurité et la PRP
Noël Lachance
Commissariat à la protection de la
vie privée du Canada
17 février 2015
2. Agenda
• Mandat et Mission
• 10 principes de la LPRPDE
• Observations récentes
• Certains aspects à considérer pour minimiser le
risque et l’impact d’atteintes à la vie privée
• Exemples de sources d’information
intéressantes
2
3. Mandat et Mission
• En vertu de son mandat, le
Commissariat à la protection de la vie privée du Canada (CPVP) a
la responsabilité de surveiller le respect de la
Loi sur la protection des renseignements personnels, laquelle
porte sur les pratiques de traitement des renseignements
personnels utilisées par les ministères et organismes fédéraux, et
de la
Loi sur la protection des renseignements personnels et les documents él
(LPRPDE), la loi fédérale sur la protection des renseignements
personnels dans le secteur privé.
• Le Commissariat à la protection de la vie privée du Canada (CPVP)
a pour mission de protéger et de promouvoir le droit des personnes
à la vie privée.
3
4. Dix principes de la Loi sur la protection des
renseignements personnels et les documents
électroniques (LPRPDE)
4
7. Responsabilités de votre organisation
7
• accepter la responsabilité des renseignements
personnels dont elle a la gestion
• désigner au moins un représentant qui sera responsable
de la conformité de l’organisation
• communiquer l’identité de la personne désignée, sur
demande
• protéger tous les renseignements personnels en la
possession de l’organisation ou sous sa garde, y compris
les renseignements confiés à une tierce partie aux fins
de traitement
8. Responsabilités de votre organisation
8
• par voie contractuelle ou autre, fournir un
degré comparable de protection aux
renseignements personnels qui sont en cours de
traitement par une tierce partie
• élaborer et mettre en œuvre des politiques et
des pratiques pour appuyer les dix principes
définis à l’annexe 1 de la LPRPDE
9. Rapport annuel 2013-2014 LPRP
• Il a été impossible de déterminer à quelle fréquence la
GRC recueillait sans mandat des renseignements sur les
abonnés ou d’évaluer si ces mesures étaient justifiées.
• Perte de la clé USB d’Emploi et Développement social
Canada – notre enquête a montré que le ministère de la
Justice n’a pas non plus concrétisé ses politiques de
sécurité et de protection des renseignements
personnels dans des pratiques opérationnelles
efficaces.
https://www.priv.gc.ca/information/ar/201314/201314_pa_f.asp
9
10. 2ième
ratissage annuel du Global Privacy
Enforcement Network (GPEN)
• Points saillants du ratissage effectué par le Commissariat à la
protection de la vie privée du Canada :
• 28 % des applications expliquaient clairement leur politique
régissant la collecte, l’utilisation et la communication des
renseignements personnels.
• 26 % des applications examinées n’affichaient aucune politique de
confidentialité ou la politique affichée soulevait de vives
préoccupations chez les ratisseurs quant aux modes de collecte,
d’utilisation et de communication des renseignements.
• Parmi les applications les mieux classées figuraient des
applications très prisées dans le cybermarché.
https://www.priv.gc.ca/media/nr-c/2014/nr-c_140910_f.asp
10
11. Observations émanant du rapport de
vérification de l’Agence du revenu du Canada
Sécurité et gouvernance des technologies de
l’information:
•Les responsabilités en matière de sécurité des TI sont
claires
•De nombreux systèmes ne font pas l’objet d’une
évaluation des menaces et des risques
•Des applications locales sont souvent mises en œuvre
sans avoir été examinées et approuvées au préalable.
https://www.priv.gc.ca/information/pub/ar-vr/ar-vr_cra_2013_e.asp
11
12. Observations émanant du rapport de
vérification de l’Agence du revenu du Canada
Atteintes à la vie privée:
•Des mécanismes pour la réalisation d’enquêtes sur les
atteintes à la vie privée ont été mis en place
•Le bureau de l’AIPRP n’est pas régulièrement informé
des atteintes
•De graves atteintes concernant la communication de
renseignements de contribuables ont eu lieu à l’Agence
12
13. Exemples d’outils de soutien à la
conformité
Un programme de gestion de la protection de
la vie privée : la clé de la responsabilité
1.Engagement de l’organisation
2.Mesures de contrôle du programme
3.Élaborer un plan de surveillance et de révision
4.Évaluer et réviser les mesures de contrôle du
programme
http://www.priv.gc.ca/information/guide/2012/gl_acc_201204_f.asp
13
14. • Outil d’autoévaluation
– LPRPDE
Exemples d’outils de soutien à la
conformité
14http://www.priv.gc.ca/information/pub/ar-vr/pipeda_sa_tool_200807_f.pdf
16. Dix conseils pour réduire le risque d’atteinte à
la vie privée
• Sachez à quelles menaces vous vous exposez
• Ne songez pas uniquement aux pirates
• Mais n’oubliez pas non plus les pirates!
https://www.priv.gc.ca/resource/fs-fi/02_05_d_60_tips_f.pdf
16
18. Certains aspects à considérer pour minimiser le
risque d’atteintes à la vie privée
• Comprendre les lois, règlements, instruments de politique
et normes et les appliquer au sein de votre organisation
• Tenir compte des besoins reliés à la protection de la vie
privée et à la sécurité pendant toute la durée du cycle de
vie de l’information et des systèmes
• Accorder à votre responsable de la protection de la vie
privée l’appui de la direction
• Assurez-vous d’une bonne coopération entre le
responsable de la protection de la vie privée et le
responsable de la sécurité
• Préparer vous à une atteinte à la vie privée
18
19. Autres sources d’informations
Bureau du vérificateur général du Canada - Sécurité
http://www.oag-bvg.gc.ca/internet/Francais/parl_lpt_f_1736.html
Rapports de Vérification interne
http://www.tbs-sct.gc.ca/ia-vi/docs/plans-fra.asp
Suite des politiques du Conseil du Trésor
http://www.tbs-sct.gc.ca/pol/index-fra.aspx
Les 35 mesures d’atténuation les plus efficaces du CSTC - Conseils à l’intention
du gouvernement du Canada
https://www.cse-cst.gc.ca/fr/publication/35-mesures-dattenuation-plus-efficaces-du-cstc-con
Critical Security Controls (SANS)
https://www.sans.org/critical-security-controls/ 19