La gouvernance de la
sécurité et la PRP
Noël Lachance
Commissariat à la protection de la
vie privée du Canada
17 février 2...
Agenda
• Mandat et Mission
• 10 principes de la LPRPDE
• Observations récentes
• Certains aspects à considérer pour minimi...
Mandat et Mission
• En vertu de son mandat, le
Commissariat à la protection de la vie privée du Canada (CPVP) a
la respons...
Dix principes de la Loi sur la protection des
renseignements personnels et les documents
électroniques (LPRPDE)
4
Dix principes de la LPRPDE
5
6
Responsabilités de votre organisation
7
• accepter la responsabilité des renseignements
personnels dont elle a la gestion
...
Responsabilités de votre organisation
8
• par voie contractuelle ou autre, fournir un
degré comparable de protection aux
r...
Rapport annuel 2013-2014 LPRP
• Il a été impossible de déterminer à quelle fréquence la
GRC recueillait sans mandat des re...
2ième
ratissage annuel du Global Privacy
Enforcement Network (GPEN)
• Points saillants du ratissage effectué par le Commis...
Observations émanant du rapport de
vérification de l’Agence du revenu du Canada
Sécurité et gouvernance des technologies d...
Observations émanant du rapport de
vérification de l’Agence du revenu du Canada
Atteintes à la vie privée:
•Des mécanismes...
Exemples d’outils de soutien à la
conformité
Un programme de gestion de la protection de
la vie privée : la clé de la resp...
• Outil d’autoévaluation
– LPRPDE
Exemples d’outils de soutien à la
conformité
14http://www.priv.gc.ca/information/pub/ar-...
Observations émanant de récentes vérifications
15
Dix conseils pour réduire le risque d’atteinte à
la vie privée
• Sachez à quelles menaces vous vous exposez
• Ne songez pa...
17
Certains aspects à considérer pour minimiser le
risque d’atteintes à la vie privée
• Comprendre les lois, règlements, inst...
Autres sources d’informations
Bureau du vérificateur général du Canada - Sécurité
http://www.oag-bvg.gc.ca/internet/Franca...
www.priv.gc.ca
@privacyprivée
1-800-282-1376
Merci
Questions?
Prochain SlideShare
Chargement dans…5
×

La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015

802 vues

Publié le

ISACA Québec : Conférence

Nous présenterons un aperçu des dix principes qui sont énoncés dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Nous discuterons ensuite de certaines sources d’information intéressantes ainsi que de certaines observations faites dans le cadre de vérifications et d’enquêtes du Commissariat à la protection de la vie privée du Canada reliées à la protection des renseignements personnels.

Publié dans : Formation
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
802
Sur SlideShare
0
Issues des intégrations
0
Intégrations
212
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015

  1. 1. La gouvernance de la sécurité et la PRP Noël Lachance Commissariat à la protection de la vie privée du Canada 17 février 2015
  2. 2. Agenda • Mandat et Mission • 10 principes de la LPRPDE • Observations récentes • Certains aspects à considérer pour minimiser le risque et l’impact d’atteintes à la vie privée • Exemples de sources d’information intéressantes 2
  3. 3. Mandat et Mission • En vertu de son mandat, le Commissariat à la protection de la vie privée du Canada (CPVP) a la responsabilité de surveiller le respect de la Loi sur la protection des renseignements personnels, laquelle porte sur les pratiques de traitement des renseignements personnels utilisées par les ministères et organismes fédéraux, et de la Loi sur la protection des renseignements personnels et les documents él (LPRPDE), la loi fédérale sur la protection des renseignements personnels dans le secteur privé. • Le Commissariat à la protection de la vie privée du Canada (CPVP) a pour mission de protéger et de promouvoir le droit des personnes à la vie privée. 3
  4. 4. Dix principes de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) 4
  5. 5. Dix principes de la LPRPDE 5
  6. 6. 6
  7. 7. Responsabilités de votre organisation 7 • accepter la responsabilité des renseignements personnels dont elle a la gestion • désigner au moins un représentant qui sera responsable de la conformité de l’organisation • communiquer l’identité de la personne désignée, sur demande • protéger tous les renseignements personnels en la possession de l’organisation ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement
  8. 8. Responsabilités de votre organisation 8 • par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements personnels qui sont en cours de traitement par une tierce partie • élaborer et mettre en œuvre des politiques et des pratiques pour appuyer les dix principes définis à l’annexe 1 de la LPRPDE
  9. 9. Rapport annuel 2013-2014 LPRP • Il a été impossible de déterminer à quelle fréquence la GRC recueillait sans mandat des renseignements sur les abonnés ou d’évaluer si ces mesures étaient justifiées. • Perte de la clé USB d’Emploi et Développement social Canada – notre enquête a montré que le ministère de la Justice n’a pas non plus concrétisé ses politiques de sécurité et de protection des renseignements personnels dans des pratiques opérationnelles efficaces. https://www.priv.gc.ca/information/ar/201314/201314_pa_f.asp 9
  10. 10. 2ième ratissage annuel du Global Privacy Enforcement Network (GPEN) • Points saillants du ratissage effectué par le Commissariat à la protection de la vie privée du Canada : • 28 % des applications expliquaient clairement leur politique régissant la collecte, l’utilisation et la communication des renseignements personnels. • 26 % des applications examinées n’affichaient aucune politique de confidentialité ou la politique affichée soulevait de vives préoccupations chez les ratisseurs quant aux modes de collecte, d’utilisation et de communication des renseignements. • Parmi les applications les mieux classées figuraient des applications très prisées dans le cybermarché. https://www.priv.gc.ca/media/nr-c/2014/nr-c_140910_f.asp 10
  11. 11. Observations émanant du rapport de vérification de l’Agence du revenu du Canada Sécurité et gouvernance des technologies de l’information: •Les responsabilités en matière de sécurité des TI sont claires •De nombreux systèmes ne font pas l’objet d’une évaluation des menaces et des risques •Des applications locales sont souvent mises en œuvre sans avoir été examinées et approuvées au préalable. https://www.priv.gc.ca/information/pub/ar-vr/ar-vr_cra_2013_e.asp 11
  12. 12. Observations émanant du rapport de vérification de l’Agence du revenu du Canada Atteintes à la vie privée: •Des mécanismes pour la réalisation d’enquêtes sur les atteintes à la vie privée ont été mis en place •Le bureau de l’AIPRP n’est pas régulièrement informé des atteintes •De graves atteintes concernant la communication de renseignements de contribuables ont eu lieu à l’Agence 12
  13. 13. Exemples d’outils de soutien à la conformité Un programme de gestion de la protection de la vie privée : la clé de la responsabilité 1.Engagement de l’organisation 2.Mesures de contrôle du programme 3.Élaborer un plan de surveillance et de révision 4.Évaluer et réviser les mesures de contrôle du programme http://www.priv.gc.ca/information/guide/2012/gl_acc_201204_f.asp 13
  14. 14. • Outil d’autoévaluation – LPRPDE Exemples d’outils de soutien à la conformité 14http://www.priv.gc.ca/information/pub/ar-vr/pipeda_sa_tool_200807_f.pdf
  15. 15. Observations émanant de récentes vérifications 15
  16. 16. Dix conseils pour réduire le risque d’atteinte à la vie privée • Sachez à quelles menaces vous vous exposez • Ne songez pas uniquement aux pirates • Mais n’oubliez pas non plus les pirates! https://www.priv.gc.ca/resource/fs-fi/02_05_d_60_tips_f.pdf 16
  17. 17. 17
  18. 18. Certains aspects à considérer pour minimiser le risque d’atteintes à la vie privée • Comprendre les lois, règlements, instruments de politique et normes et les appliquer au sein de votre organisation • Tenir compte des besoins reliés à la protection de la vie privée et à la sécurité pendant toute la durée du cycle de vie de l’information et des systèmes • Accorder à votre responsable de la protection de la vie privée l’appui de la direction • Assurez-vous d’une bonne coopération entre le responsable de la protection de la vie privée et le responsable de la sécurité • Préparer vous à une atteinte à la vie privée 18
  19. 19. Autres sources d’informations Bureau du vérificateur général du Canada - Sécurité http://www.oag-bvg.gc.ca/internet/Francais/parl_lpt_f_1736.html Rapports de Vérification interne http://www.tbs-sct.gc.ca/ia-vi/docs/plans-fra.asp Suite des politiques du Conseil du Trésor http://www.tbs-sct.gc.ca/pol/index-fra.aspx Les 35 mesures d’atténuation les plus efficaces du CSTC - Conseils à l’intention du gouvernement du Canada https://www.cse-cst.gc.ca/fr/publication/35-mesures-dattenuation-plus-efficaces-du-cstc-con Critical Security Controls (SANS) https://www.sans.org/critical-security-controls/ 19
  20. 20. www.priv.gc.ca @privacyprivée 1-800-282-1376 Merci Questions?

×