Fiche d`information sur le programme de vérification de la
Fiche d’information sur le programme de
vérification de la confidentialité de l’ICIS à
l’intention des tiers destinataires de données au
niveau de l’enregistrement Juillet 2014
| Page 1
Juillet 2014
Contexte
Lorsqu’un tiers destinataire demande à l’ICIS des données au niveau de l’enregistrement et
signe l’entente de confidentialité, il accepte que l’ICIS visite ses locaux et réalise une
vérification.
La vérification permet d’évaluer l’utilisation et la gestion des données de l’ICIS ainsi que la
divulgation par le destinataire des résultats de recherche associés aux données. Plus
particulièrement, elle permet de s’assurer que les activités du destinataire sont conformes aux
exigences énoncées dans le formulaire de demande de données et l’Entente de non-divulgation
et de confidentialité de l’ICIS.
L’ICIS a établi un certain nombre de critères permettant de déterminer les destinataires qui
seront sélectionnés pour une vérification, entre autres:
La confidentialité des données
Le manque de conformité avec l’entente de confidentialité de la part du destinataire
Une ordonnance ou une décision du commissaire à la protection de la vie privée
Une atteinte à la sécurité ou à la vie privée
Un incident évité de justesse lié à la vie privée ou à la sécurité
Pouvoir de mener une vérification de la confidentialité?
Les destinataires de données doivent signer l’Entente de non-divulgation et de confidentialité de
l’ICIS (l’Entente), qui stipule les modalités selon lesquelles l’ICIS fournit les données aux
destinataires. L’Entente doit être signée par un représentant de l’organisme principal disposant
de l’autorité nécessaire pour lier juridiquement l’organisme principal aux conditions de l’Entente.
Une des conditions de l’Entente porte sur le droit de l’ICIS de mener des vérifications de la
confidentialité.
Et si vous êtes sélectionné pour une vérification?
L’ICIS vous enverra officiellement ainsi qu’à votre organisme un avis de vérification, par écrit,
qui indiquera l’objet, la portée et le déroulement de la vérification. Pour réaliser la vérification,
nous devons examiner minutieusement la documentation, organiser des entrevues et visiter vos
locaux. Généralement, les vérifications donnent lieu à l’établissement d’un rapport qui fait état
des résultats et formule des recommandations, le cas échéant.
Que nous ont appris nos vérifications?
Dans l’ensemble, nos vérifications du respect de la vie privée confirment que les tiers
destinataires de données ont manipulé de façon constante les données de l’ICIS conformément
au formulaire de demande de données de l’ICIS et à l’Entente de non-divulgation et de
confidentialité. Dans certains cas, nos vérifications ont abouti à des recommandations visant à
améliorer les processus et les pratiques de respect de la vie privée et de sécurité des tiers
destinataires de données. Voici certains exemples de recommandations issues des vérifications
qui pourraient vous aider :
Créer une liste de vérification pour documenter les processus et les procédures de
manipulation des données de l’ICIS.
Fiche d’information sur le programme de
vérification de la confidentialité de l’ICIS à
l’intention des tiers destinataires de données au
niveau de l’enregistrement Juillet 2014
| Page 2
Juillet 2014
Utiliser deux différents mots de passe sécurisés d’au moins huit caractères : un pour
accéder aux terminaux informatiques et un autre pour accéder aux dossiers de
données de l’ICIS.
Aviser l’ICIS de l’ajout de nouveaux chercheurs dont le nom ne figurait pas
initialement dans le formulaire de demande de données, tel qu’il est stipulé dans la
section 11 de l’Entente de non-divulgation et de confidentialité de l’ICIS. L’ICIS
enverra alors un formulaire d’ajout de destinataires autorisés que devront remplir et
signer les nouveaux destinataires qui accéderont aux données.
Chiffrer les données inactives (c.-à-dire, des données sur un dispositif de stockage
du réseau ou des données sur bande de sauvegarde).
Indiquer explicitement dans la politique de respect de la vie privée de la tierce partie
l’obligation de chiffrer les données pendant qu’elles sont en transit ou dans un
équipement mobile informatique ou autre, et veiller à ce que cette obligation
constitue une condition d’emploi pour chaque employé qui a accès aux données de
l’ICIS.
Établir et maintenir une méthode de destruction sûre qui soit conforme aux pratiques
acceptables dans le secteur, tel qu’il est stipulé dans la section 19 de l’Entente de
non-divulgation et de confidentialité de l’ICIS. La destruction ou l’effacement définitif
et irréversible des données pour s’assurer que les enregistrements de données ne
puissent être reconstruits d’aucune manière.
Indiquer clairement que les conditions d’emploi d’une tierce partie en ce qui a trait à
la confidentialité des données de l’ICIS constituent une obligation, laquelle subsiste
même après la cessation d’emploi.
Envisager la mise en œuvre des mesures techniques visant à faire en sorte que les
utilisateurs ne puissent copier des données sur des appareils informatiques mobiles
(p. ex. CD, clé USB, ordinateur portable, assistant numérique, etc.) à partir
d’appareils informatiques (p. ex. ordinateur de bureau).
Dans d’autres cas, nos vérifications ont donné lieu à des changements dans la façon dont l’ICIS
contrôle la conformité auprès des tiers destinataires de données. Par exemple, l’ICIS a
recommandé que le tiers destinataire de données lui fournisse par écrit un document de
renouvellement annuel de ses obligations en vertu de l’Entente de non-divulgation et de
confidentialité de l’ICIS. Cette recommandation a été mise en application de sorte que l’ICIS
communique chaque année avec les tiers destinataires de données en vue du renouvellement.
Message principal
L’ICIS encourage les tiers destinataires de données à créer, à mettre en œuvre et à exécuter
une stratégie de gestion des risques, y compris en ce qui touche les politiques, les pratiques et
la technologie, qui favoriseront des pratiques éclairées et vigoureuses en matière de respect de
la vie privée et de sécurité.
1
/
2
100%
