Protocole de partage des données :: Canadian Post-M.D. Education Registry

Protocole de partage des données

Les commissaires à la protection de la vie privée/ombudsmans des gouvernements fédéral provinciaux territoriaux ont établi une liste de vérifications à effectuer dans le contexte de la ratification d'accords sur le partage des données.

Cette liste de vérifications s'entend des mesures ci après.

Circonscrire de façon aussi précise que possible tous les renseignements personnels qui feront l'objet de l'accord. Dresser la liste des éléments de données des renseignements personnels qui seront appariés/liés/partagés.
Préciser, dans un premier temps, pourquoi des identificateurs d'utilisateurs sont nécessaires et décrire dans quelle mesure le recours à un processus de dépersonnalisation des renseignements a été envisagé; le cas échéant, indiquer les motifs du rejet de cette pratique.
Indiquer quand, comment et par qui les identificateurs d'utilisateurs seront éliminés, s'il y a lieu.
Établir le nombre approximatif de personnes visées par l'exercice.
Préciser clairement chacun des buts pour lesquels des renseignements personnels sont recueillis, utilisés ou divulgués et décrire en détail les utilisations qui seront faites de ces renseignements.
Dans le cas des données à apparier, décrire des résultats escomptés et les utilisations de ces derniers. Cerner clairement et de façon aussi détaillée que possible les avantages d'intérêt public qui seront obtenus de l'appariement des données ou encore les importantes économies de coûts ou les gains d'efficience qui résulteront de l'exercice.
Nommer les parties à l'accord et décrire de façon aussi détaillée que possible les fondements législatifs ou autres ainsi que le mandat en vertu desquels chaque partie exerce ses activités.
Décrire le rôle de chaque partie dans le contexte de l'accord.
Indiquer les coordonnées de chaque partie à l'accord.
Décrire les sources prévues d'approvisionnement en renseignements ainsi que les méthodes ou procédures qui seront utilisées pour partager les renseignements personnels (p. ex., copies papier ou fichiers électroniques).
Établir un diagramme précisant toutes les sources d'approvisionnement en renseignements personnels et inclure un organigramme précisant (par catégorie d'emploi/rôle) les personnes qui auront accès à ces renseignements personnels.
Indiquer à quel moment l'appariement/la fusion/le partage par ordinateur des renseignements personnels auront lieu, à quelle fréquence et pour quelle période de temps (p. ex., exercice ponctuel unique ou activité périodique/continue).
Définir en vertu de quels fondements législatifs chaque partie à l'accord exerce ses activités :
1. de collecte (y compris de collecte indirecte), d'utilisation et de divulgation de renseignements personnels, et
2. de participation à un accord d'appariement/de partage de données aux fins de collecte, d'utilisation et de divulgation de renseignements personnels, selon le cas.
Préciser de quelle façon toute exigence de collecte des données sera respectée.
Si l'une des parties à un accord n'est pas régie par les exigences législatives sur la protection de la vie privée, veiller à ce que cette dernière accepte de se conformer aux exigences législatives sur l'accès/la protection des renseignements personnels s'appliquant à l'autre partie.
L'accord doit prévoir que les données primaires et de sortie ne seront pas utilisées ou divulguées à quelque fin autre que celles exposées explicitement dans l'accord, à moins qu'une telle utilisation ou divulgation ne soit autorisée légalement.
L'accord doit prévoir que les droits individuels d'accès aux renseignements visés ne seront restreints d'aucune façon, en conformité aux dispositions des lois sur l'accès et la protection des renseignements personnels.
Décrire quelles étapes seront suivies aux fins de s'assurer de l'exactitude et de la complétude des renseignements personnels primaires avant que ceux ci ne soient utilisés.
Déterminer les étapes qui seront suivies aux fins de la tenue à jour des renseignements personnels.
Décrire, s'il y a lieu, la procédure utilisée pour vérifier l'exactitude des renseignements personnels obtenus lors de l'appariement de données. Dans le cas où cette procédure ne serait pas appliquée, expliquez pourquoi il en est ainsi, en mentionnant toute autorisation pertinente, le cas échéant.
Prévoir que si les données de sortie serviront à prendre une décision concrète à propos d'une personne, un avis devra être donné promptement à l'autre partie dès qu'une inexactitude des données primaires a été cernée.
Les personnes visées ont-elles été informées au moment de la collecte des renseignements personnels (ou avant l'utilisation des données en question) que l'information visée serait appariée ou partagée selon les modalités proposées?
Le cas échéant, le consentement de la personne visée par les données a t il été obtenu? Dans la négative, expliquez pourquoi les fondements législatifs à cette pratique n'ont pas été mentionnés.
Le cas échéant, préciser comment les parties directement visées par les résultats du partage/de l'appariement de données seront avisées ou consultées. Si aucun avis n'est signifié aux parties, expliquer pourquoi, énoncé du fondement législatif ou autre à l'appui.
Déterminer les catégories de parties à qui un avis doit être envoyé ou qui doivent être consultées.
Préciser les fondements justificatifs/le besoin de recourir à de tierces sources de données.
Préciser les méthodes de traitement de l'information employées par une tierce partie (y compris du secteur privé) lors de l'appariement/de la fusion/du partage des données pour le compte de toute partie à l'accord principal, y compris :
1. l'accord de confidentialité qui lie la tierce partie,
2. la prolongation de la période d'application des dispositions de l'accord s'appliquant à la tierce partie,
3. une clause précisant que tous les renseignements personnels visés demeurent sous le contrôle de l'organisme public,
4. une disposition précisant que la tierce partie doit se conformer à toutes les règles législatives applicables à l'accès et à la protection des renseignements personnels, et
5. l'exigence que la tierce partie doit retourner toutes les données, y compris toutes les copies existantes, à l'autorité gouvernementale visée, le cas échéant.
Préciser les mesures correctives ou les peines applicables dans le cas où une tierce partie ne se conformerait pas aux dispositions de l'accord sur la protection des renseignements personnels.
Décrire les mesures de sécurité qui permettront de protéger les renseignements personnels contre la consultation, la divulgation, l'utilisation ou la destruction de ceux-ci sans autorisation, notamment :
1. par l'utilisation d'un mot de passe,
2. par la ratification d'ententes de confidentialité, et
3. par la cryptographie.
Indiquer les mesures qui seront utilisées pour garantir que les renseignements personnels partagés aux termes de l'accord soient protégés de la perte de ces derniers ou de leur accès, utilisation ou divulgation sans autorisation, le tout durant et après le transfert de données.
Décrire les paramètres de sécurité physique des dossiers, qu'ils soient en format papier ou électronique.
Indiquer les mesures administratives de sécurité qui seront appliquées pour limiter l'accès aux personnes qui auront les autorisations voulues.
Préciser les conséquences de toute violation de l'accord ainsi que les mesures qui seront prises, le cas échéant, pour réagir à une telle éventualité.
Veiller à ce que des enquêtes efficaces soient entreprises aux fins d'identifier et de contrer tout accès/utilisation sans autorisation des données.
Exiger qu'une copie de tout rapport d'enquête soit envoyée à l'autre partie ainsi qu'aux commissaires visés de l'accès à l'information et de la protection des renseignements personnels.
Préciser les mesures de cession de la garde, du contrôle et de la responsabilité des renseignements personnels lorsque des organismes publics changent en raison d'une réorganisation gouvernementale ou pour toute autre cause.
Préciser les conditions de rappel ou d'élimination des renseignements personnels chez l'organisme d'origine ainsi que les modalités de cessation du transfert desdits renseignements, dans les circonstances suivantes :
1. expiration d'un accord de partage/d'appariement de données,
2. dissolution d'une ou plusieurs parties à l'accord,
3. violation des conditions de l'accord, ou
4. résiliation de l'accord.
Prévoir dans l'accord des dispositions en matière de responsabilité et d'indemnisation en cas de violation des lois pertinentes sur la protection des renseignements personnels.
Veiller à assurer une vérification continue de conformité, notamment à l'égard des points ci après :
1. la fréquence des vérifications,
2. les personnes chargées des vérifications,
3. la procédure de vérification,
4. le contenu des rapports de vérification, y compris le nom des personnes qui seront responsables d'envoyer ces derniers aux parties et à leur commissaire respectif à l'information et à la protection des renseignements personnels,
5. la fréquence des vérifications, ou
6. tout autre élément d'intérêt.
Préciser le processus qui sera suivi aux fins de résoudre toute mésentente ayant trait aux conditions de l'accord.
Certaines administrations, dont celles de la Colombie Britannique et de l'Ontario, imposent des exigences législatives spécifiques en ce qui concerne le traitement des banques de renseignements personnels. Dans la mesure où de telles exigences s'appliqueraient, préciser les renseignements ci après.
1. La partie divulguant des renseignements personnels doit indiquer à quelles nouvelles utilisations ces renseignements serviront aux termes des dispositions de l'accord de partage/d'appariement de données.
2. La partie recueillant des renseignements personnels doit créer une banque particulière pour ces renseignements dans son répertoire de dossiers.
3. Une déclaration indiquant que tout index nécessaire des banques de renseignements personnels sera modifié de manière à refléter toute nouvelle utilisation ou divulgation desdits renseignements en conséquence du partage de données ou de l'appariement de données exercé en vertu de l'accord.
Préciser la durée de l'accord.
Préciser les procédures de renouvellement, de modification ou d'annulation de l'accord.
Préciser le processus d'élimination des renseignements personnels, considérations temporelles à l'appui, en ce qui concerne tout renvoi des renseignements personnels à la source de renseignements. En ce qui concerne l'élimination desdits renseignements, exiger une preuve d'élimination des renseignements selon les dispositions convenues.
Stipuler les intervalles de réévaluation du projet afin de veiller à ce que toutes les mesures approuvées pour la protection des renseignements personnels et leur sécurité demeurent pertinentes, à jour et efficaces et qu'elles se prêtent à des révisions selon les besoins.
Si une approbation légale/statutaire est nécessaire de la part d'une administration participante, exiger une confirmation que la partie représentant cette administration a satisfait à cette exigence avant que des renseignements personnels ne soient partagés ou appariés.
Demander confirmation de toute approbation nécessaire d'une organisation indépendante de surveillance (par exemple le commissaire à l'accès à l'information et à la protection des renseignements personnels), notamment pour :
1. chaque nouvelle entente,
2. les révisions à apporter aux ententes ou aux processus existants, et
3. les évaluations (s'il y a lieu) concernant l'incidence de la collecte et de l'appariement de données personnelles sur la protection de la vie privée.
Veiller à ce que les parties à l'accord signifient aux autres parties tout changement à la politique ou à la loi pertinente qui pourrait exiger une refonte de l'accord.
Communiquer à toutes les parties à l'accord une requête soumise par une autre partie en vue de modifier ou d'annuler ledit accord.