1 / 36

Courrier électronique et protection des renseignements personnels

Courrier électronique et protection des renseignements personnels. Objet de la présentation.

luigi
Download Presentation

Courrier électronique et protection des renseignements personnels

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Courrier électronique etprotection des renseignements personnels

  2. Objet de la présentation • «Le courrier électronique est devenu un instrument de travail et de communication indispensable. Il est utilisé pour transmettre de nombreux renseignements, souvent personnels ou confidentiels. Dans ce contexte, comment assurer la protection de ces renseignements ? Quels sont les obligations à respecter ? Quels sont les mesures à prendre ? La Directive du MRCI sur l'utilisation d'Internet et du courrier électronique sera présentée à titre de modèle.»

  3. Le rôle du MRCI • La Direction du soutien en accès à l’information et en protection des renseignements personnels du MRCI • La Direction a pour mission, d’une part, de conseiller le ministre et les autorités du ministère en matière d’accès à l’information et de protection des renseignements personnels et, d’autre part, de soutenir les ministères et organismes publics et d’assurer une fonction de veille du secteur privé en ce domaine. • Elle relève du sous-ministre associé à la Gestion de l’identité et des lois d’accès et de protection

  4. Le cadre légal • Charte des droits et libertés de la personne (art. 5 et 44) • Lois sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels • Loi sur la protection des renseignements personnels dans le secteur privé • Loi sur les archives • Loi concernant le cadre juridique des technologies de l’information • Loi sur l’administration publique

  5. Protection de la vie privée et sécurité • Les sondages plus récents auprès des utilisateurs d’Internet démontrent que la protection des renseignements personnels (confidentialité, «privacy») et la sécurité constituent les deux premiers éléments de préoccupation des Internautes • Plusieurs Déclaration de services aux citoyens font référence à un engagement à l’égard de la confidentialité ou de la protection des renseignements personnels. • Un bris de confidentialité peut coûter cher...

  6. Renseignements personnelsconfidentiels • Renseignements liés à l’identité • Caractéristiques d’une personne • Code postal à 6 positions • Situation financière, salaire • Numéro de dossier médical • Numéro d’assurance maladie • Numéro d’assurance sociale • État de santé physique ou mentale

  7. Renseignements personnelsà caractère public • Salaires (cadres, dirigeants) • Échelle de traitement, classement d’un employé • Adresse et numéro de téléphone du lieu de travail • Contrats de services • Comptes de dépenses • Nom et adresse du titulaire d’un permis

  8. Respect de la vie privée, PRP et sécurité RESPECT DE LA VIE PRIVÉE Un droit Exigences légales Protection des renseignements personnels Un moyen Gestion des risques DICAI Sécurité Sécurité

  9. 8. Inventaire des fichiers de RP 1. Collecte 7. Archivage/ Destruction 9. Diffusion 2. Accès- rectification 6. Détention/ Conservation 3. Accès par le personnel 5. Communication à des tiers 4. Utilisation/ traitement Cycle de vie de la PRP

  10. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Objectifs • Offrir un environnement sécuritaire et respectueux des droits collectifs et individuels à tous ses utilisateurs • Doter le personnel d’un cadre de référence afin de le guider dans l’utilisation adéquate des ressources de l’inforoute • S’assurer que les mesures de sécurité sont prises, notamment pour garantir la protection des renseignements personnels et des documents confidentiels détenus par le MRCI, qui circulent par voie électronique • sensibiliser le personnel aux risques inhérents à l’utilisation des ressources de l’inforoute • déterminer le partage des responsabilités.

  11. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Champ d’application • Cette directive s’applique en tout temps à l’ensemble des employés du MRCI ainsi qu'à toute personne dûment autorisée à utiliser les logiciels de courrier électronique et d'accès à Internet du ministère.

  12. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Principes directeurs Les logiciels de courrier électronique et d’accès à Internet sont mis à la disposition du personnel autorisé pour : • maîtriser les techniques d’utilisation de l’inforoute; • favoriser le développement des connaissances et des habiletés; • communiquer avec d’autres personnes autorisées et avec le public; • réaliser plus efficacement les tâches nécessaires à l’accomplissement de leurs fonctions.

  13. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Principes directeurs Trois principes directeurs: • Le respect des lois, des normes et des directives gouvernementales • Le professionnalisme dans les communications électroniques • La protection des renseignements personnels et des documents confidentiels et la sécurité de l’information numérique et des échanges électroniques

  14. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Le respect des lois, des normes et des directives gouvernementales • L’utilisateur exerce ses activités dans le respect des dispositions du Code criminel, de la Charte des droits et libertés de la personne du Québec, de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, de la Loi sur la fonction publique et du Règlement sur les normes d’éthique, de discipline. • L’utilisateur s’engage à utiliser les ressources de l’inforoute en conformité avec les normes et directives relatives à la protection des renseignements personnels et aux documents confidentiels ainsi qu’à la sécurité de l’information numérique et des échanges électroniques.

  15. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Le respect des lois, des normes et des directives gouvernementales • L’utilisateur respecte le calendrier de conservation établi en fonction de la Loi sur les archives en ce qui concerne l’archivage et la destruction de l’information numérique.

  16. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Le professionnalisme dans les communications électroniques • Toute communication via le courrier électronique doit être effectuée dans un esprit qui préserve la réputation du MRCI. L’utilisateur doit employer un langage approprié et soigné, conforme aux normes d’éthique. • L’expéditeur d’un courriel doit s’identifier par son nom véritable et complet. Outre son adresse électronique, il doit ajouter son titre, son unité administrative, son numéro de téléphone et son numéro de télécopieur.

  17. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Le professionnalisme dans les communications électroniques(suite) • Tout courriel reçu par erreur (ex. : mauvais destinataire) doit être retourné à l’expéditeur, accompagné d'une note à cet effet, et être ensuite détruit. • L’utilisateur détruira les courriers électroniques lorsque l’information contenue n'est plus utile. (L’utilisateur devra se référer au calendrier de conservation pour fixer le délai de conservation des messages électroniques.)

  18. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Le professionnalisme dans les communications électroniques(suite) • L’utilisateur prend en compte le fait que le courrier électronique et le réseau Internet ne doivent pas servir à : 1. envoyer des chaînes de lettres à des tiers; 2. recevoir des courriels de serveurs de listes à d’autres fins que professionnelles; 5. visionner, télécharger, copier, partager ou expédier des images ou des fichiers de type pornographique ou dont le contenu a un caractère diffamatoire, offensant, haineux, violent, menaçant, raciste.

  19. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI La protection des renseignements personnels et des documents confidentiels et la sécurité de l’information numérique et des échanges électroniques • Les mots de passe et les codes d’accès sont octroyés dans le but de protéger l’information détenue par le MRCI. • Toute communication par courrier électronique de renseignements personnels ou de documents confidentiels détenus par le MRCI, doit être faite aux seules personnes qui ont droit d’en prendre connaissance.

  20. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI La protection des renseignements personnels et des documents confidentiels et la sécurité de l’information numérique et des échanges électroniques(suite) • Toute communication par courrier électronique de renseignements personnels ou de documents confidentiels détenus par le MRCI doit être encodée et l’on devra convenir auparavant d’un mode d’encodage avec son correspondant. • Tout manquement aux dispositions de la directive risquant de porter atteinte au caractère confidentiel des renseignements personnels ou des documents détenus par le MRCI ou à la sécurité de l’information numérique doit être signalé sans délai aux autorités.

  21. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Partage des responsabilités • L’utilisateur • Le gestionnaire • Direction des ressources informationnelles • Directions des affaires publiques et des communications • La sous-ministre

  22. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI L’utilisateur • L’utilisateur doit respecter la configuration technologique de l’ordinateur qui lui est fourni par le MRCI • L’utilisateur ne doit pas tenter de déjouer les dispositifs de sécurité des systèmes informatiques • L’utilisateur doit prendre des mesures raisonnables pour préserver la confidentialité de son mot de passe. • L’utilisateur doit choisir un mot de passe difficile à deviner (un minimum de huit caractères, composé de lettres et de chiffres). Il doit changer son mot de passe régulièrement

  23. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI L’utilisateur (suite) • L’utilisateur doit s’assurer que son courrier électronique est inaccessible à un tiers (par un mot de passe) lorsqu’il quitte temporairement son poste de travail. • L’utilisateur doit s’assurer que l’accès à son poste de travail est sécurisé par l’utilisation d’un écran de veille, fourni par le MRCI, avec mot de passe. • L’utilisateur ne doit pas effectuer de transaction contractuelle ou financière par les services Internet. • L’utilisateur ne doit pas exprimer sur le réseau Internet une opinion personnelle qui engagerait le ministère.

  24. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Le gestionnaire • Le gestionnaire doit s’assurer que les personnes qui ne font pas partie du personnel et qui se sont vu confier un mandat par le ministère aient accès aux renseignements personnels ou autres informations confidentielles uniquement lorsque cela est nécessaire à la réalisation de leurs activités. • Une entente écrite devrait spécifier des clauses particulières de confidentialité, en conformité avec l’article 67.2 de la Loi sur l’accès et selon les exigences de la CAI à cet effet • Le gestionnaire doit aviser la Direction des ressources informationnelles de toute modification à apporter aux droits d’accès du personnel de son unité aux ressources de l’inforoute.

  25. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Le gestionnaire(suite) • Le gestionnaire, dont le personnel transmet par courrier électronique des renseignements personnels et des documents confidentiels détenus par le MRCI, doit faire la demande auprès de la Direction des ressources informationnelles d'un logiciel de chiffrement.

  26. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Le gestionnaire(suite) • Le gestionnaire sensibilisera son personnel en insistant sur le fait que : 1. l’utilisation d’Internet et du courrier électronique laisse des traces permettant d’identifier l’ordinateur d’origine du message. Les écrans de sécurité, les portes d’accès et les systèmes du MRCI enregistrent les adresses électroniques contactées ainsi que l’ordinateur d’où provient le message (registre d’utilisation), afin de contrôler le rendement de ses réseaux; 2. la circulation de tout message et fichier électronique via les réseaux du ministère est soumise aux dispositions de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.

  27. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Direction des ressources informationnelles • La Direction doit mettre en place les dispositifs nécessaires aux vérifications commandées par la présente directive. • La Direction doit collaborer aux enquêtes lorsque la situation l’exige.

  28. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Direction des affaires publiques et des communications • Le responsable de la gestion documentaire doit établir et faire connaître les règles de conservation des messages électroniques avec ou sans documents attachés et veiller au respect de leur application en conformité avec les lois, règlements, directives, normes et procédures de gestion de l’information.

  29. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI La sous-ministre • La sous-ministre, si elle a des motifs raisonnables de croire qu’il y a eu violation de la présente directive ou à la suite d’une vérification, pourra procéder à des contrôles, avec la collaboration des personnes-ressources mandatées par elle, en vue de déceler toute contravention aux lois, tout manquement à la confidentialité ou à la sécurité ou toute communication contraire aux intérêts du ministère. • La sous-ministre est responsable de l’application de la présente directive.

  30. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Droits de regard • Le ministère a un droit de regard sur l’utilisation de ses réseaux électroniques par ses employés. Ce droit de regard sera exercé conformément à la Charte canadienne des droits et libertés, à la Charte des droits et libertés de la personne du Québec et à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels. • Le MRCI s’est doté de mécanismes de contrôle de la sécurité sur ses réseaux pour : • cerner les problèmes et les régler; • analyser la vulnérabilité; • assurer l’application de la présente directive.

  31. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Droits de regard (suite) • Les données recueillies dans les registres d’accès peuvent être de la nature suivante : • les services utilisés; • les actions effectuées; • le temps d’utilisation; • les sites visités. • Exceptionnelles, et exclusivement réservées à la sous-ministre, les mesures de contrôle peuvent inclure la lecture du contenu d’un message envoyé par courrier électronique et des fichiers de données.

  32. Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Mesures d’exception • Toute personne assujettie à la présente directive ayant une raison valable de déroger aux obligations, principes directeurs ou lignes de conduite qui y sont prévus doit en informer son supérieur et obtenir l’autorisation d’y déroger. Sanctions • Toute personne qui enfreint les dispositions de la présente directive s'expose à des mesures administratives ou disciplinaires, en fonction de la gravité et des conséquences du geste. Ces mesures peuvent inclure la révocation de ses droits d’accès aux ressources de l’inforoute, une réprimande, une suspension ou un congédiement, et ce, conformément aux dispositions des conventions collectives.

  33. Courrier électronique et protection des renseignements personnels • Vous avez des doutes, des questions... • Consultez d’abord le responsable de la protection des renseignements personnels de votre M/O ou le responsable de la sécurité de l’information numérique • S’il n’a pas de réponse, qu’il joigne la DSAIPRP • Site sur l’AIPRP http://www.aiprp.gouv.qc.ca/index.html

  34. Courrier électronique et protection des renseignements personnels Des questions sur les technologies

  35. Courrier électronique et protection des renseignements personnels Avenir : La protection des renseignements personnels et la sécurité devront être au premier plan des préoccupations puisqu’il s’agit d’obligations légales

  36. Courrier électronique et protection des renseignements personnels Merci de votre attention... La DSAIPRP demeure plus que jamais à votre service

More Related