courrier électronique et protection des renseignements personnels

Courrier électronique etCourrier électronique etprotection des protection des

renseignements personnelsrenseignements personnels

Objet de la présentationObjet de la présentation

«Le courrier électronique est devenu un instrument de travail et de communication indispensable. Il est utilisé pour transmettre de nombreux renseignements, souvent personnels ou confidentiels. Dans ce contexte, comment assurer la protection de ces renseignements ? Quels sont les obligations à respecter ? Quels sont les mesures à prendre ? La Directive du MRCI sur l'utilisation d'Internet et du courrier électronique sera présentée à titre de modèle.»

Le rôle du MRCILe rôle du MRCI

La Direction du soutien en accès à l’information et en protection des renseignements personnels du MRCI

La Direction a pour mission, d’une part, de conseiller le ministre et les autorités du ministère en matière d’accès à l’information et de protection des renseignements personnels et, d’autre part, de soutenir les ministères et organismes publics et d’assurer une fonction de veille du secteur privé en ce domaine.

Elle relève du sous-ministre associé à la Gestion de l’identité et des lois d’accès et de protection

Le cadre légalLe cadre légal

Charte des droits et libertés de la personne (art. 5 et 44) Lois sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels Loi sur la protection des renseignements personnels dans le secteur privé Loi sur les archives Loi concernant le cadre juridique des technologies de l’information Loi sur l’administration publique

Protection de la vie privée et sécuritéProtection de la vie privée et sécurité

Les sondages plus récents auprès des utilisateurs

d’Internet démontrent que la protection des renseignements personnels (confidentialité, «privacy») et la sécurité constituent les deux premiers éléments de préoccupation des Internautes

Plusieurs Déclaration de services aux citoyens font référence à un engagement à l’égard de la confidentialité ou de la protection des renseignements personnels.

Un bris de confidentialité peut coûter cher...

Renseignements personnelsRenseignements personnelsconfidentielsconfidentiels

Renseignements liés à l’identité Caractéristiques d’une personne Code postal à 6 positions Situation financière, salaire Numéro de dossier médical Numéro d’assurance maladie Numéro d’assurance sociale État de santé physique ou mentale

Renseignements personnelsRenseignements personnelsà caractère publicà caractère public

Salaires (cadres, dirigeants) Échelle de traitement, classement d’un employé Adresse et numéro de téléphone du lieu de travail Contrats de services Comptes de dépenses

Nom et adresse du titulaire d’un permis

Respect de la vie privée, PRP et Respect de la vie privée, PRP et sécuritésécurité

RESPECT DE LA VIE PRIVÉE

Protection des renseignements personnels

Un droitUn droitExigences légalesExigences légales

Un moyenUn moyenGestion des risques Gestion des risques

DICAIDICAI

SécuritéSécurité

Cycle de vie de la PRPCycle de vie de la PRP

9. Diffusion

8. Inventaire des fichiers de RP

5. Communication à des tiers

6. Détention/ Conservation

7. Archivage/Destruction

2. Accès-rectification

1. Collecte

3. Accès par le personnel

4. Utilisation/traitement

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI

ObjectifsObjectifs

Offrir un environnement sécuritaire et respectueux des droits Offrir un environnement sécuritaire et respectueux des droits collectifs et individuels à tous ses utilisateurscollectifs et individuels à tous ses utilisateurs

Doter le personnel d’un cadre de référence afin de le guider dans Doter le personnel d’un cadre de référence afin de le guider dans l’utilisation adéquate des ressources de l’inforoutel’utilisation adéquate des ressources de l’inforoute

S’assurer que les mesures de sécurité sont prises, notamment S’assurer que les mesures de sécurité sont prises, notamment pour garantir la protection des renseignements personnels et des pour garantir la protection des renseignements personnels et des documents confidentiels détenus par le MRCI, qui circulent par documents confidentiels détenus par le MRCI, qui circulent par voie électroniquevoie électronique

sensibiliser le personnel aux risques inhérents à l’utilisation des sensibiliser le personnel aux risques inhérents à l’utilisation des ressources de l’inforouteressources de l’inforoute

déterminer le partage des responsabilités.déterminer le partage des responsabilités.


Champ d’applicationChamp d’application

Cette directive s’applique en tout temps à l’ensemble des employés du MRCI ainsi qu'à toute personne dûment autorisée à utiliser les logiciels de courrier électronique et d'accès à Internet du ministère.


Principes directeursPrincipes directeurs

Les logiciels de courrier électronique et d’accès à Internet sont mis à la disposition du personnel autorisé pour :

maîtriser les techniques d’utilisation de l’inforoute;

favoriser le développement des connaissances et des habiletés;

communiquer avec d’autres personnes autorisées et avec le public;

réaliser plus efficacement les tâches nécessaires à l’accomplissement de leurs fonctions.


Principes directeursPrincipes directeurs

Trois principes directeursTrois principes directeurs:

Le respect des lois, des normes et des directives Le respect des lois, des normes et des directives gouvernementalesgouvernementales

Le professionnalisme dans les communications Le professionnalisme dans les communications électroniquesélectroniques

La protection des renseignements personnels et des La protection des renseignements personnels et des documents confidentiels et la sécurité de l’information documents confidentiels et la sécurité de l’information numérique et des échanges électroniquesnumérique et des échanges électroniques


Le respect des lois, des normes et des directives Le respect des lois, des normes et des directives gouvernementalesgouvernementales

L’utilisateur exerce ses activités dans le respect des dispositions du Code criminel, de la Charte des droits et libertés de la personne du Québec, de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, de la Loi sur la fonction publique et du Règlement sur les normes d’éthique, de discipline.

L’utilisateur s’engage à utiliser les ressources de l’inforoute en conformité avec les normes et directives relatives à la protection des renseignements personnels et aux documents confidentiels ainsi qu’à la sécurité de l’information numérique et des échanges électroniques.


Le respect des lois, des normes et des Le respect des lois, des normes et des directives gouvernementalesdirectives gouvernementales

L’utilisateur respecte le calendrier de conservation établi en fonction de la Loi sur les archives en ce qui concerne l’archivage et la destruction de l’information numérique.


Le professionnalisme dans les Le professionnalisme dans les communications électroniquescommunications électroniques

Toute communication via le courrier électronique doit être effectuée dans un esprit qui préserve la réputation du MRCI. L’utilisateur doit employer un langage approprié et soigné, conforme aux normes d’éthique.

L’expéditeur d’un courriel doit s’identifier par son nom véritable et complet. Outre son adresse électronique, il doit ajouter son titre, son unité administrative, son numéro de téléphone et son numéro de télécopieur.


Le professionnalisme dans les Le professionnalisme dans les communications électroniquescommunications électroniques (suite)(suite)

Tout courriel reçu par erreur (ex. : mauvais destinataire) doit être retourné à l’expéditeur, accompagné d'une note à cet effet, et être ensuite détruit.

L’utilisateur détruira les courriers électroniques lorsque l’information contenue n'est plus utile. (L’utilisateur devra se référer au calendrier de conservation pour fixer le délai de conservation des messages électroniques.)


Le professionnalisme dans les communications Le professionnalisme dans les communications électroniquesélectroniques (suite)(suite)

L’utilisateur prend en compte le fait que le courrier électronique et le réseau Internet ne doivent pas servir à :

1. envoyer des chaînes de lettres à des tiers;2. recevoir des courriels de serveurs de listes à d’autres fins que professionnelles;5. visionner, télécharger, copier, partager ou expédier des images ou des fichiers de type pornographique ou dont le contenu a un caractère diffamatoire, offensant, haineux, violent, menaçant, raciste.


La protection des renseignements personnels et La protection des renseignements personnels et des documents confidentiels et la sécurité de des documents confidentiels et la sécurité de l’information numérique et des échanges l’information numérique et des échanges électroniquesélectroniques

Les mots de passe et les codes d’accès sont octroyés dans le but de protéger l’information détenue par le MRCI.

Toute communication par courrier électronique de renseignements personnels ou de documents confidentiels détenus par le MRCI, doit être faite aux seules personnes qui ont droit d’en prendre connaissance.


La protection des renseignements personnels et La protection des renseignements personnels et des documents confidentiels et la sécurité de des documents confidentiels et la sécurité de l’information numérique et des échanges l’information numérique et des échanges électroniquesélectroniques (suite)(suite)

Toute communication par courrier électronique de renseignements personnels ou de documents confidentiels détenus par le MRCI doit être encodée et l’on devra convenir auparavant d’un mode d’encodage avec son correspondant.

Tout manquement aux dispositions de la directive risquant de porter atteinte au caractère confidentiel des renseignements personnels ou des documents détenus par le MRCI ou à la sécurité de l’information numérique doit être signalé sans délai aux autorités.


Partage des responsabilitésPartage des responsabilités

L’utilisateur

Le gestionnaire

Direction des ressources informationnelles

Directions des affaires publiques et des communications

La sous-ministre


L’utilisateurL’utilisateur

L’utilisateur doit respecter la configuration technologique de l’ordinateur qui lui est fourni par le MRCI

L’utilisateur ne doit pas tenter de déjouer les dispositifs de sécurité des systèmes informatiques

L’utilisateur doit prendre des mesures raisonnables pour préserver la confidentialité de son mot de passe.

L’utilisateur doit choisir un mot de passe difficile à deviner (un minimum de huit caractères, composé de lettres et de chiffres). Il doit changer son mot de passe régulièrement


L’utilisateur (suite)L’utilisateur (suite)

L’utilisateur doit s’assurer que son courrier électronique est inaccessible à un tiers (par un mot de passe) lorsqu’il quitte temporairement son poste de travail.

L’utilisateur doit s’assurer que l’accès à son poste de travail est sécurisé par l’utilisation d’un écran de veille, fourni par le MRCI, avec mot de passe.

L’utilisateur ne doit pas effectuer de transaction contractuelle ou financière par les services Internet.

L’utilisateur ne doit pas exprimer sur le réseau Internet une opinion personnelle qui engagerait le ministère.


Le gestionnaireLe gestionnaire

Le gestionnaire doit s’assurer que les personnes qui ne font pas partie du personnel et qui se sont vu confier un mandat par le ministère aient accès aux renseignements personnels ou autres informations confidentielles uniquement lorsque cela est nécessaire à la réalisation de leurs activités.

Une entente écrite devrait spécifier des clauses particulières de confidentialité, en conformité avec l’article 67.2 de la Loi sur l’accès et selon les exigences de la CAI à cet effet

Le gestionnaire doit aviser la Direction des ressources informationnelles de toute modification à apporter aux droits d’accès du personnel de son unité aux ressources de l’inforoute.


Le gestionnaireLe gestionnaire (suite)(suite)

Le gestionnaire, dont le personnel transmet par courrier électronique des renseignements personnels et des documents confidentiels détenus par le MRCI, doit faire la demande auprès de la Direction des ressources informationnelles d'un logiciel de chiffrement.


Le gestionnaireLe gestionnaire (suite)(suite)

Le gestionnaire sensibilisera son personnel en insistant sur le fait que :

1. l’utilisation d’Internet et du courrier électronique laisse des tracespermettant d’identifier l’ordinateur d’origine du message. Les écrans de sécurité, les portes d’accès et les systèmes du MRCI enregistrent les adresses électroniques contactées ainsi que l’ordinateur d’où provient le message (registre d’utilisation), afin de contrôler le rendement de ses réseaux;

2. la circulation de tout message et fichier électronique via les réseaux du ministère est soumise aux dispositions de la Loi sur l’accès aux documents des organismes publics et sur la protectiondes renseignements personnels.


Direction des ressources informationnellesDirection des ressources informationnelles

La Direction doit mettre en place les dispositifs nécessaires aux vérifications commandées par la présente directive.

La Direction doit collaborer aux enquêtes lorsque la situation l’exige.


Direction des affaires publiques et des Direction des affaires publiques et des communicationscommunications

Le responsable de la gestion documentaire doit établir et faire connaître les règles de conservation des messages électroniques avec ou sans documents attachés et veiller au respect de leur application en conformité avec les lois, règlements, directives, normes et procédures de gestion de l’information.


La sous-ministreLa sous-ministre

La sous-ministre, si elle a des motifs raisonnables de croire qu’il y a eu violation de la présente directive ou à la suite d’une vérification, pourra procéder à des contrôles, avec la collaboration des personnes-ressources mandatées par elle, en vue de déceler toute contravention aux lois, tout manquement à la confidentialité ou à la sécurité ou toute communication contraire aux intérêts du ministère.

La sous-ministre est responsable de l’application de la présente directive.


Droits de regardDroits de regard

Le ministère a un droit de regard sur l’utilisation de ses réseaux électroniques par ses employés. Ce droit de regard sera exercé conformément à la Charte canadienne des droits et libertés, à la Charte des droits et libertés de la personne du Québec et à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.

Le MRCI s’est doté de mécanismes de contrôle de la sécurité sur ses réseaux pour :• cerner les problèmes et les régler;• analyser la vulnérabilité;• assurer l’application de la présente directive.


Droits de regardDroits de regard (suite) (suite)

Les données recueillies dans les registres d’accès peuvent être de la nature suivante :

• les services utilisés;

• les actions effectuées;

• le temps d’utilisation;

• les sites visités.

Exceptionnelles, et exclusivement réservées à la sous-ministre, les mesures de contrôle peuvent inclure la lecture du contenu d’un message envoyé par courrier électronique et des fichiers de données.


Mesures d’exceptionMesures d’exception

Toute personne assujettie à la présente directive ayant une raison valable de déroger aux obligations, principes directeurs ou lignes de conduite qui y sont prévus doit en informer son supérieur et obtenir l’autorisation d’y déroger.

SanctionsSanctions

Toute personne qui enfreint les dispositions de la présente directive s'expose à des mesures administratives ou disciplinaires, en fonction de la gravité et des conséquences du geste. Ces mesures peuvent inclure la révocation de ses droits d’accès aux ressources de l’inforoute, une réprimande, une suspension ou un congédiement, et ce, conformément aux dispositions des conventions collectives.

Courrier électronique et protection des Courrier électronique et protection des renseignements personnelsrenseignements personnels

Vous avez des doutes, des questions... Vous avez des doutes, des questions... Consultez d’abord le responsable de la protection des renseignements personnels de votre M/O ou le responsable de la sécurité de l’information numérique S’il n’a pas de réponse, qu’il joigne la DSAIPRP

Site sur l’AIPRPSite sur l’AIPRP

http://www.aiprp.gouv.qc.ca/index.htmlhttp://www.aiprp.gouv.qc.ca/index.html


Des questions sur les technologiesDes questions sur les technologies


Avenir :Avenir :

La protection des renseignements personnels et la sécurité devront être au premier plan des préoccupations puisqu’il s’agit d’obligations légales


Merci de votre attention...Merci de votre attention...

La DSAIPRP demeure La DSAIPRP demeure plus que jamais à votre plus que jamais à votre serviceservice

courrier électronique et protection des renseignements personnels

Documents