Courrier électronique et protection des renseignements personnels

Objet de la présentation «Le courrier électronique est devenu un instrument de travail et de communication indispensable. Il est utilisé pour transmettre de nombreux renseignements, souvent personnels ou confidentiels. Dans ce contexte, comment assurer la protection de ces renseignements ? Quels sont les obligations à respecter ? Quels sont les mesures à prendre ? La Directive du MRCI sur l'utilisation d'Internet et du courrier électronique sera présentée à titre de modèle.»

Le rôle du MRCI La Direction du soutien en accès à l’information et en protection des renseignements personnels du MRCI La Direction a pour mission, d’une part, de conseiller le ministre et les autorités du ministère en matière d’accès à l’information et de protection des renseignements personnels et, d’autre part, de soutenir les ministères et organismes publics et d’assurer une fonction de veille du secteur privé en ce domaine. Elle relève du sous-ministre associé à la Gestion de l’identité et des lois d’accès et de protection

Le cadre légal Charte des droits et libertés de la personne (art. 5 et 44) Lois sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels Loi sur la protection des renseignements personnels dans le secteur privé Loi sur les archives Loi concernant le cadre juridique des technologies de l’information Loi sur l’administration publique

Protection de la vie privée et sécurité Les sondages plus récents auprès des utilisateurs d’Internet démontrent que la protection des renseignements personnels (confidentialité, «privacy») et la sécurité constituent les deux premiers éléments de préoccupation des Internautes Plusieurs Déclaration de services aux citoyens font référence à un engagement à l’égard de la confidentialité ou de la protection des renseignements personnels. Un bris de confidentialité peut coûter cher...

Renseignements personnels confidentiels Renseignements liés à l’identité Caractéristiques d’une personne Code postal à 6 positions Situation financière, salaire Numéro de dossier médical Numéro d’assurance maladie Numéro d’assurance sociale État de santé physique ou mentale

Renseignements personnels à caractère public Salaires (cadres, dirigeants) Échelle de traitement, classement d’un employé Adresse et numéro de téléphone du lieu de travail Contrats de services Comptes de dépenses Nom et adresse du titulaire d’un permis

Respect de la vie privée, PRP et sécurité Un droit Exigences légales Protection des renseignements personnels Sécurité Un moyen Gestion des risques DICAI Sécurité

Cycle de vie de la PRP 1. Collecte 7. Archivage/ Destruction 9. Diffusion 8. Inventaire des fichiers de RP 5. Communication à des tiers 6. Détention/ Conservation 7. Archivage/ Destruction 2. Accès- rectification 1. Collecte 3. Accès par le personnel 4. Utilisation/ traitement

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Objectifs Offrir un environnement sécuritaire et respectueux des droits collectifs et individuels à tous ses utilisateurs Doter le personnel d’un cadre de référence afin de le guider dans l’utilisation adéquate des ressources de l’inforoute S’assurer que les mesures de sécurité sont prises, notamment pour garantir la protection des renseignements personnels et des documents confidentiels détenus par le MRCI, qui circulent par voie électronique sensibiliser le personnel aux risques inhérents à l’utilisation des ressources de l’inforoute déterminer le partage des responsabilités.

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Champ d’application Cette directive s’applique en tout temps à l’ensemble des employés du MRCI ainsi qu'à toute personne dûment autorisée à utiliser les logiciels de courrier électronique et d'accès à Internet du ministère.

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Principes directeurs Les logiciels de courrier électronique et d’accès à Internet sont mis à la disposition du personnel autorisé pour : maîtriser les techniques d’utilisation de l’inforoute; favoriser le développement des connaissances et des habiletés; communiquer avec d’autres personnes autorisées et avec le public; réaliser plus efficacement les tâches nécessaires à l’accomplissement de leurs fonctions.

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Principes directeurs Trois principes directeurs: Le respect des lois, des normes et des directives gouvernementales Le professionnalisme dans les communications électroniques La protection des renseignements personnels et des documents confidentiels et la sécurité de l’information numérique et des échanges électroniques

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Le respect des lois, des normes et des directives gouvernementales L’utilisateur exerce ses activités dans le respect des dispositions du Code criminel, de la Charte des droits et libertés de la personne du Québec, de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, de la Loi sur la fonction publique et du Règlement sur les normes d’éthique, de discipline. L’utilisateur s’engage à utiliser les ressources de l’inforoute en conformité avec les normes et directives relatives à la protection des renseignements personnels et aux documents confidentiels ainsi qu’à la sécurité de l’information numérique et des échanges électroniques.

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Le respect des lois, des normes et des directives gouvernementales L’utilisateur respecte le calendrier de conservation établi en fonction de la Loi sur les archives en ce qui concerne l’archivage et la destruction de l’information numérique.

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Le professionnalisme dans les communications électroniques Toute communication via le courrier électronique doit être effectuée dans un esprit qui préserve la réputation du MRCI. L’utilisateur doit employer un langage approprié et soigné, conforme aux normes d’éthique. L’expéditeur d’un courriel doit s’identifier par son nom véritable et complet. Outre son adresse électronique, il doit ajouter son titre, son unité administrative, son numéro de téléphone et son numéro de télécopieur.

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Le professionnalisme dans les communications électroniques (suite) Tout courriel reçu par erreur (ex. : mauvais destinataire) doit être retourné à l’expéditeur, accompagné d'une note à cet effet, et être ensuite détruit. L’utilisateur détruira les courriers électroniques lorsque l’information contenue n'est plus utile. (L’utilisateur devra se référer au calendrier de conservation pour fixer le délai de conservation des messages électroniques.)

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Le professionnalisme dans les communications électroniques (suite) L’utilisateur prend en compte le fait que le courrier électronique et le réseau Internet ne doivent pas servir à : 1. envoyer des chaînes de lettres à des tiers; 2. recevoir des courriels de serveurs de listes à d’autres fins que professionnelles; 5. visionner, télécharger, copier, partager ou expédier des images ou des fichiers de type pornographique ou dont le contenu a un caractère diffamatoire, offensant, haineux, violent, menaçant, raciste.

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI La protection des renseignements personnels et des documents confidentiels et la sécurité de l’information numérique et des échanges électroniques Les mots de passe et les codes d’accès sont octroyés dans le but de protéger l’information détenue par le MRCI. Toute communication par courrier électronique de renseignements personnels ou de documents confidentiels détenus par le MRCI, doit être faite aux seules personnes qui ont droit d’en prendre connaissance.

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI La protection des renseignements personnels et des documents confidentiels et la sécurité de l’information numérique et des échanges électroniques (suite) Toute communication par courrier électronique de renseignements personnels ou de documents confidentiels détenus par le MRCI doit être encodée et l’on devra convenir auparavant d’un mode d’encodage avec son correspondant. Tout manquement aux dispositions de la directive risquant de porter atteinte au caractère confidentiel des renseignements personnels ou des documents détenus par le MRCI ou à la sécurité de l’information numérique doit être signalé sans délai aux autorités.

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Partage des responsabilités L’utilisateur Le gestionnaire Direction des ressources informationnelles Directions des affaires publiques et des communications La sous-ministre

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI L’utilisateur L’utilisateur doit respecter la configuration technologique de l’ordinateur qui lui est fourni par le MRCI L’utilisateur ne doit pas tenter de déjouer les dispositifs de sécurité des systèmes informatiques L’utilisateur doit prendre des mesures raisonnables pour préserver la confidentialité de son mot de passe. L’utilisateur doit choisir un mot de passe difficile à deviner (un minimum de huit caractères, composé de lettres et de chiffres). Il doit changer son mot de passe régulièrement

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI L’utilisateur (suite) L’utilisateur doit s’assurer que son courrier électronique est inaccessible à un tiers (par un mot de passe) lorsqu’il quitte temporairement son poste de travail. L’utilisateur doit s’assurer que l’accès à son poste de travail est sécurisé par l’utilisation d’un écran de veille, fourni par le MRCI, avec mot de passe. L’utilisateur ne doit pas effectuer de transaction contractuelle ou financière par les services Internet. L’utilisateur ne doit pas exprimer sur le réseau Internet une opinion personnelle qui engagerait le ministère.

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Le gestionnaire Le gestionnaire doit s’assurer que les personnes qui ne font pas partie du personnel et qui se sont vu confier un mandat par le ministère aient accès aux renseignements personnels ou autres informations confidentielles uniquement lorsque cela est nécessaire à la réalisation de leurs activités. Une entente écrite devrait spécifier des clauses particulières de confidentialité, en conformité avec l’article 67.2 de la Loi sur l’accès et selon les exigences de la CAI à cet effet Le gestionnaire doit aviser la Direction des ressources informationnelles de toute modification à apporter aux droits d’accès du personnel de son unité aux ressources de l’inforoute.

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Le gestionnaire (suite) Le gestionnaire, dont le personnel transmet par courrier électronique des renseignements personnels et des documents confidentiels détenus par le MRCI, doit faire la demande auprès de la Direction des ressources informationnelles d'un logiciel de chiffrement.

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Le gestionnaire (suite) Le gestionnaire sensibilisera son personnel en insistant sur le fait que : 1. l’utilisation d’Internet et du courrier électronique laisse des traces permettant d’identifier l’ordinateur d’origine du message. Les écrans de sécurité, les portes d’accès et les systèmes du MRCI enregistrent les adresses électroniques contactées ainsi que l’ordinateur d’où provient le message (registre d’utilisation), afin de contrôler le rendement de ses réseaux; 2. la circulation de tout message et fichier électronique via les réseaux du ministère est soumise aux dispositions de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Direction des ressources informationnelles La Direction doit mettre en place les dispositifs nécessaires aux vérifications commandées par la présente directive. La Direction doit collaborer aux enquêtes lorsque la situation l’exige.

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Direction des affaires publiques et des communications Le responsable de la gestion documentaire doit établir et faire connaître les règles de conservation des messages électroniques avec ou sans documents attachés et veiller au respect de leur application en conformité avec les lois, règlements, directives, normes et procédures de gestion de l’information.

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI La sous-ministre La sous-ministre, si elle a des motifs raisonnables de croire qu’il y a eu violation de la présente directive ou à la suite d’une vérification, pourra procéder à des contrôles, avec la collaboration des personnes-ressources mandatées par elle, en vue de déceler toute contravention aux lois, tout manquement à la confidentialité ou à la sécurité ou toute communication contraire aux intérêts du ministère. La sous-ministre est responsable de l’application de la présente directive.

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Droits de regard Le ministère a un droit de regard sur l’utilisation de ses réseaux électroniques par ses employés. Ce droit de regard sera exercé conformément à la Charte canadienne des droits et libertés, à la Charte des droits et libertés de la personne du Québec et à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels. Le MRCI s’est doté de mécanismes de contrôle de la sécurité sur ses réseaux pour : • cerner les problèmes et les régler; • analyser la vulnérabilité; • assurer l’application de la présente directive.

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Droits de regard (suite) Les données recueillies dans les registres d’accès peuvent être de la nature suivante : • les services utilisés; • les actions effectuées; • le temps d’utilisation; • les sites visités. Exceptionnelles, et exclusivement réservées à la sous-ministre, les mesures de contrôle peuvent inclure la lecture du contenu d’un message envoyé par courrier électronique et des fichiers de données.

Directive sur l’utilisation d’Internet et du courrier électronique du MRCI Mesures d’exception Toute personne assujettie à la présente directive ayant une raison valable de déroger aux obligations, principes directeurs ou lignes de conduite qui y sont prévus doit en informer son supérieur et obtenir l’autorisation d’y déroger. Sanctions Toute personne qui enfreint les dispositions de la présente directive s'expose à des mesures administratives ou disciplinaires, en fonction de la gravité et des conséquences du geste. Ces mesures peuvent inclure la révocation de ses droits d’accès aux ressources de l’inforoute, une réprimande, une suspension ou un congédiement, et ce, conformément aux dispositions des conventions collectives.

Courrier électronique et protection des renseignements personnels Vous avez des doutes, des questions... Consultez d’abord le responsable de la protection des renseignements personnels de votre M/O ou le responsable de la sécurité de l’information numérique S’il n’a pas de réponse, qu’il joigne la DSAIPRP Site sur l’AIPRP http://www.aiprp.gouv.qc.ca/index.html

Courrier électronique et protection des renseignements personnels Des questions sur les technologies

Courrier électronique et protection des renseignements personnels Avenir : La protection des renseignements personnels et la sécurité devront être au premier plan des préoccupations puisqu’il s’agit d’obligations légales

Courrier électronique et protection des renseignements personnels Merci de votre attention... La DSAIPRP demeure plus que jamais à votre service