Accords de partage de données et contrôles des tiers à Calgary

Calgary, Alberta, les organismes municipaux partagent de plus en plus de données avec des fournisseurs, des entrepreneurs et des agences partenaires. Ce guide explique comment les règles locales, les contrôles administratifs et les exigences de passation de marchés déterminent les accords de partage de données, les exigences de sécurité des fournisseurs et les voies de plainte pour le personnel municipal, les conseillers, les entrepreneurs et les responsables de la confidentialité à Calgary. Il résume les voies d'application, les violations courantes, les étapes pratiques pour rédiger ou réviser des accords et où trouver les formulaires officiels et les contacts pour la conformité ou les appels.

Portée et instruments applicables

Le partage de données municipal à Calgary est régi par des politiques administratives municipales et par la loi provinciale sur l’accès et la protection de la vie privée. Pour des informations spécifiques à la Ville et des orientations sur la gestion des dossiers, consultez les pages d’accès et de protection de la vie privée de la Ville de Calgary et les exigences de passation de marchés lors de la contractualisation avec des tiers. City of Calgary Access and Privacy^[1] et City of Calgary procurement rules^[2] fournissent des orientations opérationnelles pour les accords et les contrôles des fournisseurs.

Contrôles contractuels clés

• Inclure une clause d’objet restreint limitant l’utilisation des données partagées et exigeant la suppression ou le retour en fin de contrat.
• Préciser les droits d’audit et de compte rendu pour la Ville, y compris la fréquence et le format des preuves d’audit.
• Exiger des mesures de sécurité techniques et organisationnelles (chiffrement, contrôles d’accès, réponse aux incidents).
• Attribuer la responsabilité, les indemnités et les exigences d’assurance pour les violations ou divulgations non autorisées.
• Exiger des sous-traitants et des clauses de répercussion pour que les sous-traitants respectent les mêmes obligations.

Sur le plan opérationnel, incluez un calendrier d’inventaire des données, une procédure de notification des violations et des délais de conservation/destruction dans l’accord.

Pénalités et application

L’application peut découler des processus de conformité municipale, des recours en passation de marchés ou de la loi provinciale sur l’accès et la protection de la vie privée lorsque cela s’applique. Les pages d’accès et de protection de la vie privée et de passation de marchés de la Ville décrivent les responsabilités mais n’énumèrent pas les montants d’amende municipaux spécifiques ou les grilles de sanctions détaillées pour les violations de partage de données; ces pénalités monétaires sont non spécifiées sur la page citée. City of Calgary Access and Privacy^[1]

• Amendes et pénalités monétaires : non spécifiées sur la page citée.
• Escalade : remediation initiale, recours contractuels (retenue, résiliation), les violations répétées peuvent entraîner la résiliation du contrat ou l’exclusion de la passation de marchés — plages spécifiques non spécifiées sur la page citée.
• Sanctions non monétaires : ordres de cesser le traitement, suspension ou résiliation du contrat, audit ou plans correctifs obligatoires; des recours provinciaux en vertu de FOIP peuvent également s’appliquer.
• Autorité d’application et voie de plainte : l’application des bylaws et les bureaux administratifs de la Ville traitent les plaintes municipales et la conformité contractuelle; les voies de soumission et de contact officielles sont disponibles via les pages de la Ville sur les bylaws et la passation de marchés. City Bylaw Enforcement contact^[3]
• Appels et révisions : les voies d’appel varient selon l’instrument — débriefings et procédures de protestation en passation de marchés et révisions administratives peuvent exister; les délais précis d’appel ne sont pas indiqués sur la page de passation de marchés citée. City of Calgary procurement rules^[2]
• Défenses et discrétion : les défenses contractuelles courantes comprennent l’excuse raisonnable, les mesures d’atténuation du contractant et les dérogations ou exemptions approuvées dans un accord signé; la disponibilité dépend du contrat et de la politique.

Demandes et formulaires

• Aucun formulaire municipal unique de « partage de données » n’est publié sur les pages citées; les sections de passation de marchés et d’accès/protection de la vie privée fournissent des modèles et des orientations selon la transaction — consultez ces pages pour les modèles de contrat et l’orientation sur l’analyse d’impact sur la vie privée.

Lorsque des autorisations formelles, des dérogations ou des revues d’accès aux données sont requises, les responsables de la passation de marchés et de la confidentialité exigent généralement un accord écrit et peuvent demander une analyse d’impact sur la vie privée; les frais et délais sont fixés par la passation de marchés ou le projet et ne sont pas consolidés sur une seule page.

Étapes pratiques pour rédiger ou réviser un accord

1. Identifier les parties prenantes et documenter l’objectif légal du partage de données.
2. Cartographier les catégories de données, les périodes de conservation et les utilisateurs autorisés.
3. Spécifier les contrôles de sécurité, les audits et les délais de notification des incidents.
4. Inclure des clauses d’audit, d’approbation des sous-traitants et de résiliation pour motif.
5. Coordonner avec les responsables de la passation de marchés et de la confidentialité de la Ville avant signature.

Violations courantes

• Divulgation non autorisée d’informations personnelles ou partage au-delà de l’objet convenu.
• Défaut de mettre en œuvre les contrôles de sécurité requis ou de signaler les violations à temps.
• Absence de clauses de répercussion requises pour les sous-traitants.
• Refus d’autoriser des audits ou de fournir des dossiers lorsqu’exigé contractuellement.

FAQ

Qui dans la Ville applique les contrôles de partage de données ?

Le bureau d’accès et de protection de la vie privée de la Ville, le groupe de passation de marchés et les équipes d’application des bylaws partagent la responsabilité selon qu’il s’agit d’une question de confidentialité, de conformité contractuelle ou d’un enjeu relevant d’un bylaw.

Existe-t-il des modèles municipaux standard pour le partage de données ?

La Ville publie des modèles et des orientations de passation de marchés ; aucun formulaire universel de partage de données n’est publié sur les pages citées — consultez les orientations de passation de marchés et d’accès/protection de la vie privée pour les modèles.

Comment signaler une suspicion de violation de données impliquant un entrepreneur ?

Signalez immédiatement au contact de la confidentialité ou de la passation de marchés de la Ville et suivez les délais de notification de violation contractuels ; référez-vous aux orientations d’accès et de protection de la vie privée de la Ville pour les procédures.

How-To

1. Identifier les parties prenantes et documenter l’objet légal du partage.
2. Effectuer un inventaire des données et une analyse d’impact sur la vie privée si nécessaire.
3. Rédiger les clauses contractuelles : objet, conservation, sécurité, audit et notification des violations.
4. Obtenir l’examen et l’approbation des responsables de la passation de marchés et de la confidentialité avant signature.
5. Surveiller la conformité, auditer selon le calendrier et appliquer les mesures correctives en cas de violation.

Points clés

• Commencez tôt les revues de confidentialité et de passation de marchés.
• Incluez systématiquement l’audit, la notification des violations et les contrôles pour les sous-traitants.

Help and Support / Resources

• City of Calgary — Access and Privacy
• City of Calgary — Procurement
• City of Calgary — Bylaw Enforcement contact
• Alberta — Freedom of Information and Protection of Privacy

1. [1] City of Calgary Access and Privacy
2. [2] City of Calgary Procurement
3. [3] City of Calgary Bylaw Enforcement contact