Exigences d'évaluation d'impact sur la vie privée pour les applications tierces à Ottawa

Technologie et données Ontario 5 min de lecture · publié 11 février 2026 Flag of Ontario

À Ottawa, Ontario, les projets municipaux impliquant des applications tierces doivent respecter les attentes de la Ville d’Ottawa en matière de protection de la vie privée et de gestion de l'information pour protéger les données des résidents. Ce guide explique quand une évaluation d'impact sur la vie privée (EIVP) est requise, qui applique les règles, les étapes pratiques pour les équipes d'approvisionnement et les fournisseurs, et comment répondre aux plaintes. Il renvoie aux orientations de la Ville d’Ottawa et à la surveillance provinciale afin que les responsables de projet puissent agir rapidement et en conformité.[1][2]

Quand une EIVP est requise

Ottawa exige un examen de la vie privée pour les systèmes, services ou contrats qui recueillent, utilisent, divulguent ou hébergent des renseignements personnels pour le compte de la Ville, y compris les applications mobiles ou Web tierces intégrées aux systèmes municipaux ou traitant des données des résidents. Les projets qui introduisent de nouveaux flux de données, modifient les pratiques de conservation ou de partage, ou font appel à l'hébergement en nuage ou à un traitement à l'extérieur du pays déclenchent généralement une EIVP.[1]

  • Projets avec nouvelle collecte ou partage de renseignements personnels.
  • Tout contrat avec un fournisseur externe traitant des renseignements personnels de la Ville.
  • Intégrations modifiant l'architecture du système ou les lieux d'hébergement des données.
  • Modifications majeures à la conservation, l'accès ou l'élimination des documents.
Une EIVP doit être commencée tôt dans le processus d'approvisionnement pour éviter des retards.

Comment Ottawa et l'Ontario supervisent les EIVP

Le Bureau de la vie privée de la Ville d’Ottawa coordonne les EIVP, avec les Services de technologie de l'information et les équipes d'approvisionnement qui veillent à l'application des clauses contractuelles et des obligations de sécurité. La supervision provinciale et les bonnes pratiques pour les EIVP sont énoncées par le Commissariat à l'information et à la vie privée de l'Ontario (CIP), qui fournit des orientations sur la portée et la méthodologie.[1][2]

Sanctions et application

La Ville d’Ottawa applique les exigences de protection de la vie privée et de gestion de l'information par l'entremise de son Bureau de la vie privée, de la sécurité informatique et des processus de conformité aux marchés. Les montants d'amendes spécifiques liés aux EIVP ne sont pas précisés sur la page citée de la Ville d’Ottawa; l'application vise généralement des ordonnances correctives, des recours contractuels et, si nécessaire, des renvois aux autorités provinciales.[1]

  • Amendes monétaires : non précisées sur la page citée.[1]
  • Escalade : actions réparatrices internes, puis sanctions contractuelles ou résiliation; renvoi au CIP lorsque des questions législatives surviennent.[1]
  • Sanctions non monétaires : ordonnances de conformité, audits obligatoires, suspension ou résiliation de contrat, remédiation des données et actions judiciaires si applicable.[2]
  • Responsable de l'application : Bureau de la vie privée de la Ville d’Ottawa et le CIP de l'Ontario pour l'application et les conseils provinciaux.[1][2]

Voies d'appel et de révision : examen administratif par le processus interne de plaintes de la Ville et, lorsque l'autorité législative s'applique, plaintes au CIP de l'Ontario. Les délais pour déposer des plaintes auprès du CIP sont régis par les règles provinciales et peuvent varier; consultez les directives du CIP pour les délais procéduraux.[2]

Formulaires et demandes

La Ville d’Ottawa fournit un processus d'EIVP coordonné par le Bureau de la vie privée; lorsqu'un questionnaire ou un modèle d'EIVP formel est requis, il est publié par la Ville. Si un formulaire d'EIVP ou des frais spécifiques ne figurent pas sur la page de la Ville, indiquez qu'un formulaire publié est « non précisé sur la page citée » et contactez le Bureau de la vie privée pour obtenir le modèle et les instructions de soumission les plus récents.[1]

Contactez le Bureau de la vie privée avant de lancer un appel d'offres pour confirmer les exigences d'EIVP.

Étapes pratiques pour les responsables de projet

  • Effectuer le dépistage de la vie privée au début du projet et documenter les décisions.
  • Remplir le modèle d'EIVP ou la liste de contrôle et le soumettre au Bureau de la vie privée.
  • Inclure des clauses contractuelles standard en matière de sécurité, notification de violation et lieu de traitement des données.
  • Prévoir un budget pour la remédiation, les tests de sécurité indépendants et les audits éventuels.
Les fournisseurs qui refusent les clauses de sécurité exigées risquent d'être disqualifiés.

Violations courantes

  • Absence d'EIVP lorsque de nouveaux flux de renseignements personnels sont introduits.
  • Sauvegardes contractuelles insuffisantes pour les sous-traitants.
  • Partage non autorisé de données ou transferts transfrontaliers sans approbations.

FAQ

Qui doit remplir une EIVP pour une application tierce ?
Le responsable de projet de la Ville ou le fournisseur doit remplir une EIVP lorsque l'application collecte, stocke ou traite des renseignements personnels pour le compte de la Ville; consultez le Bureau de la vie privée pour la portée.[1]
Combien de temps prend l'examen d'une EIVP ?
Le délai d'examen varie selon la complexité; les dépistages simples peuvent durer quelques jours tandis que les EIVP complètes peuvent prendre des semaines—commencez tôt.
Où soumettre l'EIVP ?
Soumettez l'EIVP au Bureau de la vie privée de la Ville d’Ottawa selon les instructions publiées ou via les canaux de contact du Bureau de la vie privée.[1]

Comment faire

  1. Dépister le projet pour déterminer si des renseignements personnels sont impliqués.
  2. Contacter le Bureau de la vie privée de la Ville d’Ottawa pour obtenir le modèle d'EIVP et les orientations actuelles.[1]
  3. Remplir l'EIVP en détaillant les flux de données, l'évaluation des risques et les mesures d'atténuation.
  4. Soumettre l'EIVP au Bureau de la vie privée et répondre aux questions de suivi ou aux actions correctives.
  5. Intégrer les clauses contractuelles requises et mettre en œuvre les contrôles techniques et administratifs avant la mise en service.

Points clés

  • Commencez le dépistage de la vie privée tôt dans l'approvisionnement.
  • Coordonnez-vous avec le Bureau de la vie privée pour les modèles et l'examen.
  • L'application vise surtout des ordonnances correctives et des recours contractuels plutôt que des amendes municipales publiées.

Aide et ressources

  1. [1] City of Ottawa - Privacy and access to information
  2. [2] Information and Privacy Commissioner of Ontario - Privacy Impact Assessments
  3. [3] Ontario Municipal Freedom of Information and Protection of Privacy Act (MFIPPA)

Catégories

Gouvernance et administration générales Sécurité publique Santé publique et bien-être Urbanisme et zonage Logement et normes de construction Transports Protection de l’environnement Parcs et espaces publics Affaires et protection du consommateur Fiscalité et finances Travail et emploi Éducation Droits civils et équité Élections et financement des campagnes Événements et usages spéciaux Enseignes et publicité Services publics et infrastructures Technologie et données