Cybersécurité et règles de notification des violations à Vaughan

La Ville de Vaughan, Ontario, doit veiller à ce que les opérations informatiques municipales respectent les obligations d'accès et de protection de la vie privée et les orientations provinciales en cas de risque pour les données personnelles. Ce guide résume les normes applicables, les autorités chargées de l'application, les étapes de signalement et des actions pratiques pour le personnel et les fournisseurs de la Ville. Il identifie les contacts municipaux officiels et la surveillance provinciale afin que les équipes informatiques puissent réagir rapidement et conformément à la loi.

Périmètre et droit applicable

Les systèmes et services contrôlés par la Ville qui collectent, utilisent ou divulguent des renseignements personnels sont soumis au cadre municipal d'accès et de protection de la vie privée et à la loi provinciale, notamment la Municipal Freedom of Information and Protection of Privacy Act (MFIPPA). La Ville de Vaughan publie des renseignements sur l'accès à l'information et la protection de la vie privée et nomme un coordonnateur pour les demandes et incidents City of Vaughan - Access to Information and Privacy^[1]. Le commissaire à l'information et à la protection de la vie privée de l'Ontario (IPC) fournit des orientations sur les violations de la vie privée et les attentes en matière de notification et d'atténuation IPC - Privacy Breaches^[2].

Normes et attentes techniques

Bien que Vaughan puisse publier des politiques internes de sécurité informatique pour les employés et les fournisseurs, les exigences courantes comprennent :

• Classification des données et contrôles d'accès pour les renseignements personnels.
• Chiffrement des données sensibles en transit et au repos lorsque possible.
• Processus de gestion des correctifs et des vulnérabilités pour serveurs, postes et équipements réseau.
• Politiques de journalisation, de conservation et d'élimination sécurisée des documents contenant des renseignements personnels.

Ces attentes techniques sont mises en œuvre via des politiques informatiques d'entreprise et des contrats fournisseurs; contactez les services informatiques pour obtenir les politiques.

Sanctions et application

L'application municipale en matière de protection de la vie privée et d'accès est coordonnée par le coordonnateur de la Ville de Vaughan pour l'accès à l'information et la protection de la vie privée et peut conduire à des ordonnances, des mesures correctives ou des renvois au commissaire provincial. Les amendes municipales spécifiques pour les incidents de cybersécurité ne sont pas généralement précisées comme montants fixes sur les pages municipales; les amendes et ordonnances au titre de la MFIPPA et des procédures du commissaire varient selon les cas. Lorsque la Ville applique d'autres règlements techniques ou administratifs, les sanctions sont listées sur les pages de règlement pertinentes; les montants ne sont pas précisés sur la page municipale citée sur la vie privée City of Vaughan - Access to Information and Privacy^[1] et le commissaire explique les attentes de notification sans donner de barèmes d'amendes municipaux IPC - Privacy Breaches^[2].

Types de mesures d'application

• Ordonnances administratives ou directives émises par la Ville ou le commissaire.
• Sanctions pécuniaires ou règlements lorsque cela est autorisé par une ordonnance provinciale ou un jugement.
• Mesures correctives obligatoires, audits ou exigences d'amélioration des contrôles.
• Renvoi aux forces de l'ordre pour les incidents criminels comme le rançongiciel.

Escalade, appels et délais

Le commissaire traite les enquêtes en vertu de la MFIPPA et dispose de voies d'examen et d'appel formelles; les délais pour les appels et les réponses sont fixés par la législation provinciale et les procédures de l'IPC et ne sont pas précisés sur la page d'accès municipale citée ci-dessus City of Vaughan - Access to Information and Privacy^[1]. Lorsqu'une ordonnance municipale est émise, l'ordonnance précisera les droits d'appel et les délais.

Défenses et discrétion

Des moyens de défense comme les mesures raisonnables prises, la dépendance à l'égard de fournisseurs tiers ou l'application d'exemptions légalement prévues peuvent être pris en compte par les décideurs; la Ville et l'IPC évaluent les faits et peuvent considérer si des mesures de sécurité raisonnables ont été prises.

Violations courantes

• Accès non autorisé à des dossiers contenant des renseignements personnels.
• Mauvaise gestion des correctifs entraînant une compromission.
• Manquement à signaler une violation rapidement au coordonnateur de la vie privée.

Formulaires et demandes

Aucun formulaire municipal spécifique pour signaler les incidents de cybersécurité n'est publié sur la page d'accès de la Ville; la Ville demande aux personnes concernées et au personnel de contacter le coordonnateur de l'accès à l'information et de la vie privée pour le signalement des incidents et les demandes de documents City of Vaughan - Access to Information and Privacy^[1]. Si des formulaires internes existent, ils sont conservés par les services informatiques ou le bureau de la vie privée.

Étapes d'action pour les équipes informatiques

• Contenir immédiatement l'incident et préserver les journaux et systèmes concernés.
• Avertir les services informatiques et le coordonnateur de l'accès à l'information et de la vie privée.
• Recueillir les faits, les catégories de données touchées et l'estimation du nombre de personnes affectées.
• Mettre en œuvre des actions d'atténuation et de remédiation et documenter les coûts et les mesures prises.

FAQ

Qui applique les violations de la vie privée pour la Ville de Vaughan?

Le coordonnateur de l'accès à l'information et de la vie privée de la Ville gère la réponse municipale et le commissaire à l'information et à la protection de la vie privée de l'Ontario effectue les examens en vertu de la MFIPPA.

Dans quels délais une violation doit-elle être signalée?

Signalez immédiatement les violations suspectées au coordonnateur de la vie privée de la Ville; le commissaire attend une notification et une atténuation rapides, mais les délais municipaux exacts ne sont pas précisés sur la page citée.

Existe-t-il des amendes fixes pour les incidents de cybersécurité?

Les montants fixes des amendes municipales pour les incidents de cybersécurité ne sont pas précisés sur la page d'accès de la Ville; l'application peut inclure des ordonnances et un examen provincial.

How-To

Comment signaler et répondre à une violation suspectée de la vie privée à Vaughan :

1. Contenir les systèmes touchés et préserver les éléments de preuve médico-légale.
2. Avertir immédiatement les services informatiques et le coordonnateur de l'accès à l'information et de la vie privée.
3. Compiler les dossiers touchés, le nombre estimé de personnes impactées et les mesures d'atténuation prises.
4. Suivre les orientations de la Ville et les recommandations de l'IPC; coopérer avec tout examen.

Points clés

• La Ville de Vaughan doit respecter la politique municipale et la surveillance provinciale MFIPPA.
• Signalez les violations immédiatement et conservez les preuves pour l'enquête.
• Contactez le coordonnateur de la vie privée et les services informatiques pour obtenir de l'aide et des formulaires.

Aide et ressources

• City of Vaughan - By-law Enforcement
• City of Vaughan - Information Technology Services
• Municipal Freedom of Information and Protection of Privacy Act (MFIPPA)

1. [1] City of Vaughan - Access to Information and Privacy
2. [2] IPC - Privacy Breaches