Que faire lorsqu’un incident de confidentialité se produit?
Dans cette section, le terme « organisation » est utilisé pour désigner les organismes publics, les entreprises privées et les ordres professionnels, dans la mesure prévue par le Code des professions.
Également, le terme « lois » vise autant la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (Loi sur l’accès) que la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le privé).
Qu’est-ce qu’un incident de confidentialité?
Selon la loi, un incident de confidentialité correspond à tout accès, utilisation ou communication non autorisés par la loi d’un renseignement personnel, de même qu’à la perte d’un renseignement personnel ou à toute autre atteinte à sa protection.
Par exemple, un incident de confidentialité pourrait se produire lorsque :
- un membre du personnel consulte un renseignement personnel sans autorisation;
- un membre du personnel communique des renseignements personnels au mauvais destinataire;
- l’organisation est victime d’une cyberattaque : hameçonnage, rançongiciel, etc.
Si une organisation a des motifs de croire qu’un incident de confidentialité impliquant un renseignement personnel qu’elle détient s’est produit, elle doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.
Les obligations en cas d’incident de confidentialité figurent dans le menu de gauche :
- Prendre des mesures pour diminuer les risques et éviter de nouveaux incidents
- Évaluer si l’incident présente un risque de préjudice sérieux
- Aviser :
- Tenir un registre des incidents de confidentialité
Pouvoirs d’ordonnance de la Commission
Responsabilité des renseignements personnels conservés par un tiers
Mise à jour : 20 septembre 2022