Aviser la Commission et les personnes dont les renseignements sont concernés
Quand l’incident présente le risque qu’un préjudice sérieux soit causé aux personnes dont les renseignements sont concernés, l’organisation doit s’empresser d’aviser la Commission. Toutes les personnes dont les renseignements personnels sont concernés par l’incident doivent également être informées par l’organisation. Si cette dernière n’informe pas les personnes concernées, la Commission peut lui ordonner de le faire.
Toutefois, l’organisation n’a pas à aviser les personnes dont les renseignements personnels sont concernés, si cet avis est susceptible d’entraver une enquête menée en vertu de la loi pour prévenir, détecter, réprimer le crime ou les infractions aux lois.
Le Règlement sur les incidents de confidentialité détermine le contenu et les modalités des avis qui doivent être transmis à la Commission et aux personnes concernées.
- AVIS À LA COMMISSION D’ACCÈS À L’INFORMATION
Quand un incident de confidentialité présente le risque d’un préjudice sérieux, l’organisation doit aviser par écrit la Commission. Le formulaire d’avis précise toutes les informations à fournir.
Suivant l’envoi de son formulaire d’avis, l’organisation qui prend connaissance de nouvelles informations doit s’empresser de les communiquer à la Commission.
- AVIS AUX PERSONNES CONCERNÉES
L’avis à la personne concernée doit l’informer de la portée et des conséquences de l’incident présentant le risque de préjudice sérieux.
Cet avis doit contenir :
- Une description des renseignements personnels visés par l’incident. Si cette information n’est pas connue, l’organisation doit communiquer la raison justifiant l’impossibilité de fournir cette description.
- Une brève description des circonstances de l’incident;
- La date ou la période où l’incident a eu lieu, ou une approximation de cette période si elle n’est pas connue;
- Une brève description des mesures prises ou envisagées pour diminuer les risques qu’un préjudice soit causé à la suite de l’incident;
- Les mesures proposées à la personne concernée afin de diminuer le risque qu’un préjudice lui soit causé ou d’atténuer celui-ci;
- Les coordonnées d’une personne ou d’un service avec qui la personne concernée peut communiquer pour obtenir davantage d’informations au sujet de l’incident.
De plus, une organisation peut donner un avis public afin d’agir rapidement pour diminuer le risque qu’un préjudice sérieux soit causé ou pour l’atténuer. L’organisation demeure toutefois tenue de transmettre un avis à la personne concernée dans les plus brefs délais.
Seulement trois situations permettent de faire un avis public sans transmettre un avis à la personne concernée :
- La transmission de l’avis peut causer un plus grand préjudice à la personne concernée;
- La transmission de l’avis représente une difficulté excessive pour l’organisation;
- L’organisation n’a pas les coordonnées de la personne concernée.
Cet avis peut être fait par tout moyen raisonnable permettant de joindre la personne concernée.
Aviser les personnes susceptibles de prévenir ou de diminuer le risque de préjudice sérieux
L’organisation peut aviser toute personne ou organisme susceptible de diminuer le risque de préjudice sérieux. Seuls les renseignements personnels nécessaires peuvent alors être communiqués, sans le consentement de la personne concernée. Le responsable de la protection des renseignements personnels de l’organisation doit enregistrer cette communication.
Mise à jour : 2 mai 2023