Aviser la Commission et les personnes dont les renseignements sont concernés
Lorsque l’incident présente un risque qu’un préjudice sérieux soit causé aux personnes dont les renseignements sont concernés, l’organisation doit aviser la Commission avec diligence.
L’organisation doit également aviser toute personne dont les renseignements personnels sont concernés par l’incident. Dans le cas où l’organisation n’informe pas les personnes concernées, la Commission peut lui ordonner de le faire.
Toutefois l’organisation n’a pas à aviser les personnes dont les renseignements personnels sont concernés tant que cela serait susceptible d’entraver une enquête faite par une personne ou un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois.
- AVIS À LA COMMISSION D’ACCÈS À L’INFORMATION
Lorsqu’un incident de confidentialité présente un risque de préjudice sérieux, l’organisation doit aviser, par écrit, la Commission. Le formulaire d’avis précise toutes les informations à fournir.
Toute information complémentaire touchant les éléments que doit contenir l’avis à la Commission et dont l’organisation prend connaissance après l’envoi de cet avis doit être transmise, avec diligence, à compter de cette connaissance.
- AVIS AUX PERSONNES CONCERNÉES
L’avis à la personne concernée par un incident présentant un risque de préjudice sérieux devrait permettre de la renseigner adéquatement sur la portée et les conséquences de l’incident. L’organisation devrait y décrire notamment les renseignements personnels visés, les circonstances de l’incident, les mesures qu’elle a prises ou prendra pour diminuer les risques de préjudice ou atténuer le préjudice et les coordonnées d’une personne à joindre pour avoir plus d’information.
Aviser les personnes susceptibles de prévenir ou de diminuer le risque de préjudice sérieux
L’organisation peut aviser toute personne ou organisme susceptible de diminuer le risque de préjudice sérieux. Seuls les renseignements personnels nécessaires peuvent alors être communiqués, sans le consentement de la personne concernée. Le responsable de la protection des renseignements personnels de l’organisation doit enregistrer cette communication.
Mise à jour : 20 septembre 2022