Évaluer si l’incident présente un risque de préjudice sérieux
Pour tout incident de confidentialité, l’organisation doit évaluer la gravité du risque de préjudice pour les personnes concernées. Pour ce faire, elle doit considérer, notamment :
- la sensibilité des renseignements concernés;
- les conséquences appréhendées de leur utilisation;
- la probabilité qu’ils soient utilisés à des fins préjudiciables.
L’organisation doit consulter son responsable de la protection des renseignements personnels. Elle peut également impliquer d’autres acteurs, comme le responsable de la sécurité de l’information ou des experts externes.
Si l’analyse fait ressortir un risque de préjudice sérieux, l’organisation doit aviser la Commission et les personnes concernées de l’incident.
Dans le cas contraire, elle doit tout de même poursuivre ses travaux pour réduire les risques et éviter qu’un incident de même nature se produise à nouveau dans le futur.
Mise à jour : 20 septembre 2022