Prendre des mesures pour diminuer les risques et éviter de nouveaux incidents
Si l’organisation a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient, elle doit prendre des mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.
Les questions suivantes sont utiles afin d’évaluer rapidement la situation :
- Qui : quelles sont les personnes concernées par l’incident? S’agit-il d’employés, de clients ou de partenaires d’affaires? Qui peut avoir eu accès aux renseignements personnels?
- Combien : combien de personnes sont touchées par l’incident?
- Quoi : quelle est la nature des renseignements personnels visés par l’incident? Sont-ils des renseignements sensibles? Quels sont les risques pour les personnes concernées?
- Quand : quand l’incident a-t-il eu lieu? Quand a-t-il été découvert?
- Où : où l’incident a-t-il eu lieu? Au sein de l’organisation? Si oui, dans quel secteur? L’incident a-t-il eu lieu chez un tiers détenant des renseignements personnels pour le compte de l’organisation (ex. : un mandataire, un fournisseur)?
- Pourquoi: quelles sont les causes? Quelles mesures de sécurité étaient en place au moment de l’incident? Pourquoi n’ont-elles pas été efficaces?
Les mesures raisonnables à mettre en place dépendent de cet état de la situation. Toutes les situations sont différentes. Même si l’ensemble des informations pertinentes ne sont pas connues dès le départ, il est important de réagir rapidement. Au besoin, l’organisation continue d’adapter ses mesures ou à d’en adopter de nouvelles au fur et à mesure que les circonstances et les impacts de l’incident se précisent par la suite.
Mise à jour : 20 septembre 2022