Tenir un registre des incidents de confidentialité
Toute organisation doit tenir un registre colligeant l’ensemble des incidents de confidentialité impliquant un renseignement personnel qu’elle détient, même ceux ne présentant pas de risque de préjudice sérieux. L’organisation doit transmettre une copie du registre à la Commission lorsqu’elle le demande.
Le registre des incidents de confidentialité devrait notamment décrire les renseignements personnels visés par l’incident et contenir des informations sur les circonstances de l’incident, le nombre de personnes visées, l’évaluation de la gravité du risque de préjudice et les mesures prises en réaction à l’incident. Les dates pertinentes devraient aussi y figurer : survenance de l’incident, détection par l’organisation, transmission des avis (s’il y a lieu), etc.
Mise à jour : 20 septembre 2022