Tenir un registre des incidents de confidentialité
Toute organisation doit tenir un registre dans lequel elle collige tous les incidents de confidentialité impliquant des renseignements personnels. Elle doit y inscrire même les incidents qui ne présentent pas de risque de préjudice sérieux. À la demande de la Commission, l’organisation doit transmettre une copie de son registre.
Le registre des incidents de confidentialité doit contenir les éléments suivants :
- Une description des renseignements personnels visés par l’incident. Si cette information n’est pas connue, l’organisation doit inscrire la raison justifiant l’impossibilité de fournir cette description.
- Une brève description des circonstances de l’incident;
- La date ou la période où l’incident a eu lieu, ou une approximation de cette période si elle n’est pas connue;
- La date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident;
- Le nombre de personnes concernées par l’incident ou, s’il n’est pas connu, une approximation de ce nombre;
- Une description des éléments qui amènent l’organisation à conclure qu’il y a, ou non, risque qu’un préjudice sérieux soit causé aux personnes concernées, comme :
- la sensibilité des renseignements personnels concernés;
- les utilisations malveillantes possibles des renseignements;
- les conséquences appréhendées de l’utilisation des renseignements et la probabilité qu’ils soient utilisés à des fins préjudiciables;
- Les dates de transmission des avis à la Commission et aux personnes concernées, quand l’incident présente le risque de préjudice sérieux. L’organisation doit aussi préciser si elle a donné des avis publics et la raison de ceux-ci;
- Une brève description des mesures prises par l’organisation à la suite de l’incident, pour diminuer les risques qu’un préjudice soit causé.
Les renseignements du registre doivent être mis à jour et conservés pour une période minimale de cinq ans, après la date ou période de prise de connaissance de l’incident par l’organisation.
Mise à jour : 2 mai 2023