Registre des incidents de confidentialité

Tenir un registre des incidents de confidentialité

Toute organisation doit tenir un registre dans lequel elle collige tous les incidents de confidentialité impliquant des renseignements personnels. Elle doit y inscrire même les incidents qui ne présentent pas de risque de préjudice sérieux. À la demande de la Commission, l’organisation doit transmettre une copie de son registre.

Le registre des incidents de confidentialité doit contenir les éléments suivants :

  • Une description des renseignements personnels visés par l’incident. Si cette information n’est pas connue, l’organisation doit inscrire la raison justifiant l’impossibilité de fournir cette description.
  • Une brève description des circonstances de l’incident;
  • La date ou la période où l’incident a eu lieu, ou une approximation de cette période si elle n’est pas connue;
  • La date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident;
  • Le nombre de personnes concernées par l’incident ou, s’il n’est pas connu, une approximation de ce nombre;
  • Une description des éléments qui amènent l’organisation à conclure qu’il y a, ou non, risque qu’un préjudice sérieux soit causé aux personnes concernées, comme :
    • la sensibilité des renseignements personnels concernés;
    • les utilisations malveillantes possibles des renseignements;
    • les conséquences appréhendées de l’utilisation des renseignements et la probabilité qu’ils soient utilisés à des fins préjudiciables;
  • Les dates de transmission des avis à la Commission et aux personnes concernées, quand l’incident présente le risque de préjudice sérieux. L’organisation doit aussi préciser si elle a donné des avis publics et la raison de ceux-ci;
  • Une brève description des mesures prises par l’organisation à la suite de l’incident, pour diminuer les risques qu’un préjudice soit causé.

Les renseignements du registre doivent être mis à jour et conservés pour une période minimale de cinq ans, après la date ou période de prise de connaissance de l’incident par l’organisation.

Mise à jour : 2 mai 2023