Incident de sécurité impliquant des renseignements personnels

Prévenir un incident de sécurité

En règle générale, les renseignements personnels qu’un organisme public détient sont confidentiels, sauf exceptions prescrites par la Loi. Les organismes ont l’obligation de prendre les mesures de sécurité propres à assurer la protection de ces renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables, compte tenu notamment de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. Ces mesures doivent être testées régulièrement.

Des mesures de sécurité adéquates peuvent contribuer à limiter les risques d’utilisation ou de communication inappropriée de renseignements personnels; par exemple :

  • Ne collectez que les renseignements personnels nécessaires à la réalisation du service que vous offrez;
  • Adoptez une politique de confidentialité qui démontre votre engagement à protéger les renseignements personnels que vous détenez et diffusez-la;
  • Adoptez des mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. Testez-les régulièrement;
  • Lorsque les fins pour lesquelles un renseignement personnel a été collecté ou utilisé sont accomplies, détruisez-le façon sécuritaire;
  • Corrigez rapidement tout incident relatif à la protection des renseignements personnels. Avisez les personnes concernées et, sur une base volontaire, informez la Commission, qui pourra vous accompagner dans vos démarches.

Réagir en cas d’incident de sécurité

Une perte ou un vol de renseignements personnels peut survenir et mettre en cause la confidentialité de l’information. Lorsqu’une telle situation se produit, une des préoccupations de la Commission est de s’assurer que l’organisme prend les moyens nécessaires afin d’éviter ou de limiter le préjudice que les personnes concernées par les renseignements personnels peuvent subir.

Informer rapidement les personnes concernées est un moyen efficace de limiter ou même de prévenir tout préjudice. Il est également essentiel que de nouvelles mesures de sécurité adéquates soient prises afin d’éviter qu’un tel incident ne se reproduise. La Commission peut vous accompagner et vous conseiller dans vos démarches.

Pour de plus amples informations, vous pouvez consulter l’aide-mémoire intitulé « Que faire en cas de perte ou de vol de renseignements personnels? ».

Déclarer un incident à la Commission

La Commission invite les organismes publics à lui déclarer les incidents de sécurité impliquant des renseignements personnels qui les ont affectés. Pour ce faire, elle met à leur disposition le formulaire de déclaration d’un incident de sécurité portant atteinte à des renseignements personnels.

Ce formulaire permet de bien circonscrire cet incident de sécurité, d’en évaluer les impacts et d’en apprécier les risques de préjudices pour les personnes concernées.

Pour aller plus loin :

SECRÉTARIAT DU CONSEIL DU TRÉSOR, Cadre de gestion des risques et des incidents à portée gouvernementale – Sécurité de l’information, Québec, 2014

 

Mise à jour : 29 mars 2021