Obligations en cas d'incident de confidentialité
Une entreprise qui a des motifs de croire qu'un incident de confidentialité touchant un renseignement personnel qu'elle détient s'est produit doit prendre des mesures raisonnables pour réduire les risques de préjudice et éviter de nouveaux incidents semblables. Si l'incident présente un risque de préjudice sérieux, elle doit, avec diligence, aviser la Commission d'accès à l'information ainsi que toute personne concernée; à défaut, la Commission peut lui ordonner d'aviser ces personnes. L'entreprise peut aussi aviser toute personne ou tout organisme apte à diminuer ce risque, en ne communiquant que les renseignements nécessaires et sans consentement, cette communication devant alors être enregistrée par le responsable de la protection des renseignements personnels. L'avis à une personne concernée peut être reporté tant qu'il risquerait de nuire à une enquête visant à prévenir, détecter ou réprimer le crime ou les infractions.
Le gouvernement peut, par règlement, déterminer le contenu et les modalités des avis. Distinguer deux seuils : tout incident appréhendé déclenche les mesures de mitigation; seul le risque de préjudice sérieux déclenche l'obligation d'aviser la Commission et les personnes concernées. La communication aux tiers pouvant réduire le risque exige un enregistrement par le responsable de la protection des renseignements personnels.
Concepts (9)
avis à la Commission d'accès à l'information communication de renseignements personnels consentement exploitation d'une entreprise incident de confidentialité personne concernée renseignement personnel responsable de la protection des renseignements personnels risque de préjudice sérieux
Articles apparentés (17)
- art. 18.3 Communication de renseignements personnels à un mandataire ou sous-traitant · 3 concepts communs
- art. 8 Obligation d'information lors de la collecte de renseignements personnels · 3 concepts communs
- art. 13 Communication des renseignements personnels et consentement · 2 concepts communs
- art. 15 Consentement à la communication de renseignements personnels obtenus d'un tiers · 2 concepts communs
- art. 18 Communication de renseignements personnels sans consentement · 2 concepts communs
- art. 18.1 Communication d'un renseignement personnel pour prévenir un risque grave · 2 concepts communs
- art. 18.2 Communication de renseignements personnels à des fins d'archives et de recherche · 2 concepts communs
- art. 18.4 Communication de renseignements personnels dans le cadre d'une transaction commerciale · 2 concepts communs
- art. 21 Communication de renseignements personnels à des fins d'étude, de recherche ou de statistiques · 2 concepts communs
- art. 21.1 Autorisation de communiquer des renseignements sur des professionnels sans leur consentement · 2 concepts communs
- art. 30 Conditions de la demande d'accès ou de rectification de renseignements personnels · 2 concepts communs
- art. 3.3 Évaluation des facteurs relatifs à la vie privée (ÉFVP) pour les projets de systèmes d'information · 2 concepts communs
- art. 3.6 Définition de l'« incident de confidentialité » · 2 concepts communs
- art. 3.7 Évaluation du risque de préjudice lors d'un incident de confidentialité · 2 concepts communs
- art. 40 Refus de communication protégeant un tiers · 2 concepts communs
- art. 8.3 Consentement présumé à l'utilisation des renseignements personnels fournis · 2 concepts communs
- art. 91 Infractions pénales et amendes en matière de protection des renseignements personnels (secteur privé) · 2 concepts communs
Texte officiel de l’article
Une personne qui exploite une entreprise et qui a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.
Si l’incident présente un risque qu’un préjudice sérieux soit causé, elle doit, avec diligence, aviser la Commission d’accès à l’information instituée par l’article 103 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1). Elle doit également aviser toute personne dont un renseignement personnel est concerné par l’incident, à défaut de quoi la Commission peut lui ordonner de le faire. Elle peut également aviser toute personne ou tout organisme susceptible de diminuer ce risque, en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. Dans ce dernier cas, le responsable de la protection des renseignements personnels doit enregistrer la communication.
Malgré le deuxième alinéa, une personne dont un renseignement personnel est concerné par l’incident n’a pas à être avisée tant que cela serait susceptible d’entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois.
Un règlement du gouvernement peut déterminer le contenu et les modalités des avis prévus au présent article.