Évaluation du risque de préjudice lors d'un incident de confidentialité
Cet article établit les critères qu'une entreprise doit prendre en compte pour évaluer le risque qu'un incident de confidentialité cause un préjudice à une personne concernée. L'entreprise doit notamment considérer la sensibilité du renseignement personnel touché, les conséquences appréhendées de son utilisation et la probabilité qu'il serve à des fins préjudiciables. Elle doit aussi consulter son responsable de la protection des renseignements personnels.
Cette évaluation est déterminante pour les obligations de notification : un risque de préjudice sérieux déclenche les exigences d'aviser la Commission d'accès à l'information et les personnes concernées. La consultation du responsable de la protection des renseignements personnels est obligatoire dans le cadre de cette analyse.
Concepts (7)
exploitation d'une entreprise incident de confidentialité personne concernée renseignement personnel responsable de la protection des renseignements personnels sensibilité du renseignement évaluation du risque de préjudice
Articles apparentés (2)
- art. 3.3 Évaluation des facteurs relatifs à la vie privée (ÉFVP) pour les projets de systèmes d'information · 2 concepts communs
- art. 3.5 Obligations en cas d'incident de confidentialité · 2 concepts communs
Texte officiel de l’article
Lorsqu’elle évalue le risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de confidentialité, la personne qui exploite une entreprise doit considérer notamment la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables. Elle doit également consulter son responsable de la protection des renseignements personnels.