Politique de confidentialité
POLITIQUE ADMINISTRATIVE SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
1.PRÉAMBULE
Dans le cadre de ses activités et de sa mission, le Complexe environnemental de la Rouge traite des renseignements personnels, notamment ceux des visiteurs de son site Web, des citoyens et de ses employés. À ce titre, il reconnait l’importance de respecter la vie privée et de protéger les renseignements personnels qu’il détient.
Afin de s’acquitter de ses obligations en la matière, le CER s’est doté de cette politique. Celui-ci énonce les principes-cadres applicables à la protection des renseignements personnels que le CER détient tout au long du cycle de vie de ceux-ci et aux droits des personnes concernées.
La protection des renseignements personnels détenus par le CER incombe à toute personne qui traite ces renseignements. Celui-ci doit comprendre et respecter les principes de protection des renseignements personnels inhérents à l’exercice de ses fonctions ou qui découlent de sa relation avec le CER.
2.OBJECTIFS
La Politique vise notamment les objectifs suivants :
•Énoncer les principes encadrant la gouvernance du CER à l’égard des renseignements personnels tout au long de leur cycle de vie et de l’exercice des droits des personnes concernées;
•Définir un cadre de gestion des incidents de confidentialités et prévoir le processus de traitement des plaintes relatives à la protection des renseignements personnels;
•Définir les rôles et responsabilités en matière de protection des renseignements personnels du CER;
•Décrire les activités de formation et de sensibilisation que le CER offre à son personnel.
3.CADRE NORMATIF
La présente Politique s’inscrit dans un contexte régi notamment par la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2-1.). Conformément à cette Loi, la présente Politique est accessible via le site Internet du Complexe environnemental de la Rouge : https://www.cer.quebec/
4.CHAMP D’APPLICATION
La présente politique s’applique à l’égard de tout renseignement personnel détenu par le CER et à toute personne qui traite des renseignements personnels que le CER détient.
5.DÉFINITIONS
Aux fins de la présente politique, les termes suivants désignent :
« CAI » : la Commission d’accès à l’information du Québec.
« CER » : Complexe environnemental de la Rouge.
« Cycle de vie » : l’ensemble des étapes visant le traitement d’un renseignement personnel soit la collecte, l’utilisation, la communication, la conservation et la destruction de celui-ci.
« Évaluation des facteurs relatifs à la vie privée » ou « ÉFVP » : la démarche préventive qui vise à mieux protéger les renseignements personnels et à respecter la vie privée des personnes physiques. Elle consiste à considérer tous les facteurs qui entraîneraient des conséquences positives et négatives sur le respect de la vie privée des personnes concernées.
« Incident de confidentialité » : toute consultation, utilisation ou communication non autorisée par la loi d’un renseignement personnel, ou toute perte ou autre atteinte à la protection de ce renseignement.
« Loi » : Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ. c A-2.1.
« Personne concernée » : personne physique à qui se rapportent les renseignements personnels.
« Renseignement personnel » : toute information qui concerne une personne physique et qui permet de l’identifier directement, soit par le recours à cette seule information ou indirectement, soit par combinaison avec d’autres informations. Ce terme englobe aussi un renseignement personnel sensible lorsque ce n’est pas spécifiquement prévu à la politique.
« Renseignement personnel sensible » : tout renseignement personnel qui, par sa nature, notamment médicale, biométrique ou autrement intime, ou en raison de la manière dont il est utilisé ou communiqué suscite un haut degré d’attente raisonnable en matière de vie privée.
« Responsable de l’accès aux documents et de la protection des renseignements personnels » ou « RADPRP » : Désigne la personne qui, au sein du CER, exerce les fonctions de responsable de l’accès aux documents et de responsable de la protection des renseignements personnels, selon la Loi.
6.TRAITEMENT DES RENSEIGNEMENTS PERSONNELS
La protection des renseignements personnels est assurée tout au long de leur cycle de vie dans le respect des principes suivants, sauf exception prévue par la Loi.
6.1. Collecte
•Le CER ne recueille que les renseignements personnels nécessaires à la réalisation de sa mission et de ses activités. Avant de recueillir des renseignements personnels, le CER détermine les fins de leur traitement. Le CER ne recueille que les renseignements personnels strictement nécessaires aux fins indiquées.
•La collecte de renseignements personnels se fait auprès de la personne concernée.
•Au moment de la collecte, et par la suite, sur demande, le CER informe les personnes concernées, notamment, des fins et des modalités de traitement de leurs renseignements personnels et de leurs droits quant à ces renseignements, notamment au moyen d’une politique de confidentialité des renseignements personnels.
•Lorsque la Loi exige l’obtention d’un consentement, celui-ci doit être manifeste, libre, éclairé et donné à des fins spécifiques. Il est demandé à chacune de ces fins, en termes simples et clairs. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé.
•Si la personne concernée est une personne mineure de moins de 14 ans, le consentement doit être donné par son parent ou son tuteur.
6.2. Utilisation
•Le CER n’utilise les renseignements personnels qu’aux fins pour lesquelles ces renseignements ont été recueillis; le CER peut modifier ces fins si la personne concernée y consent préalablement.
•Le CER peut également les utiliser à des fins secondaires sans le consentement de la personne concernée, dans l’un ou l’autre des cas suivants :
-Lorsque l’utilisation est à des fins compatibles avec celles pour lesquelles les renseignements ont été recueillis;
-Lorsque l’utilisation est manifestement au bénéfice de la personne concernée;
-Lorsque l’utilisation est nécessaire à l’application d’une loi au Québec, que cette utilisation soit ou non prévue expressément par la loi;
-Lorsque l’utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques et que les renseignements sont dépersonnalisés.
•Le CER établit et tient à jour un inventaire des fichiers de renseignements personnels qu’il recueille, utilise et communique.
Cet inventaire contient minimalement :
-Les catégories de renseignements qu’il contient, les fins pour lesquelles les renseignements sont conservés et le mode de gestion de chaque fichier;
-La provenance des renseignements versés à chaque fichier;
-Les catégories de personnes concernées par les renseignements versés à chaque fichier;
-Les catégories de personnes qui ont accès à chaque fichier dans l’exercice de leurs fonctions;
-Les mesures de sécurité prises pour assurer la protection des renseignements personnels.
•Toute personne qui en fait la demande a droit d’accès à cet inventaire, sauf à l’égard des renseignements dont la confirmation de l’existence peut être refusée en vertu des dispositions de la Loi.
6.3. Communication
•Sous réserve des exceptions prévues aux termes de la Loi, le CER ne peut communiquer des renseignements personnels sans le consentement de la personne concernée. Le consentement doit être donné expressément lorsque des renseignements personnels sensibles sont en cause.
•Lorsque des renseignements personnels sont communiqués à un mandataire ou un fournisseur de services dans le cadre d’un mandat ou d’un contrat de service ou pour l’exécution d’un mandat, le CER doit conclure une entente avec le fournisseur de services ou le mandataire.
Cette entente doit notamment contenir :
-Les dispositions de la Loi qui s’appliquent aux renseignements communiqués;
-Les mesures prises pour assurer la confidentialité des renseignements;
-Les mesures prises pour que ces renseignements ne soient utilisés que dans le cadre du mandat ou l’exécution du contrat;
-Les mesures prises pour assurer que les renseignements ne soient pas conservés après l’expiration du mandat ou du contrat;
-Un engagement de confidentialité complété par toute personne à qui le renseignement peut être communiqué;
-L’obligation du mandataire ou le fournisseur d’aviser sans délai le responsable de la protection des renseignements personnels de tout incident de confidentialité, peu importe sa teneur.
6.4. Conservation
Le CER prend toutes les mesures raisonnables afin que les renseignements personnels qu’il détient soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis ou utilisés.
Le CER conserve les renseignements personnels aussi longtemps que nécessaires pour mener ses activités, sous réserve des délais prévus à son calendrier de conservation.
6.5. Destruction et anonymisation
Lorsque sont atteintes les finalités pour lesquelles les renseignements personnels ont été collectés, ces renseignements sont détruits ou anonymisés, le cas échéant, sous réserve des dispositions de la Loi sur les archives (RLRQ, c. A-21.1) et suivant les délais prévus au calendrier de conservation et aux règles de gestion des documents du CER.
6.6. Registre
Conformément à la Loi, le CER tient à jour les registres suivants :
1) Registre des communications de renseignements personnels sans le consentement d’une personne concernée, dans les cas suivants :
-Lorsque le CER communique l’identité d’une personne concernée à une personne ou à un organisme privé afin de recueillir des renseignements déjà colligés par ces derniers;
-Lorsque le CER communique des renseignements personnels nécessaires à l’application d’une loi au Québec, que cette communication soit ou non expressément prévue par la loi;
-Lorsque le CER communique des renseignements personnels nécessaires à l’application d’une convention collective, d’un décret, d’une ordonnance, d’une directive ou d’un règlement qui établit les conditions de travail;
-Lorsque le CER communique des renseignements personnels à un mandataire ou à un fournisseur de services dans le cadre d’un mandat ou d’un contrat de service;
-Lorsque le CER communique des renseignements personnels à des fins d’étude, de recherche ou de statistique;
-Après avoir effectué une ÉFVP, lorsque le CER communique des renseignements personnels dans les cas visés par l’article 68 de la Loi.
Ce registre comprend :
-La nature ou le type de renseignement communiqué;
-La personne ou l’organisme qui reçoit cette communication;
-La fin pour laquelle ce renseignement est communiqué et l’indication, le cas échéant, qu’il s’agit d’une communication de renseignements personnels à l’extérieur du Québec;
-La raison justifiant cette communication.
2) Registre des ententes de collecte conclues aux fins de l’exercice des fonctions ou de la mise en oeuvre d’un programme d’un organisme public avec lequel le CER collabore pour la prestation de services ou la réalisation d’une mission commune.
Ce registre comprend :
-Le nom de l’organisme pour lequel les renseignements sont recueillis;
-L’identification du programme ou de l’attribution pour lequel les renseignements sont nécessaires;
-La nature ou le type de la prestation de service ou de la mission;
-La nature ou le type de renseignements recueillis;
-La fin pour laquelle ces renseignements sont recueillis;
-La catégorie de personnes, au sein de l’organisme qui recueille les renseignements et au sein de l’organisme receveur, qui a accès aux renseignements.
3) Registre des utilisations de renseignements personnels au sein du CER à d’autres fins et sans le consentement de la personne concernée lorsque cette utilisation est compatible avec les fins pour lesquelles ils ont été recueillis, qu’elle est clairement à l’avantage de la personne concernée ou qu’elle est nécessaire à l’application d’une loi au Québec.
Ce registre comprend :
-La mention du paragraphe du deuxième alinéa de l’article 65.1 de la Loi permettant l’utilisation, c’est-à-dire la base juridique applicable;
-Dans le cas visé au paragraphe 3° du deuxième alinéa de l’article 65.1 de la Loi, la disposition législative qui rend nécessaire l’utilisation du renseignement;
-La catégorie de personnes qui a accès au renseignement aux fins de l’utilisation indiquée.
4) Registre des communications d’information concernant un incident de confidentialité à une personne ou à un organisme susceptible de réduire le risque de préjudice grave associé à un incident de confidentialité
5) Registre des incidents de confidentialité.
Ce registre comprend :
-Une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
-Une brève description des circonstances de l’incident;
-La date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période;
-La date ou la période au cours de laquelle le CER a pris connaissance de l’incident;
-Le nombre de personnes concernées par l’incident ou, s’il n’est pas connu, une approximation de ce nombre;
-Une description des éléments qui amènent le CER à conclure qu’il existe ou non un risque qu’un préjudice sérieux soit causé aux personnes concernées, telles que la sensibilité des renseignements personnels concernés, les utilisations malveillantes possibles de ces renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables;
-Si l’incident présente un risque qu’un préjudice sérieux soit causé, les dates de transmission des avis à la CAI et aux personnes concernées, en application du deuxième alinéa de l’article 63.8 de la Loi, de même qu’une mention indiquant si des avis publics ont été donnés par le CER et la raison pour laquelle ils l’ont été, le cas échéant;
-Une brève description des mesures prises par le CER, à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé.
7.ÉVALUATION DES FACTEURS RELATIFS À LA VIE PRIVÉE
7.1. Le CER réalise une ÉFVP, notamment dans le contexte des traitements suivants de renseignements personnels :
1. Avant d’entreprendre un projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services qui implique des renseignements personnels;
2. Avant de recueillir des renseignements personnels nécessaires à l’exercice des attributions ou à la mise en oeuvre d’un programme d’un organisme public avec lequel il collabore pour la prestation de services ou pour la réalisation d’une mission commune;
3. Avant de communiquer des renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme qui souhaite utiliser ces renseignements à des fins d’étude, de recherche ou de production de statistiques;
4. Lorsqu’il entend communiquer des renseignements personnels, sans consentement des personnes concernées, conformément à l’article 68 de la Loi;
5. Lorsqu’il entend communiquer des renseignements personnels à l’extérieur du Québec ou confier à une personne ou à un organisme à l’extérieur du Québec le soin de recueillir, d’utiliser, de communiquer ou de conserver de tels renseignements pour son compte.
7.2. En effectuant une ÉFVP, le CER tient compte de la sensibilité des renseignements personnels à être traités, des fins de leur utilisation, de leur quantité, de leur distribution et de leur support, ainsi que de la proportionnalité des mesures proposées pour protéger les renseignements personnels.
7.3. De plus, lorsque les renseignements personnels sont communiqués à l’extérieur du Québec, le CER s’assure que ceux-ci bénéficient d’une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus.
7.4. La réalisation d’une ÉFVP sert à démontrer que le CER a respecté toutes les obligations en matière de protection des renseignements personnels et que toutes les mesures ont été prises afin de protéger efficacement ces renseignements.
8.ACTIVITÉS DE RECHERCHE ET ACCÈS AUX RENSEIGNEMENTS PERSONNELS
8.1. Des chercheurs peuvent demander l’accès à des renseignements personnels à des fins de recherche. Une telle demande doit être soumise au RADPRP du CER.
8.2. Lorsque l’ÉFVP conclut que des renseignements personnels peuvent être communiqués à cette fin le CER peut consentir à communiquer ces renseignements. Dans ce cas, il doit conclure avec les chercheurs une entente répondant aux exigences de la Loi et incluant toute mesure supplémentaire identifiée dans l’ÉFVP.
9.SONDAGE
Lorsque le CER désire réaliser un sondage ou une consultation nécessitant la collecte ou l’utilisation de renseignements personnels, le processus doit respecter toute politique adoptée par le CER relativement aux sondages et aux consultations.
En l’absence d’une telle politique, le RADPRP doit procéder à l’évaluation de la nécessité du sondage ou de la consultation et de son aspect éthique en tenant compte de la sensibilité, de la nature des renseignements personnels recueillis et de la finalité de leur utilisation. Il émet des recommandations quant à la collecte et la gestion des renseignements.
10.DROITS DES PERSONNES CONCERNÉES
10.1. Sous réserve de ce que prévoient les lois applicables, toute personne concernée dont les renseignements personnels sont détenus par le CER dispose notamment des droits suivants:
•D’accéder à ces renseignements;
•À moins que cela ne soulève des difficultés pratiques sérieuses, d’obtenir communication, dans un format technologique structuré et couramment utilisé, d’un renseignement informatisé recueilli auprès d’elle, et non pas créé ou inféré. À sa demande, ce renseignement est aussi communiqué à toute personne ou à tout organisme autorisé par la loi à recueillir un tel renseignement;
• De faire rectifier un renseignement, s’il est inexact, incomplet ou équivoque, ou si sa collecte, sa communication ou sa conservation n’est pas autorisée par la loi;
• De retirer son consentement à l’utilisation ou à la communication d’un renseignement, si celui-ci a été recueilli lors d’une demande facultative.
10.2 Les demandes d’accès aux renseignements personnels doivent être adressées au RADPRP et peuvent être faites verbalement ou par écrit. Les demandes verbales seront traitées de manière informelle et peuvent ne pas recevoir de réponse écrite. Les demandes d’accès aux renseignements personnels sensibles doivent cependant être faites par écrit et recevront une réponse écrite.
10.3 Les demandes de communication, de rectification ou de retrait de consentement doivent être adressées par écrit au RADPRP et recevront une réponse écrite.
10.4 Toute demande doit être suffisamment précise pour permettre au RADPRP de localiser les renseignements personnels concernés.
11.TRAITEMENT DES PLAINTES
11.1. Toute plainte relative aux pratiques de protection des renseignements personnels du CER ou de sa conformité aux exigences de la Loi qui concernent les renseignements personnels doit être transmise au RPRP, lequel doit y répondre dans un délai de 20 jours.
11.2. Ou si le traitement de la plainte ne paraît pas possible sans nuire au déroulement normal des activités du CER, dans un délai supplémentaire de 10 jours, après avoir avisé la personne concernée par écrit.
12.SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS
12.1. Le CER met en place des mesures de sécurité raisonnables afin d’assurer la confidentialité, l’intégrité et la disponibilité des renseignements personnels recueillis, utilisés, communiqués, conservés ou détruits. Ces mesures tiennent notamment en compte du degré de sensibilité des renseignements personnels, de la finalité de leur collecte, de leur quantité, de leur localisation et de leur support.
12.2. Le CER gère les droits d’accès des membres de son personnel afin que seuls ceux soumis à un engagement de confidentialité et ayant besoin d’y accéder dans le cadre de leurs fonctions aient accès aux renseignements personnels.
13.INCIDENTS DE CONFIDENTIALITÉ
13.1. Le CER, si elle a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient, doit prendre toutes les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.
13.2. Tout incident de confidentialité est signalé au RADPRP et est consigné au Registre des incidents de confidentialité.
13.3. Si l’incident de confidentialité présente un risque de préjudice sérieux pour les personnes concernées, le CER avise celles-ci avec diligence ainsi que la CAI.
14.ACTIVITÉS DE FORMATION ET SENSIBILISATION
Tous les membres du personnel du CER reçoivent une copie de la présente politique et des procédures concernant la protection des renseignements personnels.
Des activités de formation et de sensibilisation relatives à la protection des renseignements personnels sont dispensées à tous les membres du personnel du CER, ainsi qu’à tout nouvel employé. Ponctuellement, des activités de rappel sont dispensées.
Chaque membre du personnel du CER qui traite des renseignements personnels se voit également dispenser des activités de formation et de sensibilisation adaptées à sa tâche et aux types de renseignements personnels traités. Ponctuellement, des activités de rappel sont dispensées.
15.RÔLES ET RESPONSABILITÉS
La protection des renseignements personnels que le CER détient repose sur l’engagement de tous ceux qui traitent ces renseignements, notamment :
15.1. Le Conseil du CER et ses membres :
• S’assurent que le CER dispose des ressources nécessaires pour s’acquitter de ses responsabilités en matière de protection des renseignements personnels;
• Considèrent, dans leur prise de décision, les recommandations émises par la direction générale quant aux mesures à adopter pour que le CER se conforme à la Loi et aux politiques du CER relatives à la protection des renseignements personnels;
• Lorsqu’ils traitent des renseignements personnels que détient le CER, en Conseil ou remplissant toute autre fonction au sein du CER respectent les obligations incombant à toute personne qui traite les renseignements personnels que détient le CER.
15.2. La direction générale :
« Conformément au Règlement excluant certains organismes publics de l’obligation de former un comité sur l’accès à l’information et la protection des renseignements personnels (Décret 744-2023, du 3 mai 2023), la direction générale assume les tâches qui sont dévolues au Comité sur l’accès à l’information et la protection des renseignements personnels :
•Définir et approuver les règles de gouvernance en matière de protection des renseignements personnels (PRP) au sein du CER;
•Définir et approuver les orientations en matière de PRP au sein du CER;
•Formuler des avis sur les initiatives d’acquisition, de déploiement et de refonte de systèmes d’information ou de toute nouvelle prestation électronique de services du CER nécessitant la collecte, l’utilisation, la conservation, la communication à des tiers ou la destruction des RP, et ce, tant au moment de la mise ne place de ces initiatives que lors de toute modification à celles-ci ».
15.3. Le RADPRP :
• Assure le respect et la mise en oeuvre de la Loi concernant la protection des renseignements personnels, tout au long de leur cycle de vie, de la collecte à la destruction;
-Élabore et approuve les règles de gouvernance et procédures du CER à l’égard de la protection des renseignements personnels;
-Identifie les principaux risques en matière de protection de renseignements personnels et recommande des mesures correctives à la direction générale au conseil du CER ;
-Escalade à la direction générale et au RADPRP les recommandations ou mesures qui ne sont pas suivies ;
-Approuve toute dérogation aux principes généraux de protection des renseignements personnels qui auront été établis;
-Revois toute question d’intérêt touchant la protection des renseignements personnels ;
-Est avisé de tout incident de confidentialité impliquant les renseignements personnels et conseille le CER quant aux suites à y donner;
•Traite les demandes d’accès aux documents et les demandes de rectification ou d’accès aux renseignements personnels, rends les décisions et prête assistance aux personnes concernées;
•Supervise la tenue des registres énumérés à la présente Politique;
•Soutien les services dans l’application des mesures de protection de renseignements personnels;
-Planifie et assure la réalisation d’activités de formation en lien avec l’accès à la protection des renseignements personnels;
-Exerce toute autre fonction permettant une meilleure gestion de l’accès et de la protection des renseignements personnels qui lui est attribuée par la direction générale.
15.4. Toute personne traitant des renseignements personnels détenus par le CER
•Agis avec précaution et intègre les principes énoncés à la politique à ses activités;
•N’accède qu’aux renseignements nécessaires à l’exercice de ses fonctions;
•Conserve ces dossiers afin que seules les personnes autorisées y aient accès;
•Protège l’accès aux renseignements personnels en sa possession ou auxquels elle a accès par un mot de passe;
•S’abstient de communiquer les renseignements personnels dont elle prend connaissance dans l’exercice de ses fonctions, à moins d’être dûment autorisée à le faire;
•S’abstient de conserver, à la fin de son emploi ou de son contrat, les renseignements personnels obtenus ou recueillis dans le cadre de ses fonctions et maintient ses obligations de confidentialité;
•Détruis ou fait détruire tout renseignement personnel conformément aux procédures établies par le CER
•Participe aux activités de sensibilisation et de formation en matière de protection des renseignements personnels qui lui sont destinées;
•Signale tout manquement, incident de confidentialité ou toute autre situation ou irrégularité qui pourrait compromettre de quelque façon que ce soit la sécurité, l’intégrité ou la confidentialité de renseignements personnels à son directeur de service.
16.SANCTION
Toute personne qui enfreint la présente politique est passible de sanctions administratives et disciplinaires selon le cadre normatif applicable.
17.MISE À JOUR
De manière à suivre l’évolution du cadre normatif applicable en matière de protection des renseignements personnels et à améliorer le programme de protection des renseignements personnels du CER, la présente Politique pourra être mise à jour au besoin. Veuillez consulter la version la plus récente sur le site Internet du Complexe environnemental.
18.ENTRÉE EN VIGUEUR
La présente Politique entre en vigueur lors de son adoption par le conseil d’administration du Complexe environnemental de la Rouge.
ANNEXE I
Procédure à suivre pour respecter les exigences légales prévues aux articles 63.8 à 63.11 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels
Les étapes suivantes peuvent être réalisées simultanément.
1. ÉVALUER LA SITUATION
Lorsque le CER a des raisons de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient, elle doit notamment :
•Établir les circonstances de l’incident;
•Identifier les renseignements personnels impliqués;
•Identifier les personnes concernées;
•Trouver le problème, que ce soit une erreur, une vulnérabilité, etc.
Cette évaluation doit se poursuivre tant que tous les éléments n’ont pas été identifiés.
2. DIMINUER LES RISQUES
Le CER doit prendre rapidement les mesures raisonnables qui s’imposent afin de diminuer les risques qu’un préjudice, qu’il soit sérieux ou non, ne soit pas causé et pour éviter que de nouveaux incidents de même nature ne surviennent, par exemple :
•Cesser la pratique non autorisée;
•Récupérer ou exiger la destruction des renseignements personnels impliqués;
•Corriger les lacunes informatiques.
3. IDENTIFIER ET ÉVALUER LA NATURE DU PRÉJUDICE
Lors d’un incident de confidentialité, le CER doit évaluer s’il en découle un risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné. Elle doit alors considérer divers facteurs, dont :
•La sensibilité des renseignements personnels, tel un renseignement d’identité ou financier;
•Les conséquences appréhendées de l’utilisation de ces renseignements :
-Un vol d’identité;
-Une fraude financière;
-Une atteinte importante à la vie privée.
•La probabilité que ces renseignements puissent être utilisés à des fins préjudiciables.
Un préjudice sérieux correspond à un acte ou à un événement susceptible de porter atteinte à la personne concernée ou à ses biens et de nuire à ses intérêts de manière non négligeable. Il peut conduire, par exemple, à l’humiliation, une atteinte à la réputation, un vol d’identité, une perte d’emploi, une perte financière ou des conséquences négatives sur un dossier de crédit.
4. INSCRIRE L’INCIDENT AU REGISTRE
5. AVISER LA PERSONNE VISÉE ET LA COMMISSION D’ACCÈS À L’INFORMATION
5.1. Commission d’accès à l’information
Le CER doit aviser, avec diligence et par écrit, la Commission d’accès à l’information qu’un incident de confidentialité présente un risque qu’un préjudice sérieux soit causé.
L’avis doit, dans la mesure où ils sont connus, contenir les renseignements suivants :
1° le nom et les coordonnées de la personne à contacter au sein du CER;
2° une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
3° une brève description des circonstances de l’incident et, si elle est connue, sa cause;
4° la date ou la période où l’incident a eu lieu ou, à défaut, une approximation de cette période;
5° la date ou la période au cours de laquelle le CER a pris connaissance de l’incident;
6° le nombre de personnes concernées par l’incident et, parmi celles-ci, le nombre de personnes qui résident au Québec ou, s’ils ne sont pas connus, une approximation de ces nombres;
7° une description des éléments qui amènent le CER à conclure qu’il existe un risque qu’un préjudice sérieux soit causé aux personnes concernées;
8° les mesures que le CER a prises ou entend prendre afin d’aviser les personnes concernées par l’incident, de même que la date où les personnes ont été avisées ou le délai d’exécution envisagé;
9° les mesures que le CER a prises ou entend prendre à la suite de la survenance de l’incident.
5.2. Personnes concernées
Le CER doit aviser, avec diligence et par écrit, les personnes dont un renseignement personnel est concerné par un incident qui présente un risque sérieux soit causé.
L’avis doit contenir les renseignements suivants :
1° une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
2° une brève description des circonstances de l’incident;
3° la date ou la période où l’incident a eu lieu ou, à défaut, une approximation de cette période;
4° une brève description des mesures que le CER a prises ou entend prendre à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé;
5° les mesures que le CER suggère à la personne concernée de prendre afin de diminuer le risque qu’un préjudice lui soit causé ou afin d’atténuer un tel préjudice;
6° les coordonnées permettant à la personne concernée de se renseigner davantage relativement à l’incident.