Protocole d’atteinte à la vie privée

Le CIPVP recommande fortement que vous élaboriez un protocole d’atteinte à la vie privée. En tant que dépositaire, vous devez prendre immédiatement des mesures dès que vous prenez connaissance d’une atteinte à la vie privée. En cas d’atteinte à la vie privée, il peut s’avérer nécessaire d’exécuter les étapes suivantes de manière simultanée et en succession rapide.

 

ÉTAPE 1 : METTRE IMMÉDIATEMENT EN ŒUVRE UN PROTOCOLE D’ATTEINTE À LA VIE PRIVÉE

  • Notifier tout le personnel concerné de l’atteinte à la vie privée, y compris le chef de la protection des renseignements personnels ou la principale personne-ressource de la LPRPS, et déterminer qui d’autre au sein de votre organisation devrait participer à la résolution de l’atteinte.

 

  • Élaborer et exécuter un plan conçu pour contrôler l’atteinte et notifier tous ceux qui sont impliqués.
  • En outre, il est fortement recommandé de communiquer avec le CIPVP et de lui fournir les détails sur tout ce qui s’est passé.

 

ÉTAPE 2 : ARRÊTER ET CONTRÔLER L’INFRACTION

Une fois que vous avez déterminé l’étendue de l’atteinte à la vie privée, vous devez prendre les mesures nécessaires de le contrôler, notamment :

  • La collecte et la sécurisation des renseignements personnels sur la santé qui auraient été divulgués.
  • S’assurer que la personne non autorisée de recevoir de tels renseignements personnels sur la santé n’en a pas fait ou conservé des copies ; obtenir les coordonnées de cette personne afin de faire un suivi si cela s’avère nécessaire.
  • Déterminer si l’atteinte à la vie privée permettrait tout accès non autorisé à d’autres renseignements personnels sur la santé (p. ex. un système électronique d’information) et prendre les mesures nécessaires afin de l’arrêter, comme changer les mots de passe ou les numéros d’identification ou encore, arrêter votre système informatique de façon temporaire .

 

ÉTAPE 3 : NOTIFIER LES PERSONNES CONCERNÉES

Vous devez prendre les étapes nécessaires pour notifier les personnes dont la vie privée a été atteinte. Cela comprend :

  • Identifier toutes les personnes concernées et les notifier de l’atteinte à la première occasion raisonnable. La LPRPS n’indique pas la façon dont la notification doit être réalisée. Par exemple, on peut effectuer la notification par téléphone ou par écrit ou, selon les circonstances, on peut inscrire une note dans le dossier de la personne pour en discuter lors du prochain rendez-vous. Il y a plusieurs facteurs qui doivent être considérés pour choisir le meilleur mode de notification, comme, par exemple, concernant la sensibilité des renseignements personnels sur la santé.
  • Fournir les détails de l’atteinte à la vie privée aux personnes touchées, y compris l’étendue de l’infraction et la nature des renseignements personnels divulgués.
  • Aviser toutes les personnes concernées des mesures que vous prenez pour remédier à la situation et que ces personnes ont le droit de déposer une plainte au CIPVP.
  • Fournir les coordonnées d’une personne au sein de votre organisation pour fournir des informations supplémentaires, offrir de l’aide et répondre aux questions.

NOTA : Si dans votre qualité de dépositaire, vous êtes aussi un chercheur et vous avez reçu d’un autre dépositaire des renseignements personnels sur la santé aux fins de vos recherches, vous devez notifier la personne concernée à moins que vous n’ayez déjà été informé(e) que cette personne a consenti à être contactée.

 

ÉTAPE 4 : METTRE EN ŒUVRE UNE ENQUÊTE ET LA RÉSOLUTION

L’on s’attend à ce que vous meniez une enquête interne, qui doit inclure les actions suivantes :

  • Assurer l’exécution des exigences immédiates relativement au contrôle de la siutation et à la notification.
  • L’examen des circonstances entourant l’atteinte.
  • L’évaluation de l’adéquation de vos politiques et procédures existantes pour la protection des renseignements personnels sur la santé.
  • S’assurer que tous les employés sont dûment éduqués et formés conformément aux dispositions de protection de la vie privée de la LPRPS.

Pour de plus amples renseignements, prière de consulter notre document d’orientation « Que faire en cas d’atteinte à la vie privée : Lignes directrices pour le secteur de la santé ».

QU’ARRIVE-T-IL LORSQUE LE CIPVP MÈNE UNE ENQUÊTE SUR UNE ATTEINTE ?

En entamant une enquête sur une atteinte à la vie privée, le CIPVP peut, selon les circonstances, prendre les mesures suivantes:

  • Veiller à ce que les questions entourant le contrôle de la situation et la notification aient été traitées.
  • Interviewer les personnes impliquées dans l’atteinte à la vie privée ou d’autres individus qui peuvent fournir des renseignements pertinents.
  • Recevoir des représentations de la part de personnes ayant subi une atteinte à la vie privée.
  • Formuler et réviser votre position au sujet de l’atteinte à la vie privée.
  • Solliciter un rapport de situation sur toute action prise par vous.
  • Revoir et fournir une rétroaction et des conseils sur les politiques et procédures de gestion de l’information en place.
  • Émettre une décision de la LPRPS pouvant contenir des recommandations ou des ordonnances qui exigent une preuve de conformité.