Protection et gestion des renseignements personnels

Qu’ils existent sur papier, sous forme électronique ou sous toute autre forme, les dossiers de renseignements personnels doivent être protégés en tout temps.

En tant ue fournisseur de services, vous devez prendre des mesures raisonnables pour protéger les renseignements personnels dont vous avez la garde ou le contrôle contre le vol, la perte et toute utilisation, divulgation, duplication, modification ou élimination non autorisée83. Il n’existe pas de définition précise de ce qui constitue une « mesure raisonnable ». Ce qui est raisonnable repose sur les circonstances, et changera avec l’utilisation de nouvelles technologies et l’arrivée de nouvelles menaces ou vulnérabilités.

Pour déterminer comment protéger les renseignements personnels, vous devez évaluer la nature des dossiers, et notamment :

  • la nature délicate et la quantité de renseignements personnels que contient le dossier;
  • le nombre et les types de personnes qui ont accès aux renseignements;
  • les menaces et les risques associés à la façon dont sont conservés les renseignements.

En vous appuyant sur cette évaluation, vous devriez prendre des mesures de protection des renseignements et les examiner régulièrement pour vous assurer qu’elles demeurent raisonnables. En voici des exemples :

Mesures de protection administratives Mesures de protection techniques pour les données électroniques Mesures de protection matérielles
  • politiques et procédures de protection de la vie privée et de sécurité
  • formation sur la protection de la vie privée et la sécurité
  • ententes de confidentialité
  • évaluations de l’incidence sur la vie privée
  • authentification forte et contrôles d’accès
  • enregistrement des données, vérification et surveillance
  • mots de passe et chiffrement forts
  • tenue à jour des logiciels en appliquant les derniers correctifs de sécurité
  • pare-feu, serveurs renforcés, détection et prévention des intrusions, logiciels antivirus et antipourriels, anti-logiciels espions
  • protection contre les programmes malveillants, y compris sur les appareils mobiles
  • évaluations des menaces et des risques
  • accès contrôlé aux lieux où sont conservés des renseignements personnels
  • classeurs verrouillés
  • cartes d’accès et clés
  • identification, contrôle et supervision des visiteurs

 

 

Le CIPVP a fait enquête, en vertu de la loi ontarienne sur la protection des renseignements personnels sur la santé, sur une atteinte à la vie privée faisant intervenir un commis d’hôpital qui avait consulté des centaines de dossiers de patients sans autorisation. L’hôpital avait découvert cette atteinte à la vie privée lors d’une vérification proactive et l’avait signalée au CIPVP.

 

Dans sa décision 64 en vertu de la LPRPS, le CIPVP a examiné et résumé les politiques, ententes et avertissements en matière de confidentialité de l’hôpital, la formation qu’il donnait à son personnel et ses politiques de vérification. Le CIPVP a conclu que bien que l’employé ne fût pas autorisé à utiliser les renseignements en question, l’hôpital avait pris des mesures raisonnables pour protéger les renseignements compte tenu de sa réaction, de l’enquête qu’il avait effectuée et des circonstances de l’atteinte à la vie privée.

 

 

83. LSEJF, art. 307 et par. 308 (1).