Mesures à prendre en cas d’atteinte à la vie privée

Il y a atteinte à la vie privée lorsque des renseignements personnels sont volés ou perdus ou lorsqu’ils sont recueillis, utilisés ou divulgués sans autorisation.

Il y a atteinte à la vie privée lorsque des renseignements personnels sont volés ou perdus ou lorsqu’ils sont recueillis, utilisés ou divulgués sans autorisation..

S’il se produit une atteinte à la vie privée, vous devez en avertir aussitôt les membres pertinents du personnel de votre organisation, déterminer l’ampleur de l’atteinte à la vie privée et prendre les mesures nécessaires pour la maîtriser. Nous vous recommandons d’adopter un protocole en cas d’atteinte à la vie privée prévoyant les mesures à prendre en réponse à une telle atteinte, l’ordre de ces mesures et les personnes responsables. Vous devriez prendre les mesures suivantes pour maîtriser une atteinte à la vie privée :

  • Récupérer et sécuriser tous les renseignements personnels qui ont été recueillis, utilisés ou divulgués sans autorisation.
  • S’assurer que le particulier qui n’était pas autorisé à recevoir ou à utiliser les renseignements n’en a pas fait ou conservé de copie.
  • Déterminer si l’atteinte à la vie privée pourrait entraîner un accès non autorisé à d’autres renseignements personnels (p. ex., dans un système d’information électronique) et prendre les mesures nécessaires pour l’éviter, notamment en remplaçant les mots de passe ou en mettant le système hors service temporairement.

Vous devez aviser le particulier à la première occasion raisonnable si des renseignements personnels le concernant dont vous avez la garde ou le contrôle ont été perdus ou volés, ou encore utilisés ou divulgués sans autorisation84. Cet avis doit :

  • comprendre une description générale de l’atteinte à la vie privée dans un langage facile à comprendre;
  • informer le particulier de toutes les mesures que vous avez prises pour :
    • atténuer les conséquences préjudiciables pour le particulier;
    • empêcher qu’une atteinte semblable à la vie privée ne se reproduise;
  • fournir les coordonnées d’un de vos employés pouvant donner des renseignements supplémentaires;
  • informer le particulier de son droit de porter plainte au CIPVP.

Vous devez aussi aviser le CIPVP et le ministre des Services à l’enfance et des Services sociaux et communautaires de toute atteinte à la vie privée qui répond à certains critères85, notamment les atteintes que vous jugez importantes en raison de la nature délicate et du volume des renseignements en question, du nombre de fournisseurs de services impliqués et du nombre de personnes touchées.

Les types suivants d’atteinte à la vie privée doivent aussi être signalés au CIPVP :

  • celles faisant intervenir le vol de renseignements personnels;
  • celles où des renseignements personnels ont été utilisés ou divulgués par une personne qui savait ou aurait dû savoir qu’elle n’était pas autorisée à le faire;
  • celles où il est probable que des renseignements personnels ont été ou seront utilisés ou divulgués à nouveau sans autorisation;
  • celles qui font partie d’un ensemble d’atteintes à la vie privée semblables;
  • celles à la suite desquelles un employé a démissionné ou a été congédié, suspendu ou puni.

Les rapports sur les atteintes à la vie privée peuvent être transmis au CIPVP par la poste ou vous pouvez également les envoyer en ligne. Le CIPVP examinera les renseignements fournis, y compris la description de l’atteinte à la vie privée et les mesures que vous avez prises, et pourrait, dans certains cas, décider de mener une enquête.

Pour minimiser le risque d’autres atteintes à la vie privée, vous pouvez examiner vos politiques, procédures, programmes de formation et mesures de précaution en déterminer s’il y a lieu de les modifier. Vous devriez aussi consigner toutes les atteintes à la vie privée. Les statistiques sur ces atteintes faisant intervenir le vol, la perte ou encore l’utilisation ou la divulgation non autorisée de renseignements personnels doivent être remises aux CIPVP dans votre rapport statistique annuel.

 

Un intervenant auprès des jeunes informe sa superviseure qu’il a envoyé par inadvertance un message contenant des renseignements personnels sur un jeune client au mauvais destinataire.

 

La superviseure informe le responsable de la protection de la vie privée de l’organisation, et en collaboration avec l’intervenant, ils prennent les mesures suivantes :

  • maîtriser l’atteinte à la vie privée en s’assurant que la personne qui a reçu la lettre par erreur l’a renvoyée ou l’a éliminée de manière sécuritaire;
  • informer le particulier concerné par l’atteinte à la vie privée (en fournissant les renseignements requis dans l’avis);
  • consigner l’atteinte à la vie privée;
  • prendre des mesures pour éviter que cet incident ne se reproduise, en l’occurrence, en rappelant à tout le personnel les politiques de confidentialité et en leur donnant des conseils pour éviter une pareille erreur.

Les atteintes à la vie privée qui sont accidentelles, isolées et de portée limitée n’ont pas à être signalées au ministre des Services à l’enfance et des Services sociaux et communautaires ou au CIPVP.

 

84. LSEJF, par. 308 (2); Règl. de l’Ont. 191/18, art. 8.
85. Le présent guide fournit un résumé simplifié de ces critères; vous devriez en consulter la liste complète à l’article 9 du Règl. de l’Ont. 191/18 pour déterminer s’il y a lieu de signaler une atteinte à la vie privée particulière au CIPVP et au ministre.