Mesures à prendre en cas d’atteinte à la vie privée

Il y a atteinte à la vie privée lorsque des renseignements personnels sont volés ou perdus ou lorsqu’ils sont recueillis, utilisés ou divulgués sans autorisation..

S’il se produit une atteinte à la vie privée, vous devez en avertir aussitôt les membres pertinents du personnel de votre organisation, déterminer l’ampleur de l’atteinte à la vie privée et prendre les mesures nécessaires pour la maîtriser. Nous vous recommandons d’adopter un protocole en cas d’atteinte à la vie privée prévoyant les mesures à prendre en réponse à une telle atteinte, l’ordre de ces mesures et les personnes responsables. Vous devriez prendre les mesures suivantes pour maîtriser une atteinte à la vie privée :

• Récupérer et sécuriser tous les renseignements personnels qui ont été recueillis, utilisés ou divulgués sans autorisation.
• S’assurer que le particulier qui n’était pas autorisé à recevoir ou à utiliser les renseignements n’en a pas fait ou conservé de copie.
• Déterminer si l’atteinte à la vie privée pourrait entraîner un accès non autorisé à d’autres renseignements personnels (p. ex., dans un système d’information électronique) et prendre les mesures nécessaires pour l’éviter, notamment en remplaçant les mots de passe ou en mettant le système hors service temporairement.

Vous devez aviser le particulier à la première occasion raisonnable si des renseignements personnels le concernant dont vous avez la garde ou le contrôle ont été perdus ou volés, ou encore utilisés ou divulgués sans autorisation⁸⁴. Cet avis doit :

• comprendre une description générale de l’atteinte à la vie privée dans un langage facile à comprendre;
• informer le particulier de toutes les mesures que vous avez prises pour :
  • atténuer les conséquences préjudiciables pour le particulier;
  • empêcher qu’une atteinte semblable à la vie privée ne se reproduise;
• fournir les coordonnées d’un de vos employés pouvant donner des renseignements supplémentaires;
• informer le particulier de son droit de porter plainte au CIPVP.

Vous devez aussi aviser le CIPVP et le ministre des Services à l’enfance et des Services sociaux et communautaires de toute atteinte à la vie privée qui répond à certains critères⁸⁵, notamment les atteintes que vous jugez importantes en raison de la nature délicate et du volume des renseignements en question, du nombre de fournisseurs de services impliqués et du nombre de personnes touchées.

Les types suivants d’atteinte à la vie privée doivent aussi être signalés au CIPVP :

• celles faisant intervenir le vol de renseignements personnels;
• celles où des renseignements personnels ont été utilisés ou divulgués par une personne qui savait ou aurait dû savoir qu’elle n’était pas autorisée à le faire;
• celles où il est probable que des renseignements personnels ont été ou seront utilisés ou divulgués à nouveau sans autorisation;
• celles qui font partie d’un ensemble d’atteintes à la vie privée semblables;
• celles à la suite desquelles un employé a démissionné ou a été congédié, suspendu ou puni.

Les rapports sur les atteintes à la vie privée peuvent être transmis au CIPVP par la poste ou vous pouvez également les envoyer en ligne. Le CIPVP examinera les renseignements fournis, y compris la description de l’atteinte à la vie privée et les mesures que vous avez prises, et pourrait, dans certains cas, décider de mener une enquête.

Pour minimiser le risque d’autres atteintes à la vie privée, vous pouvez examiner vos politiques, procédures, programmes de formation et mesures de précaution en déterminer s’il y a lieu de les modifier. Vous devriez aussi consigner toutes les atteintes à la vie privée. Les statistiques sur ces atteintes faisant intervenir le vol, la perte ou encore l’utilisation ou la divulgation non autorisée de renseignements personnels doivent être remises aux CIPVP dans votre rapport statistique annuel.

This post is also available in: Anglais