-
Le signalement d’une atteinte à la vie privée au commissaire
-
Collecte, utilisation et divulgation
-
Rapport d’une atteinte à la vie privée
-
Accès non autorisé
-
Accès et rectification
-
Processus de traitement des plaintes en vertu de la LPRPS
-
La protection des renseignements personnels sur la santé
-
Code de procédure – LPRPS
Protocole en cas d’atteinte à la vie privée
Protocole en cas d’atteinte à la vie privée
Le CIPVP recommande fortement d’élaborer d’un protocole en cas d’atteinte à la vie privée. En tant que dépositaire, vous devez agir immédiatement dès que vous prenez connaissance d’une atteinte à la vie privée. Vous pourriez devoir exécuter les étapes suivantes simultanément et en succession rapide.
ÉTAPE 1 : METTEZ IMMÉDIATEMENT EN ŒUVRE UN PROTOCOLE EN CAS D’ATTEINTE À LA VIE PRIVÉE
- Avisez tout le personnel concerné de l’atteinte à la vie privée, y compris le chef de la protection des renseignements personnels ou la principale personne-ressource pour l’application de la LPRPS, et déterminez qui d’autre au sein de votre organisation devrait participer aux mesures à prendre.
- Élaborez et exécutez un plan visant à maîtriser l’atteinte à la vie privée et à aviser toutes les personnes concernées.
ÉTAPE 2 : AVISEZ LE CIPVP AU BESOIN
- Déterminez si vous devez signaler l’atteinte à la vie privée au CIPVP. Vous devez le faire dans les circonstances énoncées dans le règlement pris en application de la LPRPS et décrites dans le document Le signalement d’une atteinte à la vie privée au commissaire : Lignes directrices pour le secteur de la santé.
- Si vous devez signaler l’atteinte à la vie privée au CIPVP, faites-le dans les plus brefs délais, en ligne ou par courriel.
ÉTAPE 3 : MAÎTRISEZ L’ATTEINTE À LA VIE PRIVÉE
Déterminez la portée de l’atteinte à la vie privée et prenez les mesures nécessaires pour la maîtriser; ainsi :
- Récupérez et sécurisez tous les renseignements personnels sur la santé qui ont été divulgués.
- Assurez-vous que les renseignements personnels sur la santé n’ont pas été copiés ou conservés par le particulier qui n’était pas autorisé à les recevoir. Obtenez ses coordonnées au cas où un suivi se révélait nécessaire.
- Déterminez si l’atteinte à la vie privée permettrait d’accéder sans autorisation à d’autres renseignements personnels sur la santé (p. ex., par l’entremise d’un système d’information électronique) et prenez les mesures qui s’imposent, par exemple, changer les mots de passe ou les numéros d’identification et mettre le système hors service temporairement.
ÉTAPE 4 : AVISEZ LES PERSONNES CONCERNÉES
Vous devez prendre les mesures nécessaires pour aviser les personnes concernées par l’atteinte à la vie privée :
- Identifiez toutes les personnes concernées et avisez-les de l’atteinte à la vie privée à la première occasion raisonnable. La LPRPS n’indique pas la marche à suivre à cet effet. Vous pouvez aviser la personne par téléphone ou par écrit ou, selon les circonstances, inscrire une note dans son dossier pour en discuter lors de son prochain rendez-vous. Il faut tenir compte de nombreux facteurs lorsqu’il s’agit de déterminer la meilleure méthode de notification, par exemple, le caractère délicat des renseignements personnels sur la santé.
- Lorsque vous avisez les personnes concernées par une atteinte à la vie privée :
- Décrivez les détails de l’atteinte à la vie privée, y compris sa portée et les renseignements personnels sur la santé en cause.
- Informez-les des mesures que vous prenez pour remédier à la situation, et précisez qu’elles ont le droit de porter plainte au CIPVP. Dites-leur si vous avez signalé l’atteinte à la vie privée au CIPVP.
- Donnez les coordonnées d’une personne au sein de votre organisation qui pourra leur fournir des renseignements supplémentaires et de l’aide et répondre à leurs questions.
Remarque : Si vous êtes dépositaire et chercheur et si vous avez reçu d’un autre dépositaire des renseignements personnels sur la santé à des fins de recherche, vous ne devez pas aviser la personne concernée par les renseignements personnels sur la santé à moins que vous n’ayez déjà été informé que cette personne a consenti à être contactée.
ÉTAPE 5 : MENEZ UNE ENQUÊTE ET PRENEZ DES MESURES CORRECTIVES
Vous devrez mener une enquête interne :
- Assurez-vous que les mesures immédiates de maîtrise de l’atteinte à la vie privée et de notification ont été prises.
- Examinez les circonstances entourant l’atteinte à la vie privée.
- Déterminez si vos politiques et procédures actuelles sont suffisantes pour assurer la protection des renseignements personnels sur la santé.
- Assurez-vous que vos employés reçoivent une formation suffisante sur la conformité aux dispositions de la LPRPS sur la protection de la vie privée.
Pour obtenir de plus amples renseignements, consultez notre document d’orientation Lignes directrices sur les interventions en cas d’atteinte à la vie privée dans le secteur de la santé.
This post is also available in: Anglais
