Lois et règlements Protection des renseignements personnels

Registre des incidents de confidentialité : quels renseignements doit-il contenir?

Depuis le 22 septembre 2022, la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « la Loi ») prévoit que toute personne exploitant une entreprise doit tenir un registre des incidents de confidentialité.[1] Dans ce texte, nous vous indiquons les renseignements que vous devez inclure dans ce registre.

Un incident de confidentialité peut prendre plusieurs formes. La Loi prévoit qu’il s’agit de l’accès, l’utilisation, la communication non autorisée par la loi d’un renseignement personnel, ainsi que la perte d’un renseignement personnel ou toute autre atteinte à la protection de ce type de renseignement.[2]

Pour déterminer les renseignements qui doivent être inscrits dans le registre, il faut se référer au Règlement sur les incidents de confidentialité (ci-après « le Règlement »). Celui-ci est entré en vigueur le 29 décembre 2022.  L’utilisation du registre vous oblige donc à documenter tous les incidents de confidentialité que votre entreprise pourrait subir, et ce, que l’incident présente un risque de préjudice sérieux ou non. Une copie de votre registre devra être transmise à la Commission d’accès à l’information à sa demande.[3] Pour respecter vos obligations, vous devez tenir un registre.

Le contenu du registre

Le Règlement prévoit que les renseignements suivants doivent être inscrits au registre :

« 1- une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir cette description;

2- une brève description des circonstances de l’incident;

3- la date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période;

4- la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident;

5- le nombre de personnes concernées par l’incident ou, s’il n’est pas connu, une approximation de ce nombre;

6- une description des éléments qui amènent l’organisation à conclure qu’il existe ou non un risque qu’un préjudice sérieux soit causé aux personnes concernées, tels que la sensibilité des renseignements personnels concernés, les utilisations malveillantes possibles de ces renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables;

7- si l’incident présente un risque qu’un préjudice sérieux soit causé, les dates de transmission des avis à la Commission d’accès à l’information et aux personnes concernées, […], de même qu’une mention indiquant si des avis publics ont été donnés par l’organisation et la raison pour laquelle ils l’ont été, le cas échéant;

8- une brève description des mesures prises par l’organisation, à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé. »[4]

L’ensemble des renseignements inscrits au registre devront être à jour et conservés pour une période minimale de cinq ans de la connaissance de l’incident par l’organisation.[5]

Conclusion

Nous vous invitons à créer un registre ou à le mettre à jour afin de respecter vos obligations. La tenue adéquate du registre permettra aux entreprises de se questionner et comprendre les causes d’un incident de confidentialité, d’adopter des mesures raisonnables pour remédier à la situation, d’éviter qu’un incident de même nature ne se produise et qu’un préjudice sérieux ne soit causé à des personnes.

Note : Ce texte n’est en aucun cas une opinion juridique et ne vise qu’à informer de l’existence de règles générales. Nous invitons toutes les personnes qui ont des questions à communiquer avec leur conseiller.ère juridique et à prendre connaissance du texte complet de la Loi et du Règlement.

Vous pouvez également communiquer avec les Services juridiques de l’APCHQ aux numéros suivants : 438 315-6888 ou 1 800 468-8160.


Pour en connaître davantage au sujet de la protection des renseignements personnels, vous pouvez consulter les articles suivants :

La protection des renseignements personnels : êtes-vous prêt à faire face à vos obligations?

Quels sont les types de renseignements prévus par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels?

Serez-vous prêt à exercer la fonction de responsable de la protection des renseignements personnels?

Quels sont les critères à respecter avant de collecter un renseignement personnel?

Quelles sont vos obligations lorsqu’un incident de confidentialité présente un risque de préjudice sérieux?

Dois-je adopter des politiques et des pratiques en matière de protection des renseignements personnels?

Dois-je procéder à une évaluation des facteurs relatifs à la vie privée?

Loi 25 : obligation d’information en matière de renseignements personnels

Loi 25 : consentement et exceptions

Quelles sont les conditions pour communiquer un renseignement personnel sans le consentement de la personne concernée dans le cadre d’un mandat ou contrat?

Loi 25 : la politique de confidentialité

[1] Art. 3.8 de la Loi.

[2] Art. 3.6 de la Loi. Vous pouvez également prendre connaissance du texte suivant : La protection des renseignements personnels : êtes-vous prêt à faire face à vos obligations?

[3] Art. 3.8 de la Loi.

[4] Art. 7 du Règlement.

[5] Art. 8 du Règlement.

À propos de l'auteur

Me Marc-André Beaulieu

Laissez un commentaire

Restez informé!

Recevez chaque mois, par courriel, les nouveautés du blogue et les dernières actualités de l’industrie.