Mesures à prendre en cas d’atteinte à la vie privée

Il y a atteinte à la vie privée lorsque des renseignements personnels sont volés ou perdus ou lorsqu’ils sont recueillis, utilisés ou divulgués sans autorisation..

S’il se produit une atteinte à la vie privée, vous devez en avertir aussitôt les membres pertinents du personnel de votre organisation, déterminer l’ampleur de l’atteinte à la vie privée et prendre les mesures nécessaires pour la maîtriser. Nous vous recommandons d’adopter un protocole en cas d’atteinte à la vie privée prévoyant les mesures à prendre en réponse à une telle atteinte, l’ordre de ces mesures et les personnes responsables. Vous devriez prendre les mesures suivantes pour maîtriser une atteinte à la vie privée :

  • Récupérer et sécuriser tous les renseignements personnels qui ont été recueillis, utilisés ou divulgués sans autorisation.
  • S’assurer que le particulier qui n’était pas autorisé à recevoir ou à utiliser les renseignements n’en a pas fait ou conservé de copie.
  • Déterminer si l’atteinte à la vie privée pourrait entraîner un accès non autorisé à d’autres renseignements personnels (p. ex., dans un système d’information électronique) et prendre les mesures nécessaires pour l’éviter, notamment en remplaçant les mots de passe ou en mettant le système hors service temporairement.

Vous devez aviser le particulier à la première occasion raisonnable si des renseignements personnels le concernant dont vous avez la garde ou le contrôle ont été perdus ou volés, ou encore utilisés ou divulgués sans autorisation84. Cet avis doit :

  • comprendre une description générale de l’atteinte à la vie privée dans un langage facile à comprendre;
  • informer le particulier de toutes les mesures que vous avez prises pour :
    • atténuer les conséquences préjudiciables pour le particulier;
    • empêcher qu’une atteinte semblable à la vie privée ne se reproduise;
  • fournir les coordonnées d’un de vos employés pouvant donner des renseignements supplémentaires;
  • informer le particulier de son droit de porter plainte au CIPVP.
  • la notification directe, par exemple, par téléphone, par la poste, par courriel ou en personne, constitue pour les dépositaires de renseignements sur la santé le moyen habituel d’aviser les personnes concernées en cas d’atteinte à la vie privée. Cependant, dans des circonstances exceptionnelles, le dépositaire peut envisager d’aviser indirectement ces personnes.  
  • les personnes concernées doivent être avisées de l’atteinte à la vie privée dès que possible, même si elles le sont indirectement. 

Vous devez aussi aviser le CIPVP et le ministre des Services à l’enfance et des Services sociaux et communautaires de toute atteinte à la vie privée qui répond à certains critères85, notamment les atteintes que vous jugez importantes en raison de la nature délicate et du volume des renseignements en question, du nombre de fournisseurs de services impliqués et du nombre de personnes touchées.

Les types suivants d’atteinte à la vie privée doivent aussi être signalés au CIPVP :

  • celles faisant intervenir le vol de renseignements personnels;
  • celles où des renseignements personnels ont été utilisés ou divulgués par une personne qui savait ou aurait dû savoir qu’elle n’était pas autorisée à le faire;
  • celles où il est probable que des renseignements personnels ont été ou seront utilisés ou divulgués à nouveau sans autorisation;
  • celles qui font partie d’un ensemble d’atteintes à la vie privée semblables;
  • celles à la suite desquelles un employé a démissionné ou a été congédié, suspendu ou puni.

Les rapports sur les atteintes à la vie privée peuvent être transmis au CIPVP par la poste ou vous pouvez également les envoyer en ligne. Le CIPVP examinera les renseignements fournis, y compris la description de l’atteinte à la vie privée et les mesures que vous avez prises, et pourrait, dans certains cas, décider de mener une enquête.

Pour minimiser le risque d’autres atteintes à la vie privée, vous pouvez examiner vos politiques, procédures, programmes de formation et mesures de précaution en déterminer s’il y a lieu de les modifier. Vous devriez aussi consigner toutes les atteintes à la vie privée. Les statistiques sur ces atteintes faisant intervenir le vol, la perte ou encore l’utilisation ou la divulgation non autorisée de renseignements personnels doivent être remises aux CIPVP dans votre rapport statistique annuel.

 

Un intervenant auprès des jeunes informe sa superviseure qu’il a envoyé par inadvertance un message contenant des renseignements personnels sur un jeune client au mauvais destinataire.

 

La superviseure informe le responsable de la protection de la vie privée de l’organisation, et en collaboration avec l’intervenant, ils prennent les mesures suivantes :

  • maîtriser l’atteinte à la vie privée en s’assurant que la personne qui a reçu la lettre par erreur l’a renvoyée ou l’a éliminée de manière sécuritaire;
  • informer le particulier concerné par l’atteinte à la vie privée (en fournissant les renseignements requis dans l’avis);
  • consigner l’atteinte à la vie privée;
  • prendre des mesures pour éviter que cet incident ne se reproduise, en l’occurrence, en rappelant à tout le personnel les politiques de confidentialité et en leur donnant des conseils pour éviter une pareille erreur.

Les atteintes à la vie privée qui sont accidentelles, isolées et de portée limitée n’ont pas à être signalées au ministre des Services à l’enfance et des Services sociaux et communautaires ou au CIPVP.

 

84. LSEJF, par. 308 (2); Règl. de l’Ont. 191/18, art. 8.
85. Le présent guide fournit un résumé simplifié de ces critères; vous devriez en consulter la liste complète à l’article 9 du Règl. de l’Ont. 191/18 pour déterminer s’il y a lieu de signaler une atteinte à la vie privée particulière au CIPVP et au ministre.
La notification indirecte des personnes concernées 

Votre organisation peut envisager de donner un avis indirect dans une plusieurs des circonstances exceptionnelles suivantes :

  • L’atteinte à la vie privée a touché un grand nombre de personnes qu’il serait difficile d’aviser directement.  
  • Il a été établi que le risque de préjudice pour les personnes concernées est faible.
  • Vous n’avez pas pu confirmer l’identité des personnes concernées même après avoir pris des mesures raisonnables pour le faire.  
  • La fiabilité ou l’exactitude des coordonnées des personnes concernées est douteuse.  
    • Remarque : Toutes les personnes concernées ne devraient pas être avisées indirectement, même si les coordonnées de certaines d’entre elles ne sont plus valables. Lorsque certaines coordonnées sont valables mais que d’autres ne le sont plus, une démarche de notification hybride (directe et indirecte) pourrait être appropriée.
  • La notification directe entraverait abusivement et considérablement les activités de votre organisation.  
    • Remarque : Tous les processus de notification en cas d’atteinte à la vie privée nécessitent du temps et des ressources. C’est uniquement lorsque le temps et les ressources requises pour fournir un avis direct entraveraient abusivement et considérablement vos activités qu’il pourrait être justifié de donner un avis indirect.
  • Il serait raisonnable de s’attendre à ce que la notification directe cause un préjudice aux personnes concernées.
Contenu d’un avis indirect (s’applique également aux avis directs)

S’il est établi, en consultation avec le CIPVP, qu’il est raisonnable de donner un avis indirect après avoir évalué les circonstances précises de l’atteinte à la vie privée, il faut s’assurer que cet avis :

  • est rédigé en langage simple;
  • contient assez de renseignements pour permettre au lecteur de déterminer facilement l’incidence possible de l’atteinte à la vie privée sur lui;
  • décrit les circonstances de l’atteinte à la vie privée;
  • décrit la cause de l’atteinte à la vie privée, si elle est connue;
  • indique la date ou la période où est survenue l’atteinte à la vie privée;
  • indique la date où l’institution a été informée de l’atteinte à la vie privée;
  • décrit le plus précisément possible les renseignements personnels ou les renseignements personnels sur la santé qui sont en cause;  
  • décrit l’impact sur les renseignements personnels ou les renseignements personnels sur la santé en cause (p. ex., accès, chiffrement, exfiltration, publication en ligne, etc.);
  • décrit le risque de préjudice pour les personnes concernées, s’il est connu;
  • décrit les mesures que votre institution a prises pour maîtriser l’atteinte à la vie privée et réduire le risque de préjudice pour les personnes concernées;
  • mentionne d’autres mesures que les personnes peuvent prendre pour atténuer encore plus le risque de préjudice;  
  • mentionne aux personnes concernées qu’elles peuvent porter plainte au Commissaire à l’information et à la protection de la vie privée (en vertu de la LPRPS et de la LSEJF et, à compter du 1er juillet 2025, de la LAIPVP) et fournit un lien vers le site Web du CIPVP;
  • donne les coordonnées d’une personne de l’institution pouvant répondre à des questions et fournir des renseignements supplémentaires sur l’atteinte à la vie privée;
  • indique si vous avez signalé l’atteinte à la vie privée au CIPVP et à d’autres organismes de réglementation concernés, le cas échéant.  
Diffusion d’un avis indirect

L’avis indirect doit être diffusé de façon à ce qu’il soit raisonnable de s’attendre à ce que les personnes concernées puissent en prendre connaissance.

Il importe de bien réfléchir à la stratégie qui serait la plus efficace pour rejoindre les personnes concernées. Il est généralement préférable et plus efficace de recourir à plusieurs méthodes.  

Ainsi, une stratégie de notification du public pourrait comprendre une partie ou la totalité des méthodes suivantes afin de porter l’avis à l’attention des personnes concernées :  

  • Un avis publié de façon bien visible dans le site Web de votre organisation ou un site Web spécialisé contenant des renseignements sur l’atteinte à la vie privée.  
    • Si vous publiez l’avis dans le site Web de votre organisation, veillez à ce que cet avis ou un lien l’y menant figure à un endroit bien visible de la page d’accueil, et qu’il ne soit pas nécessaire de défiler ou d’effectuer une recherche pour le localiser.
    • Si vous publiez l’avis dans un site Web spécialisé, vous devriez afficher un lien vers ce site sur la page d’accueil du site Web de votre organisation, afin qu’il soit clairement visible et que les visiteurs puissent cliquer dessus pour se rendre au site Web sur l’atteinte à la vie privée.
    • L’avis numérique doit demeurer en ligne pendant une période raisonnable, afin de permettre aux personnes concernées de le lire.  
  • Prenez des mesures raisonnables pour porter l’avis numérique à l’attention des personnes concernées. Celles-ci seront peu susceptibles de visiter votre site Web ou de lire l’avis d’atteinte à la vie privée à moins d’être invitées à le faire par des annonces dans les médias, des publications dans les médias sociaux ou d’autres moyens.  
  • Organisez d’autres activités d’information du public afin de porter l’avis à l’attention des personnes concernées :
    • Installez des avis ou des affiches dans les secteurs fréquentés de votre établissement pendant une certaine période, afin que les personnes concernées puissent les lire.  
    • Publiez des avis dans des journaux nationaux ou locaux.  
    • Faites paraître des publications dans les médias sociaux pertinents.
    • Faites diffuser des annonces et messages publicitaires à la radio ou à la télévision à l’intention des personnes concernées.
    • Publiez des communiqués de presse et des avis communautaires destinés aux personnes concernées.
    • Tenez des séances d’information ou des webinaires afin de renseigner la population.
    • Recourez à d’autres stratégies de communication publique qui pourraient être efficaces afin de joindre les personnes concernées par l’atteinte à la vie privée.  
Aidez-nous à améliorer notre site web. Cette page a-t-elle été utile?
Lorsque l'information n'est pas trouvée

Note:

  • Vous ne recevrez pas de réponse directe. Pour toute autre question, veuillez nous contacter à l'adresse suivante : @email
  • N'indiquez aucune information personnelle, telle que votre nom, votre numéro d'assurance sociale (NAS), votre adresse personnelle ou professionnelle, tout numéro de dossier ou d'affaire ou toute information personnelle relative à votre santé.
  • Pour plus d'informations sur cet outil, veuillez consulter notre politique de confidentialité.