Gestion des atteintes à la vie privée

Il y a atteinte à la vie privée lorsque des renseignements personnels sont recueillis, conservés, utilisés, divulgués ou éliminés en contravention des lois ontariennes sur la protection de la vie privée. Les organisations du secteur public, les dépositaires de renseignements sur la santé, les sociétés d’aide à l’enfance et les autres fournisseurs de services à l’enfance et à la famille devraient dresser un plan d’intervention en cas d’atteinte à la vie privée.

En vertu des lois ontariennes sur l’accès à l’information et la protection de la vie privée, les fournisseurs de services à l’enfance et à la famille et les dépositaires de renseignements sur la santé doivent déclarer certaines atteintes à la vie privée au CIPVP.

Que faire en cas d’atteinte à la vie privée

Maîtriser l’atteinte à la vie privée et aviser les particuliers concernés

En cas d’atteinte à la vie privée, votre organisation devrait :

  • déterminer l’ampleur de l’atteinte à la vie privée et prendre les mesures nécessaires pour la maîtriser;
  • aviser les personnes concernées par l’atteinte à la vie privée si celle-ci risque de leur être préjudiciable ou si la loi l’exige.
La notification directe des personnes concernées 

La notification directe, par exemple, par téléphone, par la poste, par courriel ou en personne, constitue pour les dépositaires de renseignements sur la santé le moyen habituel d’aviser les personnes concernées en cas d’atteinte à la vie privée. Cependant, dans des circonstances exceptionnelles, le dépositaire peut envisager d’aviser indirectement ces personnes.  

Les personnes concernées doivent être avisées de l’atteinte à la vie privée dès que possible, même si elles le sont indirectement. 

La notification indirecte des personnes concernées 
  • Votre organisation peut envisager de donner un avis indirect dans une plusieurs des circonstances exceptionnelles suivantes :
  • L’atteinte à la vie privée a touché un grand nombre de personnes qu’il serait difficile d’aviser directement.  
  • Il a été établi que le risque de préjudice pour les personnes concernées est faible.
  • Vous n’avez pas pu confirmer l’identité des personnes concernées même après avoir pris des mesures raisonnables pour le faire.  
  • La fiabilité ou l’exactitude des coordonnées des personnes concernées est douteuse.  
    • Remarque : Toutes les personnes concernées ne devraient pas être avisées indirectement, même si les coordonnées de certaines d’entre elles ne sont plus valables. Lorsque certaines coordonnées sont valables mais que d’autres ne le sont plus, une démarche de notification hybride (directe et indirecte) pourrait être appropriée.
  • La notification directe entraverait abusivement et considérablement les activités de votre organisation.  
    • Remarque : Tous les processus de notification en cas d’atteinte à la vie privée nécessitent du temps et des ressources. C’est uniquement lorsque le temps et les ressources requises pour fournir un avis direct entraveraient abusivement et considérablement vos activités qu’il pourrait être justifié de donner un avis indirect.
  • Il serait raisonnable de s’attendre à ce que la notification directe cause un préjudice aux personnes concernées.
Contenu d’un avis indirect (s’applique également aux avis directs)
  • S’il est établi, en consultation avec le CIPVP, qu’il est raisonnable de donner un avis indirect après avoir évalué les circonstances précises de l’atteinte à la vie privée, il faut s’assurer que cet avis :
  • est rédigé en langage simple;
  • contient assez de renseignements pour permettre au lecteur de déterminer facilement l’incidence possible de l’atteinte à la vie privée sur lui;
  • décrit les circonstances de l’atteinte à la vie privée;
  • décrit la cause de l’atteinte à la vie privée, si elle est connue;
  • indique la date ou la période où est survenue l’atteinte à la vie privée;
  • indique la date où l’institution a été informée de l’atteinte à la vie privée;
  • décrit le plus précisément possible les renseignements personnels ou les renseignements personnels sur la santé qui sont en cause;  
  • décrit l’impact sur les renseignements personnels ou les renseignements personnels sur la santé en cause (p. ex., accès, chiffrement, exfiltration, publication en ligne, etc.);
  • décrit le risque de préjudice pour les personnes concernées, s’il est connu;
  • décrit les mesures que votre institution a prises pour maîtriser l’atteinte à la vie privée et réduire le risque de préjudice pour les personnes concernées;
  • mentionne d’autres mesures que les personnes peuvent prendre pour atténuer encore plus le risque de préjudice;  
  • mentionne aux personnes concernées qu’elles peuvent porter plainte au Commissaire à l’information et à la protection de la vie privée (en vertu de la LPRPS et de la LSEJF et, à compter du 1er juillet 2025, de la LAIPVP) et fournit un lien vers le site Web du CIPVP;
  • donne les coordonnées d’une personne de l’institution pouvant répondre à des questions et fournir des renseignements supplémentaires sur l’atteinte à la vie privée;
  • indique si vous avez signalé l’atteinte à la vie privée au CIPVP et à d’autres organismes de réglementation concernés, le cas échéant.  
  • Diffusion d’un avis indirect
  • L’avis indirect doit être diffusé de façon à ce qu’il soit raisonnable de s’attendre à ce que les personnes concernées puissent en prendre connaissance.
  • Il importe de bien réfléchir à la stratégie qui serait la plus efficace pour rejoindre les personnes concernées. Il est généralement préférable et plus efficace de recourir à plusieurs méthodes.  
  • Ainsi, une stratégie de notification du public pourrait comprendre une partie ou la totalité des méthodes suivantes afin de porter l’avis à l’attention des personnes concernées :  
  • Un avis publié de façon bien visible dans le site Web de votre organisation ou un site Web spécialisé contenant des renseignements sur l’atteinte à la vie privée.  
    • Si vous publiez l’avis dans le site Web de votre organisation, veillez à ce que cet avis ou un lien l’y menant figure à un endroit bien visible de la page d’accueil, et qu’il ne soit pas nécessaire de défiler ou d’effectuer une recherche pour le localiser.
    • Si vous publiez l’avis dans un site Web spécialisé, vous devriez afficher un lien vers ce site sur la page d’accueil du site Web de votre organisation, afin qu’il soit clairement visible et que les visiteurs puissent cliquer dessus pour se rendre au site Web sur l’atteinte à la vie privée.
    • L’avis numérique doit demeurer en ligne pendant une période raisonnable, afin de permettre aux personnes concernées de le lire.  
  • Prenez des mesures raisonnables pour porter l’avis numérique à l’attention des personnes concernées. Celles-ci seront peu susceptibles de visiter votre site Web ou de lire l’avis d’atteinte à la vie privée à moins d’être invitées à le faire par des annonces dans les médias, des publications dans les médias sociaux ou d’autres moyens.  
  • Organisez d’autres activités d’information du public afin de porter l’avis à l’attention des personnes concernées :
    • Installez des avis ou des affiches dans les secteurs fréquentés de votre établissement pendant une certaine période, afin que les personnes concernées puissent les lire.  
    • Publiez des avis dans des journaux nationaux ou locaux.  
    • Faites paraître des publications dans les médias sociaux pertinents.
    • Faites diffuser des annonces et messages publicitaires à la radio ou à la télévision à l’intention des personnes concernées.
    • Publiez des communiqués de presse et des avis communautaires destinés aux personnes concernées.
    • Tenez des séances d’information ou des webinaires afin de renseigner la population.
    • Recourez à d’autres stratégies de communication publique qui pourraient être efficaces afin de joindre les personnes concernées par l’atteinte à la vie privée.  
Faire enquête

Votre organisation devrait aussi mener une enquête interne pour :

  • déterminer les événements qui ont mené à l’atteinte à la vie privée et les analyser;
  • examiner les politiques et pratiques de protection des renseignements personnels, les plans d’intervention en cas d’atteinte à la vie privée et la formation du personnel;
  • déterminer si l’atteinte à la vie privée était attribuable à un problème systémique et prendre des mesures correctives.
Aviser le CIPVP

Si votre organisation est un dépositaire de renseignements sur la santé, elle doit déclarer les atteintes à la vie privée au CIPVP dans les circonstances énoncées dans le règlement pris en application de la LPRPS. 

Si votre organisation n’est pas dépositaire de renseignements sur la santé, elle doit informer le CIPVP des atteintes à la vie privée importantes, notamment celles qui font intervenir :

  • des renseignements personnels délicats;
  • un grand nombre de personnes concernées.
Réduire le risque d’autres atteintes à la vie privée 

Pour prévenir les atteintes à la vie privée, prenez les mesures suivantes :

  • Renseignez le personnel concernant les lois ontariennes sur la protection de la vie privée;
  • Renseignez le personnel sur les politiques et pratiques de votre organisation concernant tous les aspects des renseignements personnels;
  • Effectuez des évaluations de l’incidence sur la vie privée;
  • Demandez conseil à votre conseiller juridique, à votre service de sécurité et à votre coordonnateur de l’accès à l’information et de la protection de la vie privée.

Déclarez une atteinte à la vie privée survenue dans votre organisation.

Ressources supplémentaires

Aidez-nous à améliorer notre site web. Cette page a-t-elle été utile?

Note:

  • Vous ne recevrez pas de réponse directe. Pour toute autre question, veuillez nous contacter à l'adresse suivante : @email
  • N'indiquez aucune information personnelle, telle que votre nom, votre numéro d'assurance sociale (NAS), votre adresse personnelle ou professionnelle, tout numéro de dossier ou d'affaire ou toute information personnelle relative à votre santé.
  • Pour plus d'informations sur cet outil, veuillez consulter notre politique de confidentialité.