Protocole en cas d’atteinte à la vie privée

Protocole en cas d’atteinte à la vie privée

Le CIPVP recommande fortement d’élaborer d’un protocole en cas d’atteinte à la vie privée. En tant que dépositaire, vous devez agir immédiatement dès que vous prenez connaissance d’une atteinte à la vie privée. Vous pourriez devoir exécuter les étapes suivantes simultanément et en succession rapide.

Étape 1 : Mettez immédiatement en œuvre un protocole en cas d’atteinte à la vie privée
  • Avisez tout le personnel concerné de l’atteinte à la vie privée, y compris le chef de la protection des renseignements personnels ou la principale personne-ressource pour l’application de la LPRPS, et déterminez qui d’autre au sein de votre organisation devrait participer aux mesures à prendre.
  • Élaborez et exécutez un plan visant à maîtriser l’atteinte à la vie privée et à aviser toutes les personnes concernées.
Étape 2 : Avisez le CIPVP au besoin
Étape 3 : Maîtrisez l’atteinte à la vie privée

Déterminez la portée de l’atteinte à la vie privée et prenez les mesures nécessaires pour la maîtriser; ainsi :

  • Récupérez et sécurisez tous les renseignements personnels sur la santé qui ont été divulgués.
  • Assurez-vous que les renseignements personnels sur la santé n’ont pas été copiés ou conservés par le particulier qui n’était pas autorisé à les recevoir. Obtenez ses coordonnées au cas où un suivi se révélait nécessaire.
  • Déterminez si l’atteinte à la vie privée permettrait d’accéder sans autorisation à d’autres renseignements personnels sur la santé (p. ex., par l’entremise d’un système d’information électronique) et prenez les mesures qui s’imposent, par exemple, changer les mots de passe ou les numéros d’identification et mettre le système hors service temporairement.
Étape 4 : Avisez les personnes concernées

Vous devez prendre les mesures nécessaires pour aviser les personnes concernées par l’atteinte à la vie privée :

  • Identifiez toutes les personnes concernées et avisez-les de l’atteinte à la vie privée à la première occasion raisonnable. La LPRPS n’indique pas la marche à suivre à cet effet. Vous pouvez aviser la personne par téléphone ou par écrit ou, selon les circonstances, inscrire une note dans son dossier pour en discuter lors de son prochain rendez-vous. Il faut tenir compte de nombreux facteurs lorsqu’il s’agit de déterminer la meilleure méthode de notification, par exemple, le caractère délicat des renseignements personnels sur la santé.
  • Lorsque vous avisez les personnes concernées par une atteinte à la vie privée :
    • Décrivez les détails de l’atteinte à la vie privée, y compris sa portée et les renseignements personnels sur la santé en cause.
    • Informez-les des mesures que vous prenez pour remédier à la situation, et précisez qu’elles ont le droit de porter plainte au CIPVP. Dites-leur si vous avez signalé l’atteinte à la vie privée au CIPVP.
    • Donnez les coordonnées d’une personne au sein de votre organisation qui pourra leur fournir des renseignements supplémentaires et de l’aide et répondre à leurs questions.

Remarque : Si vous êtes dépositaire et chercheur et si vous avez reçu d’un autre dépositaire des renseignements personnels sur la santé à des fins de recherche, vous ne devez pas aviser la personne concernée par les renseignements personnels sur la santé à moins que vous n’ayez déjà été informé que cette personne a consenti à être contactée.

Étape 5 : Menez une enquête et prenez des mesures correctives

Vous devrez mener une enquête interne :

  • Assurez-vous que les mesures immédiates de maîtrise de l’atteinte à la vie privée et de notification ont été prises.
  • Examinez les circonstances entourant l’atteinte à la vie privée.
  • Déterminez si vos politiques et procédures actuelles sont suffisantes pour assurer la protection des renseignements personnels sur la santé.
  • Assurez-vous que vos employés reçoivent une formation suffisante sur la conformité aux dispositions de la LPRPS sur la protection de la vie privée.

Pour obtenir de plus amples renseignements, consultez notre document d’orientation Lignes directrices sur les interventions en cas d’atteinte à la vie privée dans le secteur de la santé.

 

Aidez-nous à améliorer notre site web. Cette page a-t-elle été utile?
Lorsque l'information n'est pas trouvée

Note:

  • Vous ne recevrez pas de réponse directe. Pour toute autre question, veuillez nous contacter à l'adresse suivante : @email
  • N'indiquez aucune information personnelle, telle que votre nom, votre numéro d'assurance sociale (NAS), votre adresse personnelle ou professionnelle, tout numéro de dossier ou d'affaire ou toute information personnelle relative à votre santé.
  • Pour plus d'informations sur cet outil, veuillez consulter notre politique de confidentialité.