- Conseils aux organisations
- Accès à l’information
-
Protection de la vie privée
- Plaintes concernant la protection de la vie privée
- Protéger les renseignements personnels
- Gestion des atteintes à la vie privée
- Collecte, utilisation et divulgation de renseignements personnels
- L’anonymisation et autres mesures de protection de la vie privée
- Gestion des données et technologie
- Les services éducatifs en ligne : ce que les éducateurs doivent savoir
- La Charte de la protection de la vie privée numérique pour les écoles ontariennes
-
Santé
- Le signalement d'une atteinte à la vie privée au commissaire
- Collecte, utilisation et divulgation
- Rapport d’une atteinte à la vie privée
- Accès non autorisé
- Accès et rectification
- Processus de traitement des plaintes en vertu de la LPRPS
- La protection des renseignements personnels sur la santé
- Code de procédure - LPRPS
- La partie X de la LSEJF
- Questions fréquentes – Rapport statistique annuel
- Consultations politiques
Protocole en cas d’atteinte à la vie privée
Le CIPVP recommande fortement d’élaborer d’un protocole en cas d’atteinte à la vie privée. En tant que dépositaire, vous devez agir immédiatement dès que vous prenez connaissance d’une atteinte à la vie privée. Vous pourriez devoir exécuter les étapes suivantes simultanément et en succession rapide.
Étape 1 : Mettez immédiatement en œuvre un protocole en cas d’atteinte à la vie privée
- Avisez tout le personnel concerné de l’atteinte à la vie privée, y compris le chef de la protection des renseignements personnels ou la principale personne-ressource pour l’application de la LPRPS, et déterminez qui d’autre au sein de votre organisation devrait participer aux mesures à prendre.
- Élaborez et exécutez un plan visant à maîtriser l’atteinte à la vie privée et à aviser toutes les personnes concernées.
Étape 2 : Avisez le CIPVP au besoin
- Déterminez si vous devez signaler l’atteinte à la vie privée au CIPVP. Vous devez le faire dans les circonstances énoncées dans le règlement pris en application de la LPRPS et décrites dans le document Le signalement d’une atteinte à la vie privée au commissaire : Lignes directrices pour le secteur de la santé.
- Si vous devez signaler l’atteinte à la vie privée au CIPVP, faites-le dans les plus brefs délais, en ligne ou par courriel.
Étape 3 : Maîtrisez l’atteinte à la vie privée
Déterminez la portée de l’atteinte à la vie privée et prenez les mesures nécessaires pour la maîtriser; ainsi :
- Récupérez et sécurisez tous les renseignements personnels sur la santé qui ont été divulgués.
- Assurez-vous que les renseignements personnels sur la santé n’ont pas été copiés ou conservés par le particulier qui n’était pas autorisé à les recevoir. Obtenez ses coordonnées au cas où un suivi se révélait nécessaire.
- Déterminez si l’atteinte à la vie privée permettrait d’accéder sans autorisation à d’autres renseignements personnels sur la santé (p. ex., par l’entremise d’un système d’information électronique) et prenez les mesures qui s’imposent, par exemple, changer les mots de passe ou les numéros d’identification et mettre le système hors service temporairement.
Étape 4 : Avisez les personnes concernées
La notification directe des personnes concernées
Vous devez prendre les mesures nécessaires pour aviser les personnes concernées par l’atteinte à la vie privée :
- Identifiez toutes les personnes concernées et avisez-les de l’atteinte à la vie privée à la première occasion raisonnable. La LPRPS n’indique pas la marche à suivre à cet effet. Vous pouvez aviser la personne par téléphone ou par écrit ou, selon les circonstances, inscrire une note dans son dossier pour en discuter lors de son prochain rendez-vous. Il faut tenir compte de nombreux facteurs lorsqu’il s’agit de déterminer la meilleure méthode de notification, par exemple, le caractère délicat des renseignements personnels sur la santé.
- La notification directe, par exemple, par téléphone, par la poste, par courriel ou en personne, constitue pour les dépositaires de renseignements sur la santé le moyen habituel d’aviser les personnes concernées en cas d’atteinte à la vie privée. Cependant, dans des circonstances exceptionnelles, le dépositaire peut envisager d’aviser indirectement ces personnes.
- Les personnes concernées doivent être avisées de l’atteinte à la vie privée dès que possible, même si elles le sont indirectement.
- Lorsque vous avisez les personnes concernées par une atteinte à la vie privée :
- Décrivez les détails de l’atteinte à la vie privée, y compris sa portée et les renseignements personnels sur la santé en cause.
- Informez-les des mesures que vous prenez pour remédier à la situation, et précisez qu’elles ont le droit de porter plainte au CIPVP. Dites-leur si vous avez signalé l’atteinte à la vie privée au CIPVP.
- Donnez les coordonnées d’une personne au sein de votre organisation qui pourra leur fournir des renseignements supplémentaires et de l’aide et répondre à leurs questions.
Remarque : Si vous êtes dépositaire et chercheur et si vous avez reçu d’un autre dépositaire des renseignements personnels sur la santé à des fins de recherche, vous ne devez pas aviser la personne concernée par les renseignements personnels sur la santé à moins que vous n’ayez déjà été informé que cette personne a consenti à être contactée.
La notification indirecte des personnes concernées
Votre organisation peut envisager de donner un avis indirect dans une plusieurs des circonstances exceptionnelles suivantes :
- L’atteinte à la vie privée a touché un grand nombre de personnes qu’il serait difficile d’aviser directement.
- Il a été établi que le risque de préjudice pour les personnes concernées est faible.
- Vous n’avez pas pu confirmer l’identité des personnes concernées même après avoir pris des mesures raisonnables pour le faire.
- La fiabilité ou l’exactitude des coordonnées des personnes concernées est douteuse.
- Remarque : Toutes les personnes concernées ne devraient pas être avisées indirectement, même si les coordonnées de certaines d’entre elles ne sont plus valables. Lorsque certaines coordonnées sont valables mais que d’autres ne le sont plus, une démarche de notification hybride (directe et indirecte) pourrait être appropriée.
- La notification directe entraverait abusivement et considérablement les activités de votre organisation.
- Remarque : Tous les processus de notification en cas d’atteinte à la vie privée nécessitent du temps et des ressources. C’est uniquement lorsque le temps et les ressources requises pour fournir un avis direct entraveraient abusivement et considérablement vos activités qu’il pourrait être justifié de donner un avis indirect.
- Il serait raisonnable de s’attendre à ce que la notification directe cause un préjudice aux personnes concernées.
Contenu d’un avis indirect (s’applique également aux avis directs)
S’il est établi, en consultation avec le CIPVP, qu’il est raisonnable de donner un avis indirect après avoir évalué les circonstances précises de l’atteinte à la vie privée, il faut s’assurer que cet avis :
- est rédigé en langage simple;
- contient assez de renseignements pour permettre au lecteur de déterminer facilement l’incidence possible de l’atteinte à la vie privée sur lui;
- décrit les circonstances de l’atteinte à la vie privée;
- décrit la cause de l’atteinte à la vie privée, si elle est connue;
- indique la date ou la période où est survenue l’atteinte à la vie privée;
- indique la date où l’institution a été informée de l’atteinte à la vie privée;
- décrit le plus précisément possible les renseignements personnels ou les renseignements personnels sur la santé qui sont en cause;
- décrit l’impact sur les renseignements personnels ou les renseignements personnels sur la santé en cause (p. ex., accès, chiffrement, exfiltration, publication en ligne, etc.);
- décrit le risque de préjudice pour les personnes concernées, s’il est connu;
- décrit les mesures que votre institution a prises pour maîtriser l’atteinte à la vie privée et réduire le risque de préjudice pour les personnes concernées;
- mentionne d’autres mesures que les personnes peuvent prendre pour atténuer encore plus le risque de préjudice;
- mentionne aux personnes concernées qu’elles peuvent porter plainte au Commissaire à l’information et à la protection de la vie privée (en vertu de la LPRPS et de la LSEJF et, à compter du 1er juillet 2025, de la LAIPVP) et fournit un lien vers le site Web du CIPVP;
- donne les coordonnées d’une personne de l’institution pouvant répondre à des questions et fournir des renseignements supplémentaires sur l’atteinte à la vie privée;
- indique si vous avez signalé l’atteinte à la vie privée au CIPVP et à d’autres organismes de réglementation concernés, le cas échéant.
Diffusion d’un avis indirect
L’avis indirect doit être diffusé de façon à ce qu’il soit raisonnable de s’attendre à ce que les personnes concernées puissent en prendre connaissance.
Il importe de bien réfléchir à la stratégie qui serait la plus efficace pour rejoindre les personnes concernées. Il est généralement préférable et plus efficace de recourir à plusieurs méthodes.
Ainsi, une stratégie de notification du public pourrait comprendre une partie ou la totalité des méthodes suivantes afin de porter l’avis à l’attention des personnes concernées :
- Un avis publié de façon bien visible dans le site Web de votre organisation ou un site Web spécialisé contenant des renseignements sur l’atteinte à la vie privée.
- Si vous publiez l’avis dans le site Web de votre organisation, veillez à ce que cet avis ou un lien l’y menant figure à un endroit bien visible de la page d’accueil, et qu’il ne soit pas nécessaire de défiler ou d’effectuer une recherche pour le localiser.
- Si vous publiez l’avis dans un site Web spécialisé, vous devriez afficher un lien vers ce site sur la page d’accueil du site Web de votre organisation, afin qu’il soit clairement visible et que les visiteurs puissent cliquer dessus pour se rendre au site Web sur l’atteinte à la vie privée.
- L’avis numérique doit demeurer en ligne pendant une période raisonnable, afin de permettre aux personnes concernées de le lire.
- Prenez des mesures raisonnables pour porter l’avis numérique à l’attention des personnes concernées. Celles-ci seront peu susceptibles de visiter votre site Web ou de lire l’avis d’atteinte à la vie privée à moins d’être invitées à le faire par des annonces dans les médias, des publications dans les médias sociaux ou d’autres moyens.
- Organisez d’autres activités d’information du public afin de porter l’avis à l’attention des personnes concernées :
- Installez des avis ou des affiches dans les secteurs fréquentés de votre établissement pendant une certaine période, afin que les personnes concernées puissent les lire.
- Publiez des avis dans des journaux nationaux ou locaux.
- Faites paraître des publications dans les médias sociaux pertinents.
- Faites diffuser des annonces et messages publicitaires à la radio ou à la télévision à l’intention des personnes concernées.
- Publiez des communiqués de presse et des avis communautaires destinés aux personnes concernées.
- Tenez des séances d’information ou des webinaires afin de renseigner la population.
- Recourez à d’autres stratégies de communication publique qui pourraient être efficaces afin de joindre les personnes concernées par l’atteinte à la vie privée.
Étape 5 : Menez une enquête et prenez des mesures correctives
Vous devrez mener une enquête interne :
- Assurez-vous que les mesures immédiates de maîtrise de l’atteinte à la vie privée et de notification ont été prises.
- Examinez les circonstances entourant l’atteinte à la vie privée.
- Déterminez si vos politiques et procédures actuelles sont suffisantes pour assurer la protection des renseignements personnels sur la santé.
- Assurez-vous que vos employés reçoivent une formation suffisante sur la conformité aux dispositions de la LPRPS sur la protection de la vie privée.
Pour obtenir de plus amples renseignements, consultez notre document d’orientation Lignes directrices sur les interventions en cas d’atteinte à la vie privée dans le secteur de la santé.