Incident de confidentialité

Les articles 63.8 à 63.11 de la Loi sur l’accès permettent de définir ce qu’est un incident de confidentialité et indiquent la marche à suivre lorsque survient un tel incident impliquant un renseignement personnel. Ils prévoient les éléments que l’organisme public visé doit prendre en compte, lorsqu’il évalue le risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de confidentialité. Ces articles mentionnent également l’obligation, pour les organismes publics, de tenir un registre de ces incidents.

L’article 127.2 de la Loi sur l’accès octroie certains pouvoirs à la Commission d’accès à l’information (CAI) lors d’un tel incident.

Transmission des avis à la Commission d’accès à l’information et aux personnes concernées

Lorsqu’un incident présente un risque de préjudice sérieux pour les personnes concernées, l’organisme public doit toujours aviser la CAI avec empressement. Il doit également aviser les personnes concernées par l’incident, sauf lorsque cela est susceptible d’entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, de détecter ou de réprimer le crime ou les infractions aux lois. À partir du moment où le fait de les informer n’est plus susceptible d’entraver une telle enquête, l’organisme public doit rapidement aviser les personnes concernées.

Évaluation du préjudice

Lors d’un incident de confidentialité, l’organisme public doit évaluer s’il en découle un risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné. Il doit alors considérer plusieurs facteurs, dont :

  • La sensibilité des renseignements personnels tels un renseignement financier ou un renseignement d’identité;
  • Les conséquences appréhendées de l’utilisation de ces renseignements comme :
    • Un vol d’identité;
    • Une fraude financière;
    • Une atteinte importante à la vie privée.
  • La probabilité que ces renseignements puissent être utilisés à des fins préjudiciables.

Un préjudice sérieux correspond à un acte ou à un événement susceptible de porter atteinte à la personne concernée ou à ses biens et de nuire à ses intérêts de manière non négligeable. Il peut conduire, par exemple :

  • À l’humiliation;
  • À une atteinte à la réputation;
  • À une perte financière;
  • À un vol d’identité;
  • À des conséquences négatives sur un dossier de crédit;
  • À une perte d’emploi.

Tenue d’un registre

Tout organisme public doit tenir un registre de l’ensemble des incidents de confidentialité dont il a fait l’objet, même de ceux qui ne présentent pas un risque de préjudice sérieux pour les personnes.

La CAI peut consulter l’information colligée à l’intérieur de ce registre et une copie de ce dernier doit lui être transmise, à sa demande.

Pouvoirs d’ordonnance de la Commission d’accès à l’information

La CAI dispose de plusieurs pouvoirs d’ordonnance en lien avec les incidents de confidentialité. Elle peut notamment ordonner :

  • À un organisme public, qui a fait l’objet d’un incident duquel résulte un risque de préjudice sérieux et qui a fait défaut d’aviser les personnes dont un renseignement personnel est concerné par cet incident, d’aviser ces personnes;
  • À toute personne d’appliquer les mesures jugées pertinentes afin de protéger les droits des personnes concernées;
  • La remise des renseignements personnels impliqués dans l’incident de confidentialité à l’organisme public qui les détenait, de même que leur destruction.

Pouvoir réglementaire

Le gouvernement a adopté le Règlement sur les incidents de confidentialité. Celui-ci clarifie notamment la portée des avis qui doivent être transmis à la Commission d’accès à l’information et aux personnes concernées lors d’un incident de confidentialité causant un préjudice sérieux, ainsi que le contenu du registre qui doit être tenu par les organismes publics. Afin de soutenir les organismes publics dans la mise en application de ce Règlement, des outils ont été conçus.

Procédure advenant un incident de confidentialité

Voici la procédure à suivre pour respecter les exigences légales (PDF 107 Ko) prévues aux articles 63.8 à 63.11 de la Loi sur l’accès. Elle ne tient pas compte des autres règles auxquelles peut être assujetti un organisme public, par exemple des directives gouvernementales.

Les étapes qui suivent peuvent être réalisées simultanément.

  1. Évaluer la situation. L’organisme public qui a des raisons de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’il détient doit notamment :
    • Établir les circonstances de l’incident;
    • Identifier les renseignements personnels impliqués;
    • Identifier les personnes concernées;
    • Trouver le problème, que ce soit une erreur, une vulnérabilité, etc.
    Cette évaluation doit se poursuivre tant que tous les éléments n’ont pas été identifiés.
  2. Diminuer les risques. L’organisme public doit prendre rapidement les mesures raisonnables qui s’imposent afin de diminuer les risques qu’un préjudice, qu’il soit sérieux ou non, ne soit causé et pour éviter que de nouveaux incidents de même nature ne surviennent, par exemple :  
    • Cesser la pratique non autorisée;
    • Récupérer ou exiger la destruction des renseignements personnels impliqués;
    • Corriger les lacunes informatiques.
  3. Identifier la nature du préjudice. L’objectif consiste à déterminer s’il faut aviser la CAI et les personnes concernées ainsi qu’établir les mesures à mettre en place pour diminuer les risques notamment :
    • Inscrire une note dans les dossiers visés par un risque de vol d’identité;
    • Exiger des vérifications supplémentaires.
  4. Inscrire l’incident au registre, que le risque de préjudice soit qualifié ou non de sérieux.
  5. S’il y a un risque de préjudice sérieux. L’organisme public doit :
    • Aviser la CAI dès que possible, même s’il n’a pas colligé l’ensemble des informations relatives à l’incident, et remplir la déclaration par la suite. Il peut ainsi aviser la CAI de l’incident et, plus tard, confirmer le nombre de personnes concernées.
    • Aviser toute personne dont un renseignement personnel est concerné par l’incident, à moins que cet avis ne soit susceptible d’entraver une enquête. Un délai peut s’appliquer entre le moment où l’organisme prend connaissance de l’incident et celui où il en avise les personnes concernées. Ce délai peut être nécessaire afin, par exemple, d’identifier les renseignements personnels impliqués, les personnes concernées, la faille de sécurité et pour colmater celle-ci ou pour éviter d’entraver une enquête en cours.

Ces avis sont obligatoires.

  1. S’il y a un risque de préjudice sérieux : l’organisme peut aussi aviser toute personne ou tout organisme susceptible de diminuer ce risque. À cette fin, il ne peut lui communiquer que les renseignements personnels qui sont nécessaires à la poursuite de cet objectif. L’obtention du consentement de la personne concernée par les renseignements transmis n’est pas requise. Toutefois, la personne responsable de la protection des renseignements personnels doit enregistrer la communication pour garder des traces documentaires de celle-ci comme :
    • À qui ces renseignements sont communiqués;
    • Dans quelles circonstances;
    • Quels renseignements ont été transmis;
    • Quels sont les objectifs de cette démarche.

Dernière mise à jour : 23 février 2023

Évaluation de page

L’information sur cette page vous a-t-elle été utile?
Avis général

Des questions ou besoin de renseignements?

Communiquez avec Services Québec