Incident de confidentialité

Incident de confidentialité

Vous êtes un membre de l’Université et vous souhaitez signaler un incident de confidentialité ? 
Cette page présente les rôles et les responsabilités prévues par la Directive sur la gestion des incidents de confidentialité.

Qu’est-ce qu’un incident de confidentialité ?

Tout incident, réel ou présumé, menant :

  • à l’accès non autorisé d’un renseignement personnel ; 
  • à l’utilisation non autorisée d’un renseignement personnel ; 
  • à la communication non autorisée d’un renseignement personnel ; 
  • à la perte d’un renseignement personnel ou ; 
  • toute autre atteinte à la protection d’un tel renseignement.

Les exemples suivants sont généralement considérés comme des incidents de confidentialité :

  • la consultation de renseignements concernant des personnes étudiantes ou employées à des fins personnelles ;
  • la collecte de renseignements personnels qui ne sont pas nécessaires à l’exercice des fonctions du personnel de l’Université, au moment de la collecte ; 
  • la transmission d’un courriel contenant des renseignements personnels à un mauvais destinataire ;
  • le vol ou la perte d’un ordinateur portable qui contient des renseignements personnels ; 
  • la communication de renseignements personnels à un établissement partenaire sans autorisation ;
  • la perte d’une clé USB qui contient des renseignements personnels ; -
  • la divulgation, volontaire ou non, de renseignements personnels à des collègues qui ne sont pas autorisés à les consulter ;
  • le piratage du serveur d’un prestataire de service qui héberge des renseignements personnels dont l’Université a la garde.
Qu’est-ce que je dois faire si je détecte un incident de confidentialité ?

En tant que membre de l’Université, vous êtes tenus d’agir lorsque vous détectez un incident ou que vous en êtes informés.

  1. Vous devez prendre les actions raisonnables pour limiter l’étendue de l’incident et arrêter la pratique non autorisée, dans la mesure où vous avez la capacité ou l’autorité de le faire. Vous devez seulement agir si vous avez la capacité et l’autorité de le faire.

    Par exemple, vous pourriez :
    •    récupérer un document transmis par erreur ou demander au destinataire de le détruire;
    •    retirer des accès à un document partagé ou à un système d’information;
    •    changer un mot de passe.

  2. Vous devez signaler l’incident au Bureau de la protection des renseignements personnels dans un délai maximal de 24 heures.
Un prestataire de services m’informe que les données de l’Université ont fait l’objet d’une intrusion, qu’est-ce que je dois faire?

Vous devez signaler tout incident impliquant des renseignements personnels détenus par l’Université, incluant ceux qui sont confiés à des tiers comme des prestataires de service.

Pourquoi est-ce important de signaler un incident ?

Depuis le 22 septembre 2022, l’Université est tenue par la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels d’agir lorsque survient tout incident de confidentialité :

  • d'évaluer les risques de préjudice pour les personnes concernées par l’incident;
  • de prendre les mesures raisonnables pour diminuer les risques et éviter que de nouveaux incidents similaires ne se produisent; 
  • d'aviser la Commission d’accès à l’information et les personnes concernées, lorsque la loi le requiert.
L’incident n’implique pas de renseignements sensibles ou il a été rapidement réglé par mon équipe, est-ce réellement nécessaire de le signaler ?

Oui, l’Université doit tenir un registre de tous les incidents de confidentialité qui surviennent.

Par ailleurs, une investigation plus approfondie peut permettre de déceler un incident plus sérieux qu’il n’apparait à première vue.

Dans tous les cas, un incident de confidentialité peut mener à des préjudices sérieux pour les personnes impliquées. Il est essentiel d’évaluer chaque incident.

J’ai déjà informé un comité d’éthique de la situation, est-ce que je dois aussi le signaler ?

Oui, tout incident de confidentialité impliquant des renseignements personnels détenus par l’Université doit être signalé selon la Directive sur la gestion des incidents de confidentialité.

Je ne suis pas certain si une situation est un incident de confidentialité, qu’est-ce je dois faire ?

En cas de doute, signaler la situation.

Comment signaler un incident ?

Les incidents de confidentialité doivent être signalés au Bureau de la protection des renseignements personnels en utilisant le formulaire de signalement.

Comment l’Université gère-t-elle les incidents ?

À la réception d’un signalement, le Bureau de la protection des renseignements personnels doit déterminer les causes et les circonstances de l’incident.

Il doit également évaluer si l’incident présente un risque de préjudice sérieux pour les personnes concernées en considérant :

  • la sensibilité des renseignements ;
  • les conséquences appréhendées de l’utilisation des renseignements ;
  • les préjudices potentiels pour les personnes concernées;
  • les probabilités que les renseignements soient utilisés à des fins préjudiciables.

Le cas échéant, le Bureau peut recommander des mesures correctrices pour éviter que d’autres incidents similaires surviennent à nouveau.

Est-ce que les personnes concernées par un incident seront avisées ?

Lorsque l’évaluation de l’incident permet de croire qu’il présente un risque sérieux de préjudice, le Bureau de la protection des renseignements doit aviser les personnes concernées par écrit.

Cet avis contient notamment :

  • une description des renseignements personnels impliqués ;
  • une description des circonstances de l’incident ;
  • une description des mesures que l’Université a prise ou entend prendre à la suite de l’incident ;
  • les mesures que l’Université recommande aux personnes afin de diminuer le risque qu’il leur soit causé un préjudice.

La Commission d’accès à l’information doit également être avisée des incidents qui présentent des risques de préjudice sérieux.