Signaler un incident de confidentialité
En tant que membre de l’Université, vous devez agir rapidement lorsque vous détectez un incident de confidentialité impliquant des renseignements personnels ou qu’on vous informe d’un tel incident.
Formulaire de signalement
Pour signaler un incident de confidentialité, remplissez le formulaire en ligne. Les informations fournies permettront au Bureau de la protection des renseignements personnels de dresser un portrait de la situation et de déterminer les actions à entreprendre.
Qu’est-ce qu’un incident de confidentialité?
Un incident de confidentialité est tout incident, réel ou présumé, menant:
- à l’accès non autorisé à un renseignement personnel
- à l’utilisation non autorisée d’un renseignement personnel
- à la communication non autorisée d’un renseignement personnel
- à la perte d’un renseignement personnel
- à toute autre atteinte à la protection d’un renseignement personnel
- Consultation de renseignements concernant des personnes étudiantes ou employées à des fins personnelles
- Collecte de renseignements personnels qui ne sont pas nécessaires à l’exercice des fonctions du personnel de l’Université au moment de la collecte
- Transmission d’un courriel contenant des renseignements personnels à un mauvais destinataire
- Communication de renseignements personnels à un établissement partenaire sans autorisation
- Divulgation, volontaire ou non, de renseignements personnels à des collègues qui ne sont pas autorisés à les consulter
- Vol ou perte d’un ordinateur portable qui contient des renseignements personnels
- Vol ou perte d’une clé USB qui contient des renseignements personnels
- Piratage du serveur d’un prestataire de services qui héberge des renseignements personnels dont l’Université a la garde
Vos responsabilités
L’ensemble des rôles et des responsabilités de différentes instances de l’Université prévus lors d’un incident de confidentialité sont indiqués dans la Directive sur la gestion des incidents de confidentialité (PDF). Les responsabilités des membres de l’Université portent sur la possibilité de limiter l’étendue des incidents et sur le signalement des incidents dont vous avez connaissance.
1. Limiter l'étendue de l'incident
Dans la mesure où vous avez la capacité ou l’autorité de le faire, vous devez prendre les actions raisonnables pour limiter l’étendue de l’incident et arrêter la pratique non autorisée.
Par exemple, vous pourriez:
- récupérer un document transmis par erreur ou demander au destinataire de le détruire
- retirer des accès à un document partagé ou à un système d’information
- changer un mot de passe
2. Signaler l'incident
Vous devez signaler l’incident au Bureau de la protection des renseignements personnels dans un délai maximal de 24 heures.
- Vous devez signaler tout incident impliquant des renseignements personnels détenus par l’Université, incluant ceux qui sont confiés à des tiers comme des prestataires de services.
- Vous devez signaler tout incident de confidentialité réel ou présumé, même si votre équipe a rapidement géré la situation, car l’Université doit tenir un registre de tous les incidents de confidentialité qui surviennent.
- Si un incident implique un projet de recherche, le fait d’aviser le comité d’éthique n’est pas suffisant. Vous devez tout de même le signaler au Bureau.
Le signalement déclenchera une investigation plus approfondie qui peut permettre de déceler un incident plus sérieux qu’il n’y paraît à première vue. Dans tous les cas, un incident de confidentialité peut mener à un préjudice sérieux pour les personnes impliquées. Il est donc essentiel d’évaluer chaque incident.
Vous n’êtes pas certaine ou certain qu’il s’agisse d’un incident de confidentialité? En cas de doute, signalez tout de même la situation.
Gestion des incidents à l’Université
À la réception d’un signalement, le Bureau de la protection des renseignements personnels doit déterminer les causes et les circonstances de l’incident.
- Il évalue si l’incident présente un risque de préjudice sérieux pour les personnes concernées en considérant:
- la sensibilité des renseignements
- les conséquences appréhendées de l’utilisation des renseignements
- le préjudice potentiel pour les personnes concernées
- les probabilités que les renseignements soient utilisés à des fins préjudiciables
Le cas échéant, le Bureau peut recommander des mesures correctrices pour éviter que d’autres incidents similaires surviennent à nouveau.
Avis aux personnes concernées par un incident
Lorsque l’évaluation de l’incident permet de croire qu’il présente un risque de préjudice sérieux, le Bureau de la protection des renseignements avise les personnes concernées par écrit.
Cet avis contient notamment:
- une description des renseignements personnels impliqués
- une description des circonstances de l’incident
- une description des mesures que l’Université a prises ou entend prendre à la suite de l’incident
- les mesures que l’Université recommande de prendre afin de diminuer le risque qu’un préjudice leur soit causé
Le Bureau avise également la Commission d’accès à l’information du Québec des incidents qui présentent un risque de préjudice sérieux.