63.8. Un organisme public qui a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’il détient doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.
Si l’incident présente un risque qu’un préjudice sérieux soit causé, l’organisme doit, avec diligence, aviser la Commission. Il doit également aviser toute personne dont un renseignement personnel est concerné par l’incident, à défaut de quoi la Commission peut lui ordonner de le faire. Il peut également aviser toute personne ou tout organisme susceptible de diminuer ce risque, en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. Dans ce dernier cas, le responsable de la protection des renseignements personnels doit enregistrer la communication.
Malgré le deuxième alinéa, une personne dont un renseignement personnel est concerné par l’incident n’a pas à être avisée tant que cela serait susceptible d’entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois.
Un règlement du gouvernement peut déterminer le contenu et les modalités des avis prévus au présent article.
2021, c. 252021, c. 25, a. 151.