Lois et règlements codifiés Lois codifiées Règlements codifiés Lois et règlements annuels Lois annuelles Règlements annuels Information complémentaire L’Éditeur officiel du Québec Quoi de neuf? Note d’information Politique du ministre de la Justice Lois : Modifications Lois : Dispositions non en vigueur Lois : Entrées en vigueur Lois annuelles : Versions PDF depuis 1996 Règlements : Modifications Règlements annuels : Versions PDF depuis 1996 Décisions des tribunaux

A-2.1, r. 3.1 - Règlement sur les incidents de confidentialité

Article 3
Versions de la disposition

Texte complet
3. L’avis à la Commission d’accès à l’information qu’un incident de confidentialité présente un risque qu’un préjudice sérieux soit causé, donné en application du deuxième alinéa de l’article 63.8 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1) ou du deuxième alinéa de l’article 3.5 de la Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1), est fait par écrit et doit contenir les renseignements suivants:
1°  le nom de l’organisation ayant fait l’objet de l’incident de confidentialité et, le cas échéant, le numéro d’entreprise du Québec qui lui est attribué en vertu de la Loi sur la publicité légale des entreprises (chapitre P-44.1);
2°  le nom et les coordonnées de la personne à contacter au sein de l’organisation relativement à l’incident;
3°  une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
4°  une brève description des circonstances de l’incident et, si elle est connue, sa cause;
5°  la date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période;
6°  la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident;
7°  le nombre de personnes concernées par l’incident et, parmi celles-ci, le nombre de personnes qui résident au Québec ou, s’ils ne sont pas connus, une approximation de ces nombres;
8°  une description des éléments qui amènent l’organisation à conclure qu’il existe un risque qu’un préjudice sérieux soit causé aux personnes concernées, tels que la sensibilité des renseignements personnels concernés, les utilisations malveillantes possibles de ces renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables;
9°  les mesures que l’organisation a prises ou entend prendre afin d’aviser les personnes dont un renseignement personnel est concerné par l’incident, en application du deuxième alinéa de l’article 63.8 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels ou du deuxième alinéa de l’article 3.5 de la Loi sur la protection des renseignements personnels dans le secteur privé, de même que la date où les personnes ont été avisées ou le délai d’exécution envisagé;
10°  les mesures que l’organisation a prises ou entend prendre à la suite de la survenance de l’incident, notamment celles visant à diminuer les risques qu’un préjudice soit causé ou à atténuer un tel préjudice et celles visant à éviter que de nouveaux incidents de même nature ne se produisent, de même que la date ou la période où les mesures ont été prises ou le délai d’exécution envisagé;
11°  le cas échéant, une mention précisant qu’une personne ou un organisme situé à l’extérieur du Québec et exerçant des responsabilités semblables à celles de la Commission d’accès à l’information à l’égard de la surveillance de la protection des renseignements personnels a été avisé de l’incident.
D. 1761-2022, a. 3.
En vig.: 2022-12-29
3. L’avis à la Commission d’accès à l’information qu’un incident de confidentialité présente un risque qu’un préjudice sérieux soit causé, donné en application du deuxième alinéa de l’article 63.8 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1) ou du deuxième alinéa de l’article 3.5 de la Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1), est fait par écrit et doit contenir les renseignements suivants:
1°  le nom de l’organisation ayant fait l’objet de l’incident de confidentialité et, le cas échéant, le numéro d’entreprise du Québec qui lui est attribué en vertu de la Loi sur la publicité légale des entreprises (chapitre P-44.1);
2°  le nom et les coordonnées de la personne à contacter au sein de l’organisation relativement à l’incident;
3°  une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
4°  une brève description des circonstances de l’incident et, si elle est connue, sa cause;
5°  la date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période;
6°  la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident;
7°  le nombre de personnes concernées par l’incident et, parmi celles-ci, le nombre de personnes qui résident au Québec ou, s’ils ne sont pas connus, une approximation de ces nombres;
8°  une description des éléments qui amènent l’organisation à conclure qu’il existe un risque qu’un préjudice sérieux soit causé aux personnes concernées, tels que la sensibilité des renseignements personnels concernés, les utilisations malveillantes possibles de ces renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables;
9°  les mesures que l’organisation a prises ou entend prendre afin d’aviser les personnes dont un renseignement personnel est concerné par l’incident, en application du deuxième alinéa de l’article 63.8 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels ou du deuxième alinéa de l’article 3.5 de la Loi sur la protection des renseignements personnels dans le secteur privé, de même que la date où les personnes ont été avisées ou le délai d’exécution envisagé;
10°  les mesures que l’organisation a prises ou entend prendre à la suite de la survenance de l’incident, notamment celles visant à diminuer les risques qu’un préjudice soit causé ou à atténuer un tel préjudice et celles visant à éviter que de nouveaux incidents de même nature ne se produisent, de même que la date ou la période où les mesures ont été prises ou le délai d’exécution envisagé;
11°  le cas échéant, une mention précisant qu’une personne ou un organisme situé à l’extérieur du Québec et exerçant des responsabilités semblables à celles de la Commission d’accès à l’information à l’égard de la surveillance de la protection des renseignements personnels a été avisé de l’incident.
D. 1761-2022, a. 3.
© Gouvernement du Québec