Home
Contact us
Site map
Québec.ca
FAQ
Français
Ministère de l'Emploi et de la Solidarité sociale
Advanced search
Consolidated Statutes and Regulations
Consolidated Statutes
Consolidated Regulations
Annual Statutes and Regulations
Annual Statutes
Annual Regulations
Additional information
Québec Official Publisher
What’s new?
Information note
Policy of the Minister of Justice
Laws: Amendments
Laws: Provisions not in force
Laws: Provisions brought into force
Annual Statutes: PDF versions since 1996
Regulations: Amendments
Annual Regulations: PDF versions since 1996
Court Decisions
A-2.1, r. 3.1
- Règlement sur les incidents de confidentialité
Table of contents
Occurrences
0
Current Version
Full text
Updated to 30 November 2022
This document has official status.
non en vigueur
chapitre
A-2.1, r. 3.1
Règlement sur les incidents de confidentialité
ACCÈS AUX DOCUMENTS — INCIDENTS DE CONFIDENTIALITÉ
Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels
(chapitre A-2.1, a. 155, 1
er
al., par. 6.1 et 6.2)
.
A-2.1
Loi sur la protection des renseignements personnels dans le secteur privé
(chapitre P-39.1, a. 90, 1
er
al., par. 3 et 3.1)
.
P-39.1
Loi modernisant des dispositions législatives en matière de protection des renseignements personnels
(2021, chapitre 25, a. 67, par. 2 et a. 158)
.
30
11
novembre
2022
29
12
décembre
2022
Le présent règlement entre en vigueur le 29 décembre 2022, sauf à l’égard des partis politiques, des députés indépendants et des candidats indépendants, pour lesquels il entrera en vigueur le 22 septembre 2023.
SECTION
I
CHAMP D’APPLICATION ET DÉFINITION
1761-2022, sec. I
D. 1761-2022, sec. I
.
1
.
Le présent règlement s’applique à tout organisme public visé à l’article 3 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (
chapitre A-2.1
), de même qu’à toute personne qui exploite une entreprise et qui est visée par la Loi sur la protection des renseignements personnels dans le secteur privé (
chapitre P-39.1
).
Il s’applique également aux ordres professionnels, dans la mesure prévue par le Code des professions (
chapitre C-26
), de même qu’aux partis politiques, aux députés indépendants et aux candidats indépendants, dans la mesure prévue à l’article 127.22 de la Loi électorale (
chapitre E-3.3
).
1761-2022
D. 1761-2022
,
a.
1
.
2
.
Dans le présent règlement, on entend par
«
organisation
»
un organisme public, une personne qui exploite une entreprise, un ordre professionnel, un parti politique, un député indépendant ou un candidat indépendant auxquels s’applique le présent règlement.
1761-2022
D. 1761-2022
,
a.
2
.
SECTION
II
AVIS À LA COMMISSION D’ACCÈS À L’INFORMATION
1761-2022, sec. II
D. 1761-2022, sec. II
.
3
.
L’avis à la Commission d’accès à l’information qu’un incident de confidentialité présente un risque qu’un préjudice sérieux soit causé, donné en application du deuxième alinéa de l’article 63.8 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (
chapitre A-2.1
) ou du deuxième alinéa de l’article 3.5 de la Loi sur la protection des renseignements personnels dans le secteur privé (
chapitre P-39.1
), est fait par écrit et doit contenir les renseignements suivants:
1
°
le nom de l’organisation ayant fait l’objet de l’incident de confidentialité et, le cas échéant, le numéro d’entreprise du Québec qui lui est attribué en vertu de la Loi sur la publicité légale des entreprises (
chapitre P-44.1
);
2
°
le nom et les coordonnées de la personne à contacter au sein de l’organisation relativement à l’incident;
3
°
une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
4
°
une brève description des circonstances de l’incident et, si elle est connue, sa cause;
5
°
la date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période;
6
°
la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident;
7
°
le nombre de personnes concernées par l’incident et, parmi celles-ci, le nombre de personnes qui résident au Québec ou, s’ils ne sont pas connus, une approximation de ces nombres;
8
°
une description des éléments qui amènent l’organisation à conclure qu’il existe un risque qu’un préjudice sérieux soit causé aux personnes concernées, tels que la sensibilité des renseignements personnels concernés, les utilisations malveillantes possibles de ces renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables;
9
°
les mesures que l’organisation a prises ou entend prendre afin d’aviser les personnes dont un renseignement personnel est concerné par l’incident, en application du deuxième alinéa de l’article 63.8 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels ou du deuxième alinéa de l’article 3.5 de la Loi sur la protection des renseignements personnels dans le secteur privé, de même que la date où les personnes ont été avisées ou le délai d’exécution envisagé;
10
°
les mesures que l’organisation a prises ou entend prendre à la suite de la survenance de l’incident, notamment celles visant à diminuer les risques qu’un préjudice soit causé ou à atténuer un tel préjudice et celles visant à éviter que de nouveaux incidents de même nature ne se produisent, de même que la date ou la période où les mesures ont été prises ou le délai d’exécution envisagé;
11
°
le cas échéant, une mention précisant qu’une personne ou un organisme situé à l’extérieur du Québec et exerçant des responsabilités semblables à celles de la Commission d’accès à l’information à l’égard de la surveillance de la protection des renseignements personnels a été avisé de l’incident.
1761-2022
D. 1761-2022
,
a.
3
.
4
.
L’organisation doit transmettre à la Commission d’accès à l’information tout renseignement énoncé à l’article 3 dont elle prend connaissance après lui avoir transmis l’avis qui y est visé. L’information complémentaire doit alors être transmise avec diligence à compter de cette connaissance.
1761-2022
D. 1761-2022
,
a.
4
.
SECTION
III
AVIS AUX PERSONNES CONCERNÉES
1761-2022, sec. III
D. 1761-2022, sec. III
.
5
.
L’avis à la personne dont un renseignement personnel est concerné par un incident qui présente un risque qu’un préjudice sérieux soit causé, donné en application du deuxième alinéa de l’article 63.8 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (
chapitre A-2.1
) ou du deuxième alinéa de l’article 3.5 de la Loi sur la protection des renseignements personnels dans le secteur privé (
chapitre P-39.1
), doit contenir les renseignements suivants:
1
°
une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
2
°
une brève description des circonstances de l’incident;
3
°
la date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période;
4
°
une brève description des mesures que l’organisation a prises ou entend prendre à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé;
5
°
les mesures que l’organisation suggère à la personne concernée de prendre afin de diminuer le risque qu’un préjudice lui soit causé ou afin d’atténuer un tel préjudice;
6
°
les coordonnées permettant à la personne concernée de se renseigner davantage relativement à l’incident.
1761-2022
D. 1761-2022
,
a.
5
.
6
.
L’avis visé à l’article 5 est transmis à la personne concernée par l’incident de confidentialité.
Malgré le premier alinéa, l’avis visé à l’article 5 est donné au moyen d’un avis public dans l’une ou l’autre des circonstances suivantes:
1
°
lorsque le fait de transmettre l’avis est susceptible de causer un préjudice accru à la personne concernée;
2
°
lorsque le fait de transmettre l’avis est susceptible de représenter une difficulté excessive pour l’organisation;
3
°
lorsque l’organisation n’a pas les coordonnées de la personne concernée.
Par ailleurs, afin d’agir rapidement pour diminuer le risque qu’un préjudice sérieux soit causé ou afin d’atténuer un tel préjudice, l’avis visé à l’article 5 peut également être donné au moyen d’un avis public. Dans ce cas, l’organisation demeure toutefois tenue de transmettre, avec diligence, un avis à la personne concernée, à moins que l’une des circonstances énoncées au deuxième alinéa ne s’applique à sa situation.
En application du présent article, un avis public peut être fait par tout moyen dont on peut raisonnablement s’attendre à ce qu’il permette de joindre la personne concernée.
1761-2022
D. 1761-2022
,
a.
6
.
SECTION
IV
REGISTRE DES INCIDENTS DE CONFIDENTIALITÉ
1761-2022, sec. IV
D. 1761-2022, sec. IV
.
7
.
Le registre prévu à l’article 63.11 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (
chapitre A-2.1
) et à l’article 3.8 de la Loi sur la protection des renseignements personnels dans le secteur privé (
chapitre P-39.1
) doit contenir les renseignements suivants:
1
°
une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
2
°
une brève description des circonstances de l’incident;
3
°
la date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période;
4
°
la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident;
5
°
le nombre de personnes concernées par l’incident ou, s’il n’est pas connu, une approximation de ce nombre;
6
°
une description des éléments qui amènent l’organisation à conclure qu’il existe ou non un risque qu’un préjudice sérieux soit causé aux personnes concernées, tels que la sensibilité des renseignements personnels concernés, les utilisations malveillantes possibles de ces renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables;
7
°
si l’incident présente un risque qu’un préjudice sérieux soit causé, les dates de transmission des avis à la Commission d’accès à l’information et aux personnes concernées, en application du deuxième alinéa de l’article 63.8 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels ou du deuxième alinéa de l’article 3.5 de la Loi sur la protection des renseignements personnels dans le secteur privé, de même qu’une mention indiquant si des avis publics ont été donnés par l’organisation et la raison pour laquelle ils l’ont été, le cas échéant;
8
°
une brève description des mesures prises par l’organisation, à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé.
1761-2022
D. 1761-2022
,
a.
7
.
8
.
Les renseignements contenus au registre doivent être tenus à jour et conservés pendant une période minimale de 5 ans après la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident.
1761-2022
D. 1761-2022
,
a.
8
.
SECTION
V
DISPOSITION FINALE
1761-2022, sec. V
D. 1761-2022, sec. V
.
9
.
(Omis).
1761-2022
D. 1761-2022
,
a.
9
.
RÉFÉRENCES
D. 1761-2022, 2022 G.O. 2, 6819
Copy
Select this element
Select parent element
Unselect all
Copy to Drafting
Copy to LAW
Copy to Clipboard
×
To copy : Ctrl+C
0
Contact us
Site map
Québec.ca
Accessibility
Privacy policy
© Gouvernement du Québec
Selections
×
Show
Selections in current document
All selections in the collection
Selected elements
Delete all selections
Show selections
Cyberlex
×
Version 2.2.4.0