A-2.1, r. 3.1 - Règlement sur les incidents de confidentialité

Texte complet
À jour au 30 novembre 2022
Ce document a valeur officielle.
non en vigueur
chapitre A-2.1, r. 3.1
Règlement sur les incidents de confidentialité
Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels
(chapitre A-2.1, a. 155, 1er al., par. 6.1 et 6.2).
Loi sur la protection des renseignements personnels dans le secteur privé
(chapitre P-39.1, a. 90, 1er al., par. 3 et 3.1).
Loi modernisant des dispositions législatives en matière de protection des renseignements personnels
(2021, chapitre 25, a. 67, par. 2 et a. 158).
Le présent règlement entre en vigueur le 29 décembre 2022, sauf à l’égard des partis politiques, des députés indépendants et des candidats indépendants, pour lesquels il entrera en vigueur le 22 septembre 2023.
SECTION I
CHAMP D’APPLICATION ET DÉFINITION
D. 1761-2022, sec. I.
1. Le présent règlement s’applique à tout organisme public visé à l’article 3 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1), de même qu’à toute personne qui exploite une entreprise et qui est visée par la Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1).
Il s’applique également aux ordres professionnels, dans la mesure prévue par le Code des professions (chapitre C-26), de même qu’aux partis politiques, aux députés indépendants et aux candidats indépendants, dans la mesure prévue à l’article 127.22 de la Loi électorale (chapitre E-3.3).
D. 1761-2022, a. 1.
2. Dans le présent règlement, on entend par «organisation» un organisme public, une personne qui exploite une entreprise, un ordre professionnel, un parti politique, un député indépendant ou un candidat indépendant auxquels s’applique le présent règlement.
D. 1761-2022, a. 2.
SECTION II
AVIS À LA COMMISSION D’ACCÈS À L’INFORMATION
D. 1761-2022, sec. II.
3. L’avis à la Commission d’accès à l’information qu’un incident de confidentialité présente un risque qu’un préjudice sérieux soit causé, donné en application du deuxième alinéa de l’article 63.8 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1) ou du deuxième alinéa de l’article 3.5 de la Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1), est fait par écrit et doit contenir les renseignements suivants:
1°  le nom de l’organisation ayant fait l’objet de l’incident de confidentialité et, le cas échéant, le numéro d’entreprise du Québec qui lui est attribué en vertu de la Loi sur la publicité légale des entreprises (chapitre P-44.1);
2°  le nom et les coordonnées de la personne à contacter au sein de l’organisation relativement à l’incident;
3°  une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
4°  une brève description des circonstances de l’incident et, si elle est connue, sa cause;
5°  la date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période;
6°  la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident;
7°  le nombre de personnes concernées par l’incident et, parmi celles-ci, le nombre de personnes qui résident au Québec ou, s’ils ne sont pas connus, une approximation de ces nombres;
8°  une description des éléments qui amènent l’organisation à conclure qu’il existe un risque qu’un préjudice sérieux soit causé aux personnes concernées, tels que la sensibilité des renseignements personnels concernés, les utilisations malveillantes possibles de ces renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables;
9°  les mesures que l’organisation a prises ou entend prendre afin d’aviser les personnes dont un renseignement personnel est concerné par l’incident, en application du deuxième alinéa de l’article 63.8 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels ou du deuxième alinéa de l’article 3.5 de la Loi sur la protection des renseignements personnels dans le secteur privé, de même que la date où les personnes ont été avisées ou le délai d’exécution envisagé;
10°  les mesures que l’organisation a prises ou entend prendre à la suite de la survenance de l’incident, notamment celles visant à diminuer les risques qu’un préjudice soit causé ou à atténuer un tel préjudice et celles visant à éviter que de nouveaux incidents de même nature ne se produisent, de même que la date ou la période où les mesures ont été prises ou le délai d’exécution envisagé;
11°  le cas échéant, une mention précisant qu’une personne ou un organisme situé à l’extérieur du Québec et exerçant des responsabilités semblables à celles de la Commission d’accès à l’information à l’égard de la surveillance de la protection des renseignements personnels a été avisé de l’incident.
D. 1761-2022, a. 3.
4. L’organisation doit transmettre à la Commission d’accès à l’information tout renseignement énoncé à l’article 3 dont elle prend connaissance après lui avoir transmis l’avis qui y est visé. L’information complémentaire doit alors être transmise avec diligence à compter de cette connaissance.
D. 1761-2022, a. 4.
SECTION III
AVIS AUX PERSONNES CONCERNÉES
D. 1761-2022, sec. III.
5. L’avis à la personne dont un renseignement personnel est concerné par un incident qui présente un risque qu’un préjudice sérieux soit causé, donné en application du deuxième alinéa de l’article 63.8 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1) ou du deuxième alinéa de l’article 3.5 de la Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1), doit contenir les renseignements suivants:
1°  une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
2°  une brève description des circonstances de l’incident;
3°  la date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période;
4°  une brève description des mesures que l’organisation a prises ou entend prendre à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé;
5°  les mesures que l’organisation suggère à la personne concernée de prendre afin de diminuer le risque qu’un préjudice lui soit causé ou afin d’atténuer un tel préjudice;
6°  les coordonnées permettant à la personne concernée de se renseigner davantage relativement à l’incident.
D. 1761-2022, a. 5.
6. L’avis visé à l’article 5 est transmis à la personne concernée par l’incident de confidentialité.
Malgré le premier alinéa, l’avis visé à l’article 5 est donné au moyen d’un avis public dans l’une ou l’autre des circonstances suivantes:
1°  lorsque le fait de transmettre l’avis est susceptible de causer un préjudice accru à la personne concernée;
2°  lorsque le fait de transmettre l’avis est susceptible de représenter une difficulté excessive pour l’organisation;
3°  lorsque l’organisation n’a pas les coordonnées de la personne concernée.
Par ailleurs, afin d’agir rapidement pour diminuer le risque qu’un préjudice sérieux soit causé ou afin d’atténuer un tel préjudice, l’avis visé à l’article 5 peut également être donné au moyen d’un avis public. Dans ce cas, l’organisation demeure toutefois tenue de transmettre, avec diligence, un avis à la personne concernée, à moins que l’une des circonstances énoncées au deuxième alinéa ne s’applique à sa situation.
En application du présent article, un avis public peut être fait par tout moyen dont on peut raisonnablement s’attendre à ce qu’il permette de joindre la personne concernée.
D. 1761-2022, a. 6.
SECTION IV
REGISTRE DES INCIDENTS DE CONFIDENTIALITÉ
D. 1761-2022, sec. IV.
7. Le registre prévu à l’article 63.11 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1) et à l’article 3.8 de la Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1) doit contenir les renseignements suivants:
1°  une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
2°  une brève description des circonstances de l’incident;
3°  la date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période;
4°  la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident;
5°  le nombre de personnes concernées par l’incident ou, s’il n’est pas connu, une approximation de ce nombre;
6°  une description des éléments qui amènent l’organisation à conclure qu’il existe ou non un risque qu’un préjudice sérieux soit causé aux personnes concernées, tels que la sensibilité des renseignements personnels concernés, les utilisations malveillantes possibles de ces renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables;
7°  si l’incident présente un risque qu’un préjudice sérieux soit causé, les dates de transmission des avis à la Commission d’accès à l’information et aux personnes concernées, en application du deuxième alinéa de l’article 63.8 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels ou du deuxième alinéa de l’article 3.5 de la Loi sur la protection des renseignements personnels dans le secteur privé, de même qu’une mention indiquant si des avis publics ont été donnés par l’organisation et la raison pour laquelle ils l’ont été, le cas échéant;
8°  une brève description des mesures prises par l’organisation, à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé.
D. 1761-2022, a. 7.
8. Les renseignements contenus au registre doivent être tenus à jour et conservés pendant une période minimale de 5 ans après la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident.
D. 1761-2022, a. 8.
SECTION V
DISPOSITION FINALE
D. 1761-2022, sec. V.
9. (Omis).
D. 1761-2022, a. 9.
RÉFÉRENCES
D. 1761-2022, 2022 G.O. 2, 6819