Restez informé de nos articles les plus récents, nos activités de formation et offres d'emploi.

Infolettre Therrien Couture Joli-Coeur

Restez informé de nos articles les plus récents, nos activités de formation et offres d'emploi.

Écrivez-nous

Santé

Obligations des organismes publics en matière de protection des renseignements personnels

  • Annie-Claude Bérubé
Par Annie-Claude Bérubé Avocate
Un organisme public a-t-il l’obligation de signaler un incident de confidentialité impliquant un renseignement personnel?

Oui, si l’incident présente un risque qu’un préjudice sérieux soit causé.Certaines dispositions de la Loi modernisant les dispositions législatives en matière de protection des renseignements personnels (ci-après la « Loi ») sont entrées en vigueur le 22 septembre 2022, prévoyant ainsi de nouvelles obligations légales pour les organismes publics, notamment les organismes municipaux ou scolaires ainsi que les établissements publics ou privés conventionnés de santé et de services sociaux. Parmi celles-ci, est entrée en vigueur l’obligation de signaler un incident de confidentialité présentant un risque de préjudice sérieux.

Un incident de confidentialité y est défini comme un accès, une utilisation ou une communication non autorisée par la Loi d’un renseignement personnel, incluant la perte ou une autre atteinte à la protection d’un tel renseignement.

Toutefois, le caractère sérieux ou non du préjudice n’est pas défini dans la Loi. C’est l’organisme public qui évalue le risque de préjudice en considérant notamment la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables. L’organisme a également l’obligation de consulter le ou la responsable de la protection des renseignements personnels.

Lorsque l’incident présente un risque qu’un préjudice sérieux soit causé, il doit être signalé par l’organisme public à la Commission d’accès à l’information (ci après la « Commission ») et à toute personne ou tout organisme concerné, à défaut de quoi, la Commission peut lui ordonner de le faire. Cependant, une personne dont un renseignement personnel est concerné par l’incident n’a pas à être avisée tant que cela serait susceptible d’entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois.

Une autre obligation nouvellement introduite par la Loi prévoit que l’organisme public qui constate un incident de confidentialité doit l’inscrire dans un registre qu’il aura constitué à cette fin et qui devra être communiqué à la Commission sur demande.

L’omission de l’organisme public de déclarer un tel incident à la Commission ou à la personne concernée pourra faire l’objet, dès le 22 septembre 2023, d’une sanction entraînant le paiement d’une amende pouvant aller de 3 000 $ à 30 000 $.

Plusieurs autres obligations ont été introduites ou le seront lors de l’entrée en vigueur d’autres dispositions de la Loi au cours des années 2023 et 2024.

Contactez notre organisation, dont notre équipe en droit de la santé, pour en connaître davantage sur les obligations des organismes publics en matière de protection des renseignements personnels.

1