English
Portail
Profession d’ingénieur
Protection du public
Signalements et plaintes
Page d'accueil Grand public
Trouver un emploi en génie
Prix et distinctions
Soirée de l’excellence en génie
Colloque annuel
Consultation des membres
Obligations des membres
M’impliquer à l’Ordre
Avantages d’être membre
Page d'accueil Membres
La profession d’ingénieur au Québec
Devenir ingénieur au Québec
Programme d’accès à la profession (CPI)
Examens
Page d'accueil Futurs membres
Travailler avec un ingénieur
Soutien à l’encadrement d’un candidat
Les présentations offertes par l’Ordre
Recruter un ingénieur
Page d'accueil Employeurs
Deviens ing
L’Ordre sur ton campus
Prix et bourses universitaires
Page d'accueil Étudiants
Histoire de l'Ordre
Mission et vision
Lois, règlements et politiques
Gouvernance
Page d'accueil Ordre
Portail
Icon Path Grand public
Icon Path Membres
Icon Path Futurs membres
Icon Path Employeurs
Icon Path Étudiants
Icon Path Ordre
Icon Path Portail

Procédure de gestion des incidents de confidentialité

Qu’est-ce qu’un Incident de confidentialité?

Un accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection.

1. CONTEXTE

En cas d’incident de confidentialité, l’Ordre doit intervenir rapidement afin d’évaluer les risques de cet incident et de minimiser les préjudices possibles envers les personnes concernées.

2. OBJET

La présente procédure décrit la marche à suivre lorsque l’Ordre a des raisons de croire que s’est produit un incident de confidentialité impliquant un (des) renseignement(s) personnel(s) qu’il détient.

3. CHAMPS D’APPLICATION

Cette procédure s’applique à tout incident de confidentialité impliquant des renseignements personnels détenus par l’Ordre ou confiés par l’Ordre à des tiers pour en assurer la conservation.

Cette procédure ne s’applique pas en cas d’événement pouvant mettre à risque les activités habituelles de l’Ordre (un système interne défaillant, un incendie, un vol ou une intrusion physique) ou en cas de problème relativement à la technologie de l’information (bris d’équipement, erreur sur le portail des membres, gestion de mot de passe, etc.).

4. INTERVENANTS

Responsable de la protection des renseignements personnels : Secrétaire de l’Ordre.

Conseillère en gestion des risques : la personne portant ce titre au sein de l’Ordre.

Responsable de la sécurité de l’information : Directeur des technologies de l’information de l’Ordre.

5. PROCESSUS DE TRAITEMENT D’UN INCIDENT DE CONFIDENTIALITÉ

5.1 Signalement d’un incident

En cas d’incident de confidentialité, l’Ordre avise le Responsable de la protection des renseignements personnels « le Responsable ». Ce dernier ou la personne qu’il désigne prend en charge la gestion de l’incident et implique, au besoin, toute personne dont le soutien est nécessaire selon les étapes du processus, comme le Responsable de la sécurité de l’information.

5.1.1 Par un membre du personnel

Les employé.e.s de l’Ordre signalent sans délai à leur supérieur immédiat tout incident ou soupçon d’incident de confidentialité dont ils ont connaissance. Ensuite, le supérieur immédiat dénonce immédiatement l’incident au Responsable ([email protected]) et à la Conseillère en gestion des risques ([email protected]).

5.1.2 Par toute autre personne

Toute autre personne signale sans délai tout incident ou soupçon d’incident de confidentialité au Responsable de la protection des renseignements personnels au [email protected].

5.2 Examiner le fondement de l’incident de confidentialité

Le Responsable et la Conseillère en gestion des risques déterminent si l’Ordre est bien en présence d’un incident de confidentialité. Pour être qualifié ainsi, il faut répondre par l’affirmative aux deux questions suivantes :

  1. L’incident implique-t-il des renseignements personnels?
  2. Ces renseignements personnels ont-ils fait l’objet :
    • a. D’une consultation par une personne/entité non autorisée à en prendre connaissance
    • b. D’une transmission à une personne/entité non autorisée à les recevoir
    • c. D’une utilisation à des fins non autorisées par la Loi ou par le titulaire de ces renseignements
    • d. D’une perte ou d’un vol dans des circonstances telles que l’hypothèse a, b ou c soit possible.

5.3 Établir les circonstances de l’incident

Le Responsable et la Conseillère en gestion des risques, s’il y a lieu, détermine et documente les circonstances objectives de l’incident confidentialité, notamment :

  • le moment et l’endroit où l’incident s’est produit;
  • les personnes concernées par les renseignements personnels;
  • les renseignements personnels impliqués et leur nature;
  • les membres du personnel impliqués et leur rôle;
  • les systèmes ou processus en cause;
  • la cause de l’incident (erreur, vulnérabilité, faille, rançongiciel, cyberattaque, vol, accès non autorisé, etc.).

5.4 Diminuer les risques

Le Responsable, en collaboration avec les directeurs de l’Ordre, s’assurent, entre autres, que les mesures suivantes soient prises :

  • Appliquer les mesures correctrices afin de faire cesser l’incident;
  • Prendre les mesures raisonnables pour diminuer les risques qu’un préjudice ne soit causé;
  • En cas de risque de préjudice sérieux, consulter le Comité sur l’accès à l’information et la protection des renseignements personnels (« CAIPRP ») dans les meilleurs délais et prendre en compte ses recommandations quant à la gestion de l’incident ;
  • Mettre en place les mesures préventives appropriées, afin d’éviter qu’un tel incident ne se reproduise.
  • Effectuer une reddition de compte des incidents de confidentialité annuellement au CAIPRP;

5.5 Évaluation du préjudice

Le Responsable et la Conseillère en gestion de risques évaluent la gravité du risque de préjudice pour les personnes concernées par l’incident de confidentialité. Pour ce faire, ils considèrent, notamment :

  • La sensibilité des renseignements concernés;
  • Les conséquences appréhendées de leur utilisation;
  • La probabilité qu’ils soient utilisés à des fins préjudiciables.

Si l’analyse fait ressortir une absence d’un risque de préjudice sérieux, l’Ordre détermine s’il est pertinent d’en informer la personne concernée.

Si l’analyse fait ressortir un risque de préjudice sérieux, l’Ordre doit transmettre un avis conforme au Règlement sur les incidents de confidentialité à:

  • la Commission d’accès à l’information : par écrit, en remplissant le formulaire « Avis à la Commission d’accès à l’information concernant un incident de confidentialité impliquant des renseignements personnels et qui présent un risque de préjudice sérieux », disponible sur le site de la Commission d’accès à l’information;
  • la personne concernée : La personne concernée doit être informée si elle court un risque plausible de préjudice sérieux. Cette notification se fait par tout moyen adéquat (par courriel ou une lettre postale) ou par avis public dans les circonstances prévues au Règlement;
  • les autres autorités concernées, le cas échéant.

6. REGISTRE

Les incidents de confidentialité sont consignés dans un registre qui contient les éléments suivants:

  • Numéro du dossier;
  • Description des circonstances de l’incident;
  • Date ou période de l’incident;
  • Date de l’avis de l’incident au Responsable de la protection des renseignements personnels ;
  • Date ou période de la prise de connaissance de l’incident par l’Ordre;
  • Responsable de l’évaluation (à l’Ordre et/ou à l’externe);
  • Nombre de personne(s) visée(s) par l’incident;
  • Nature des renseignements personnels concernés par l’incident;
  • Description des éléments qui amènent à conclure qu’un risque de préjudice sérieux soit causé aux personnes concernées;
  • En cas de risque de préjudice sérieux, la date de transmission de l’avis :
    • aux personnes concernées (verbal et/ou écrit);
    • à la Commission d’accès à l’information;
  • Date de l’avis aux assureurs, le cas échéant;
  • Mécanismes de protection offerts durant l’incident / mesures de mitigation déployées;
  • Mesures déployées/actions à prendre afin qu’un tel incident ne se reproduise pas;

7. CONSERVATION ET DESTRUCTION

Les informations contenues au registre doivent être tenues à jour et conservées pendant une période minimale de cinq (5) ans suivant la date ou la période au cours de laquelle l’Ordre a pris connaissance de l’incident.

8. RÉVISION

La présente directive est révisée au moins tous les 3 ans.