Le projet de loi 64 (loi 25) adopté en septembre 2021 et dont l’entrée en vigueur débute dès septembre 2022 a introduit de nouvelles dispositions dans la Loi sur l’accès, dont celles qui concernent les incidents de confidentialité.
Un incident de confidentialité est défini par la Loi sur l’accès (articles 63.8 à 63.11) comme étant : un « accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection. »
Exemples d’incidents de confidentialité
Sur sa page dédiée à la protection des renseignements personnels, le gouvernement du Québec fournit quelques exemples d’incidents de confidentialité dont ceux-ci :
- Un membre du personnel qui consulte des renseignements personnels non nécessaires à l’exercice de ses fonctions en outrepassant les droits d’accès qui lui ont été consentis, ou un pirate informatique qui s’infiltre dans un système
- Un membre du personnel qui utilise des renseignements personnels d’une base de données à laquelle il a accès dans le cadre de ses fonctions dans le but d’usurper l’identité d’une personne
- Une communication faite par erreur à la mauvaise personne par son employeur
Registre des incidents de confidentialité
À partir de septembre 2022, tout organisme public devra tenir un registre des incidents de confidentialité auquel la Commission d’accès à l’information (CAI) peut avoir accès.
Comme l’indiquent les experts juridiques du cabinet TCJ :
« Puisqu’il s’agit d’un outil essentiel de suivi, ce registre doit être détaillé autant que possible : il devrait notamment comprendre une description des faits relatifs à chacun des incidents, les causes et conséquences des atteintes ainsi que les mesures correctives qui ont été prises pour y remédier afin qu’il ne se reproduise pas. »
D’ailleurs, si l’incident présente un risque de préjudice sérieux pour la personne concernée, l’organisme doit en aviser la CAI, ainsi que cette personne.