Le signalement d une atteinte à la vie privée au commissaire

Documents pareils
Intégration du Système d information de laboratoire de l Ontario et de ConnexionRGT

GLOSSAIRE DU SOUTIEN EN CAS DE RECOURS EN JUSTICE

Guide de la pratique sur les réserves aux traités 2011

L obligation de déposer un rapport Guide à. l intention des employeurs, exploitants et infirmières

Règlement relatif à l utilisation des ressources informatiques et de télécommunication

VISA PLATINE AFFAIRES VOYAGES RBC BANQUE ROYALE ASSURANCE ACHATS D ARTICLES DE PREMIÈRE NÉCESSITÉ CERTIFICAT D ASSURANCE INTRODUCTION

CONTRAT CLIP ( Contrat de Location Informatique Pure ) John Dow entreprise de location-vente, réparation informatique et graphisme numérique.

Table des matières. 1. Mesures législatives Loi sur la protection des personnes recevant des soins Généralités 3 Principaux éléments 3

Comité permanent du droit des marques, des dessins et modèles industriels et des indications géographiques

Annexe VI au Protocole au Traité sur l Antarctique relatif à la protection de l environnement

Outil d évaluation aux fins de la notification en cas d atteinte à la vie privée

Téléphone : Télécopieur : ATS : info@ipc.on.ca

Banque européenne d investissement. Politique de signalement

Conditions générales d utilisation

CONVENTION DE REPRÉSENTATION sur la protection des adultes et la prise de décisions les concernant, Partie 2

Contrat de courtier. Entre : (ci-après nommée «Empire Vie») (ci-après nommé «courtier») Adresse civique : Ville ou municipalité :

DIRECTIVES ET NORMES EN MATIÈRE DE PRINCIPE

Norme ISA 510, Audit initial Soldes d ouverture

Compléter une demande de crédit Desjardins. Solutions de paiement et de financement. Services de cartes Desjardins

Notes techniques pour les règles de souscription de l assurance-automobile

Lignes directrices sur l utilisation de caméras de surveillance vidéo dans les écoles

MINISTÈRE DE L ÉDUCATION DES ÉTATS-UNIS. Bureau des Droits Civiques (BDC) Formulaire de plainte pour discrimination

Fourniture de matériels pour la plomberie et le chauffage

Visa Privilège RBC Récompenses ASSURANCES RETARD DE VOL ET ACHATS D ARTICLES DE PREMIÈRE NÉCESSITÉ CERTIFICAT D ASSURANCE INTRODUCTION

Article II. ORGANISATION DES INSCRIPTIONS

LICENCE D UTILISATION DE LA DO NOT CALL ME LIST : CONDITIONS GENERALES

Règlement sur l utilisation et la gestion des actifs informationnels

Entente de reconnaissance mutuelle. entre. l Institute of Actuaries of Australia. l Institut canadien des actuaires

ASSURANCE RESPONSABILITE CIVILE MEDICALE QUESTIONNAIRE GENERAL

L impact d un incident de sécurité pour le citoyen et l entreprise

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

a) conformément à l article 21 de la Loi, Aequitas est reconnue à titre de bourse;

CONDITIONS SPECIFIQUES DE VENTES APPLICABLES AUX OFFRES OPENCONNECT ADSL

APPLICABLES À PARTIR DE JANVIER 2012

RÈGLEMENT DE LA COUR

Article 1. Enregistrement d un nom de domaine

PARTENAIRE COMMERCIAL DE MSD CODE DE CONDUITE

Concours $ de prix en argent offerts par le Programme d assurance automobile et habitation CIBC (le «Concours»)

ACCORD DE COOPERATION TECHNIQUE ENTRE LE GOUVERNEMENT DU JAPON ET LE GOUVERNEMENT DE LA REPUBLIQUE DU SENEGAL

CORPORATION DE PROTECTION DES INVESTISSEURS DE L ACFM DIRECTIVE RELATIVE À LA COUVERTURE

Annexe au document intitulé Communication relative à certaines questions de politique concernant le Bureau de Procureur : renvois et communications

DÉCLARATION DU DEMANDEUR INDEMNITÉS POUR INVALIDITÉ

DATE D ENTRÉE EN VIGUEUR : NOVEMBRE Service des finances, Division de l approvisionnement. Garanties et assurances

Accord

SUPPLEMENT TRADING ELECTRONIQUE

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

CONVENTION CONCERNANT L ASSISTANCE ADMINISTRATIVE MUTUELLE EN MATIÈRE FISCALE

RÈGLEMENT OFFICIEL DU CONCOURS «Quiz Mise-O-Jeu»

Loi modifiant la Loi sur l Autorité des marchés financiers et d autres dispositions législatives

Politique d utilisation acceptable des données et des technologies de l information

Nouvelle demande de permis d agent ou de courtier d assurances I.A.R.D.

Le Privilège du secret professionnel des conseillers juridiques en entreprise

PRÉAMBULE. La version administrative reproduit l intégralité des Règles et Principes directeurs de l ACFM.

REGLEMENT DU JEU «GET LUCKY AVEC CORSAIR» DU 17 SEPTEMBRE 2013 AU 7 OCTOBRE 2013

ADDENDA POUR LES TRANSFERTS DE RENTE IMMOBILISÉE DANS UN COMPTE DE RETRAITE IMMOBILISÉ (CRI) RÉGIME D ÉPARGNE-RETRAITE AUTOGÉRÉ BMO LIGNE D ACTION

RÉGIME GÉNÉRAL D ÉPARGNE ET D ACHAT DE TITRES DE LA BANQUE ROYALE DU CANADA

un état de changement

Accord négocié régissant les relations entre la Cour pénale internationale et l Organisation des Nations Unies. Préambule

Politique de sécurité de l information

Consommateurs et cartes de débit

FORMULAIRE OBLIGATOIRE CONTRAT DE COURTAGE EXCLUSIF VENTE IMMEUBLE PRINCIPALEMENT RÉSIDENTIEL DE MOINS DE 5 LOGEMENTS EXCLUANT LA COPROPRIÉTÉ

REGLEMENT DE CONSULTATION

Foire aux questions Régime médicaments du Nouveau-Brunswick Le 10 décembre 2013

ACCORD ENTRE LA COMMISSION BANCAIRE ET LA BANQUE NATIONALE DE ROUMANIE

CONTRAT DE MAINTENANCE INFORMATIQUE MISE A JOUR SITE INTERNET

Ces conditions de vente prévaudront sur toutes autres conditions générales ou particulières non expressément agréées par SUD LOGICIEL GESTION.

DOSSIER D INSCRIPTION

RÈGLEMENT DU JEU CONCOURS «Feel Beautiful»

GESTION DE RISQUES Août 2007

F OMPI ORGANISATION MONDIALE DE LA PROPRIÉTÉ INTELLECTUELLE GENÈVE. Dix-septième session Genève, 7 11 mai 2007

ISO/IEC TR Première édition Numéro de référence ISO/IEC TR 90006:2013(F) ISO/IEC 2013

CNAC. Appel à commentaires. Missions d examen. préparé par le Conseil des normes d audit et de certification

MODE D EMPLOI VOLONTARIAT DE SOLIDARITE INTERNATIONALE

Société d investissement à capital variable Siège social : 49, avenue J.F. Kennedy, L-1855 Luxembourg R.C.S. Luxembourg B-119.

Chez Co-operators, la prestation des services d assurance repose sur quatre principes fondamentaux :

FORMULAIRE OBLIGATOIRE CONTRAT DE COURTAGE EXCLUSIF COPROPRIÉTÉ DIVISE FRACTION D UN IMMEUBLE PRINCIPALEMENT RÉSIDENTIEL DÉTENU EN COPROPRIÉTÉ DIVISE

Règlement de la consultation

Liste des documents à joindre à l avis. Liste des documents à conserver en tout temps. Renseignements généraux

RÈGLEMENT DU JEU CONCOURS «Ballons dédicacés PRO D2»

Titre : POLITIQUE AFIN DE CONTRER LE HARCÈLEMENT PSYCHOLOGIQUE OU TOUTE AUTRE FORME DE VIOLENCE EN MILIEU DE TRAVAIL

DÉCISION DU TRIBUNAL DE LA SÉCURITÉ SOCIALE Division générale Assurance-emploi

Dossier : Date : Commissaire : M e Diane Boissinot MICHAËLLA LESSARD. Demanderesse MULTI-RESSOURCES. Entreprise DÉCISION OBJET

Introduction et sommaire

b) Et. Domicilié, éventuellement représenté par., ci-après dénommé «le Courtier», de seconde part,

Entente administrative sur la certification de produits conclue entre. la Direction générale de Transports Canada, Aviation civile (TCAC)

Norme ISA 260, Communication avec les responsables de la gouvernance

RÈGLEMENT DU JEU «À QUI RESSEMBLEZ-VOUS?»

FORMULAIRE DE RÉCLAMATION RECOURS COLLECTIF DPM SECURITIES LIMITED PARTNERSHIP

Assurance de soins de longue durée

OFFICE BENELUX DE LA PROPRIETE INTELLECTUELLE. DECISION en matière d OPPOSITION Nº du 04 avril 2013

Paris, le 10 octobre 2012 Dossier suivi par : XXXX Tél. : XX Courriel : recommandations@energie-mediateur.

Bureau d assurance voyage inc.

Convention de Vienne sur la représentation des Etats dans leurs relations avec les organisations internationales de caractère universel

Politique des services d aide à la vie autonome pour les personnes âgées à risque élevé, 2011

CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES.

ASSEMBLÉE NATIONALE 17 mars 2015 AMENDEMENT

Bulletin vie privée. Limites de la protection des renseignements personnels des personnes à charge dans un contexte de contrat d'assurance collective

CONTRAT DE COMPTE DE CARTE MASTERCARD MD * BMO MD POUR ENTREPRISE

Girafe & Cie, compagnie d assurance-vie

RÉPUBLIQUE ET CANTON DE GENÈVE Echelle des traitements 2015 Valable dès le Office du personnel de l'etat Indexation de 0.

Transcription:

SEPTEMBRE 2017 Le signalement d une atteinte à la vie privée au commissaire LIGNES DIRECTRICES POUR LE SECTEUR DE LA SANTÉ Afin de mieux protéger les renseignements personnels sur la santé, le gouvernement de l Ontario a modifié la Loi sur la protection des renseignements personnels sur la santé (la Loi). En vertu du paragraphe 12 (3) de la Loi et de son règlement d application, le dépositaire doit aviser le commissaire à l information et à la protection de la vie privée de certaines atteintes à la vie privée. Ces dispositions entrent en vigueur le 1 er octobre 2017. En tant que dépositaire, vous devez signaler au commissaire les atteintes la vie privée correspondant sept catégories décrites dans le r glement et résumées ci-dessous. Ces catégories ne s excluent pas mutuellement; plusieurs peuvent s appliquer la m me atteinte la vie privée. Si au moins l une de ces situations s applique, vous devez le signaler. La section suivante est un résumé; pour le libellé complet du r glement, voir l annexe la fin du présent document. N oubliez pas que même si vous n êtes pas tenu d informer le commissaire, vous avez l obligation d aviser les particuliers concernés par une atteinte à la vie privée en vertu du paragraphe 12 (2) de la Loi. SITUATIONS OÙ VOUS DEVEZ INFORMER LE COMMISSAIRE D UNE ATTEINTE À LA VIE PRIVÉE 1. Utilisation ou divulgation sans autorisation Cette catégorie s applique aux situations o la personne qui a commis l atteinte la vie privée savait ou aurait d savoir que ses gestes n étaient pas permis par la Loi ou par le dépositaire responsable. Par exemple, une

personne consulte le dossier médical d un ex-conjoint alors qu elle n a aucune raison de le faire dans le cadre de son travail. Cette personne pourrait tre votre employé, un professionnel de la santé ayant des droits hospitaliers, un tiers (tel qu un fournisseur de services) ou m me une personne qui n a aucune relation avec vous. Les situations o l utilisation ou la divulgation non autorisée n est pas effectuée des fins personnelles ou malveillantes font également partie de cette catégorie. Par exemple, des employés d un hôpital aimeraient savoir pourquoi une personnalité locale ou un coll gue de travail a été traité l hôpital, et consultent son dossier médical. En r gle générale, vous n tes pas tenu d informer le commissaire lorsque l atteinte la vie privée est accidentelle, par exemple, lorsque vous avez envoyé des renseignements par inadvertance au mauvais destinataire par courriel ou par messager, ou lorsque vous avez glissé une lettre dans la mauvaise enveloppe. Vous n avez pas non plus informer le commissaire lorsqu une personne qui est autorisée accéder des renseignements sur un patient consulte accidentellement le dossier d un autre patient. Cependant, m me les atteintes accidentelles la vie privée qui font partie de l une des autres catégories suivantes doivent tre signalées. 2. Renseignements volés Par exemple, une personne a volé des documents papier, un ordinateur portable ou un autre appareil électronique, ou encore, des renseignements sur des patients font l objet d une attaque par rançongiciel ou autre programme malveillant, ou sont copiés dans un appareil de stockage mobile. De telles situations doivent tre signalées au commissaire. Vous n avez pas aviser le commissaire si les renseignements volés avaient été anonymisés ou correctement chiffrés. 3. Autre utilisation ou divulgation sans autorisation apr s une atteinte la vie privée Apr s une premi re atteinte la vie privée, vous pourriez apprendre que les renseignements ont été ou seront utilisés ou divulgués nouveau sans autorisation; vous devez alors le signaler au commissaire. Par exemple, un employé envoie par inadvertance un document contenant des renseignements sur un patient par télécopieur au mauvais destinataire. Cette personne vous renvoie la télécopie, mais vous apprenez par la suite qu elle en a conservé une copie et menace de publier les renseignements. M me si vous n avez pas signalé le premier incident, vous devez informer le commissaire d une pareille situation. Vous pourrez également, par exemple, apprendre qu un employé a consulté sans autorisation des renseignements sur un patient et a utilisé ces renseignements pour commercialiser des produits ou des services ou commettre une fraude (p. ex., relativement aux soins de santé ou l assurance). TECHNOLOGY FACT SHEET: PROTECTING AGAINST RANSOMWARE 2 LE SIGNALEMENT D UNE ATTEINTE À LA VIE PRIVÉE AU COMMISSAIRE 2

4. Contexte d atteintes la vie privée similaires M me si une atteinte la vie privée est accidentelle ou insignifiante en soi, il faut la signaler au commissaire si elle fait partie d une série d atteintes la vie privée semblables. Cela pourrait révéler des probl mes systémiques qu il faudra régler, notamment une formation ou des procédures inadéquates. Fondez-vous sur votre jugement pour déterminer si une atteinte la vie privée est un incident isolé ou fait partie d une série d incidents semblables; par exemple, tenez compte du temps écoulé entre les atteintes la vie privée et de leurs similitudes. En faisant le suivi des atteintes la vie privée de façon systématique, il vous sera plus facile de relever des tendances. Par exemple, vous découvrez que dans une lettre un patient, des renseignements sur un autre patient ont été inclus par inadvertance. Au cours des mois suivants, la m me erreur se reproduit plusieurs fois parce qu un processus qui gén re automatiquement les lettres présente une anomalie depuis un certain temps. Un tel incident doit tre signalé au commissaire. 5. Mesures disciplinaires prises contre un membre d un ordre professionnel L obligation d un employé ou d un autre mandataire de donner un avis un ordre de réglementation d une profession de la santé donne lieu également l obligation d aviser le commissaire. Lorsqu un employé est membre d un ordre professionnel, vous devez aviser le commissaire d une atteinte la vie privée dans les cas suivants : vous congédiez ou suspendez cet employé, ou vous lui imposez des mesures disciplinaires, en raison de l atteinte la vie privée; cet employé démissionne, et vous croyez qu il l a fait en raison de l atteinte la vie privée. Lorsqu un professionnel de la santé ayant des droits hospitaliers ou vous étant autrement affilié est membre d un ordre professionnel, vous devez informer le commissaire d une atteinte la vie privée dans les cas suivants : vous révoquez, suspendez ou limitez ces droits ou cette affiliation en raison de l atteinte la vie privée; ce professionnel renonce ces droits ou cette affiliation ou les limite volontairement, et vous croyez qu il le fait en raison de l atteinte la vie privée. Des exigences semblables s appliquent aux professionnels de la santé qui sont l emploi d un conseil de santé. 6. Mesures disciplinaires prises contre une personne qui n est pas membre d un ordre professionnel Tous les employés ou autres mandataires d un dépositaire ne sont pas membres d un ordre professionnel. Vous devez quand m me aviser le TECHNOLOGY FACT SHEET: PROTECTING AGAINST RANSOMWARE 3 LE SIGNALEMENT D UNE ATTEINTE À LA VIE PRIVÉE AU COMMISSAIRE 3

commissaire si, dans les circonstances, vous auriez d informer un ordre professionnel si la personne concernée avait été membre de cet ordre. Par exemple, un de vos commis l inscription a eu un entretien désagréable avec un patient et affiche des renseignements sur ce patient dans les médias sociaux. Vous suspendez ce commis pour un mois. Bien qu il ne soit pas membre d un ordre professionnel, vous devez signaler cette atteinte la vie privée. 7. Atteinte importante la vie privée M me si aucune des six situations précédentes ne s applique, vous devez aviser le commissaire si l atteinte la vie privée est importante. Pour déterminer si elle est importante, vous devez tenir compte de toutes les circonstances pertinentes, et notamment de la question de savoir si : i. les renseignements sont d une nature délicate; ii. l atteinte la vie privée concerne un volume considérable de renseignements; iii. l atteinte la vie privée concerne des renseignements sur de nombreux particuliers; iv. plus d un dépositaire de renseignements sur la santé ou mandataire est responsable de l atteinte la vie privée. Par exemple, vous tes un professionnel de la santé et vous divulguez par inadvertance une évaluation de la santé mentale d un patient d autres professionnels qui sont sur une liste d envoi par courriel et non seulement au médecin de ce patient. Ces renseignements sont tr s délicats et ont été divulgués plusieurs personnes qui vous n aviez pas l intention de les divulguer. Ou bien, vous affichez sur un site Web des renseignements détaillés sur un groupe de patients qui reçoivent un traitement spécialisé pour un nouveau probl me de santé. Vous n avez pas divulgué le nom de ces patients, mais vous apprenez que d autres personnes peuvent facilement les identifier. Cette atteinte la vie privée fait intervenir de nombreux patients, dont les renseignements ont pu avoir été diffusés. Ces types d atteintes la vie privée doivent tre signalés au commissaire. Soulignons que m me les atteintes la vie privée qui ne causent pas de préjudice particulier peuvent tre importantes. RAPPORT ANNUEL AU COMMISSAIRE compter du 1 er janvier 2018, les dépositaires seront tenus de recueillir des statistiques sur les atteintes la vie privée, et ils devront fournir un rapport annuel au commissaire sur les statistiques de l année civile précédente compter de mars 2019. l automne 2017, le commissaire publiera des directives détaillées sur ce rapport statistique. TECHNOLOGY FACT SHEET: PROTECTING AGAINST RANSOMWARE 4 LE SIGNALEMENT D UNE ATTEINTE À LA VIE PRIVÉE AU COMMISSAIRE 4

ANNEXE Article 6.3 du R glement de l Ontario 329/04 pris en application de la Loi sur la protection des renseignements personnels sur la santé : (1) Les circonstances dans lesquelles un dépositaire de renseignements sur la santé est tenu d aviser le commissaire pour l application du paragraphe 12 (3) de la Loi sont les suivantes : 1. Le dépositaire de renseignements sur la santé a des motifs raisonnables de croire que des renseignements personnels sur la santé dont il a la garde ou le contrôle ont été utilisés ou divulgués sans autorisation par une personne qui savait ou aurait d savoir qu elle les utilisait ou les divulguait sans autorisation. 2. Le dépositaire de renseignements sur la santé a des motifs raisonnables de croire que des renseignements personnels sur la santé dont il a la garde ou le contrôle ont été volés. 3. Le dépositaire de renseignements sur la santé a des motifs raisonnables de croire qu apr s la perte initiale de renseignements personnels sur la santé dont il a la garde ou le contrôle, ou leur utilisation ou divulgation initiales sans autorisation, ces renseignements ont été nouveau utilisés ou divulgués, ou le seront nouveau, sans autorisation. 4. La perte ou l utilisation ou la divulgation sans autorisation de renseignements personnels sur la santé s inscrit dans un contexte de pertes similaires, ou d utilisations ou de divulgations similaires sans autorisation, de renseignements personnels sur la santé dont le dépositaire de renseignements sur la santé a la garde ou le contrôle. 5. Le dépositaire de renseignements sur la santé est tenu de donner un avis un ordre d un événement visé l article 17.1 de la Loi qui a trait la perte ou l utilisation ou la divulgation sans autorisation de renseignements personnels sur la santé. 6. Le dépositaire de renseignements sur la santé serait tenu de donner un avis un ordre, si un de ses mandataires était membre de l ordre, d un événement visé l article 17.1 de la Loi qui a trait la perte ou l utilisation ou la divulgation sans autorisation de renseignements personnels sur la santé. 7. Le dépositaire de renseignements sur la santé établit que la perte ou l utilisation ou la divulgation sans autorisation de renseignements personnels sur la santé est importante, compte tenu de toutes les circonstances pertinentes, notamment : i. La question de savoir si les renseignements personnels sur la santé qui ont été perdus ou utilisés ou divulgués sans autorisation sont d une nature délicate. TECHNOLOGY FACT SHEET: PROTECTING AGAINST RANSOMWARE 5 LE SIGNALEMENT D UNE ATTEINTE À LA VIE PRIVÉE AU COMMISSAIRE 5

ii. La question de savoir si la perte ou l utilisation ou la divulgation sans autorisation de renseignements personnels sur la santé concernait un volume considérable de renseignements. iii. La question de savoir si la perte ou l utilisation ou la divulgation sans autorisation de renseignements personnels sur la santé concernait de nombreux particuliers. iv. La question de savoir si plus d un dépositaire de renseignements sur la santé ou mandataire était responsable de la perte ou de l utilisation ou de la divulgation sans autorisation des renseignements personnels sur la santé. (2) La définition qui suit s applique au présent article. «ordre» Ordre au sens du paragraphe 17.1 (1) de la Loi. TECHNOLOGY FACT SHEET: PROTECTING AGAINST RANSOMWARE 6 LE SIGNALEMENT D UNE ATTEINTE À LA VIE PRIVÉE AU COMMISSAIRE 6

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back