Signaler une atteinte à la vie privée
Les organismes publics et les dépositaires sont tenus de signaler toute atteinte à la vie privée à l’ombudsman du Manitoba s’il a été déterminé qu’il existe un risque réel de préjudice grave pour une personne résultant de l’atteinte. Dans de tels cas, les organismes publics et les dépositaires sont tenus d’informer notre bureau ainsi que les personnes concernées par les atteintes à la vie privée.
Qu’est-ce qu’une atteinte à la vie privée
Une atteinte à la vie privée se produit lorsqu’il y a vol ou perte, utilisation, divulgation, destruction ou modification non autorisée de renseignements personnels ou de renseignements médicaux personnels. Une telle activité est « non autorisée » si elle n’est pas autorisée par la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP) ou la Loi sur les renseignements personnels sur la santé (LRMP).
Les atteintes à la vie privée peuvent survenir de diverses manières, notamment lorsque des renseignements personnels ou des renseignements médicaux personnels de clients, de patients, d’étudiants ou d’employés sont volés, perdus ou communiqués par erreur. Les exemples incluent la perte ou le vol d’appareils mobiles (ex. : ordinateurs portables, clés USB) ou une communication mal acheminée (ex. : fax, courriel, courrier). Les atteintes à la vie privée peuvent également être intentionnelles. Les exemples d’atteintes intentionnelles peuvent inclure l’espionnage, le piratage, l’hameçonnage et les rançongiciels.
Une atteinte à la vie privée ne fait aucune discrimination; elle peut toucher une organisation de n’importe quelle taille. Elle peut toucher une ou plusieurs personnes et entraîner des conséquences importantes pour les personnes concernées, notamment le vol d’identité, des dommages physiques ou mentaux, l’humiliation, des atteintes à la réputation, des pertes d’emploi ou financières, un impact négatif sur la cote de crédit ou des dommages ou la perte des biens de la personne.
Répondre à une atteinte à la vie privée
- Contenir l’atteinte : Prenez immédiatement des mesures de bon sens pour limiter l’atteinte.
- Évaluer les risques associés à l’atteinte : Déterminez s’il existe un risque réel de préjudice grave pour la ou les personnes concernées, quelles autres mesures sont nécessaires pour atténuer le risque et l’urgence de l’action.
- Notifier et signaler : Avisez la ou les personnes touchées par l’atteinte, ainsi que l’ombudsman du Manitoba, s’il a été déterminé que l’atteinte à la vie privée présente un risque réel de préjudice grave.
- Prévenir de nouvelles atteintes : Développez ou améliorez les mesures de protection pour prévenir de futures atteintes après avoir évalué la cause et la gravité de l’atteinte.
Outils que les organismes publics peuvent utiliser pour évaluer les risques et y répondre :
- Outil d’évaluation des risques d’atteinte à la vie privée dans le cadre de la LAIPVP
- Outil d’évaluation des risques d’atteinte à la vie privée dans le cadre de la LRMP
- Aide-mémoire pour rédiger un avis d’atteinte à la vie privée
- Principales étapes à suivre en cas d’atteinte à la vie privée au regard de la LAIPVP et de la LRMP
Signaler une atteinte à la vie privée à l’ombudsman du Manitoba
Pour les organismes publics et les dépositaires qui ont déterminé qu’une atteinte à la vie privée a créé un risque réel de préjudice grave pour les personnes et qui sont tenus, en vertu de la loi, de signaler l’atteinte à l’ombudsman du Manitoba, le fait de remplir notre formulaire de signalement d’atteinte à la vie privée satisfait à l’obligation de signaler l’atteinte à l’ombudsman. Le formulaire peut également être rempli si un organisme public ou un dépositaire souhaite volontairement signaler l’atteinte à la vie privée au bureau, ou si une consultation est demandée.
Formulaire de signalement en cas d’atteinte à la vie privée
Le rôle de l’ombudsman
Après avoir reçu un rapport d’atteinte à la vie privée, notre équipe procède à un examen. Nous déterminons si l’organisme public ou le dépositaire a pris toutes les mesures raisonnables pour répondre à l’atteinte. Nous évaluons la conformité de l’organisme public ou du dépositaire avec la législation et le règlement pour déterminer le risque réel de préjudice grave et la manière dont les personnes concernées ont été notifiées. Nous pouvons identifier des lacunes dans la réponse et demander à l’organisme public ou au dépositaire d’y remédier. Nous pouvons également donner des conseils et faire des recommandations, si nécessaire, pour une action appropriée.