Rapport d’enquête : Atteinte à la vie privée en vertu de la LRMP et LAIPVP – Le ministère des Familles
enquêtes et surveillance
laipvp
Sommaire
Manitoba Families a déposé un rapport d’atteinte à la vie privée auprès de notre bureau après qu’un incident de cybersécurité survenu chez son fournisseur de services a entraîné un accès non autorisé aux renseignements personnels et aux renseignements personnels sur la santé de 1 361 résidents du Manitoba.
Les personnes touchées bénéficiaient des services du programme Services de vie communautaire pour personnes handicapées de Manitoba Families, par l’entremise d’un fournisseur de services communautaire financé et mandaté par Manitoba Families en vertu d’une entente d’achat de services.
Notre bureau a enquêté sur les circonstances de l’incident, la réaction du fournisseur de services et les obligations de Manitoba Families en tant que fiduciaire en vertu de La Loi sur les renseignements médicaux personnels (LRMP) et en tant qu’organisme public en vertu de la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP) relativement à la protection des renseignements personnels et des renseignements personnels sur la santé détenus par le fournisseur de services en son nom.
Notre bureau a constaté que Manitoba Families n’avait mis en place aucune politique de gestion des fournisseurs de services, aucune ligne directrice sur les contrôles de sécurité ni aucun programme de vérification actif pour superviser les pratiques du fournisseur de services en matière de protection de la vie privée, y compris la cybersécurité.
Notre bureau a formulé cinq recommandations à l’intention de Families afin de combler ces lacunes et lui a demandé de fournir un plan de mise en œuvre dans les 60 jours suivant leur acceptation. Families a répondu à notre rapport et à nos recommandations le 25 mai 2026. L’organisme a accepté les recommandations et s’est engagé à fournir le plan de mise en œuvre dans les 60 jours suivant leur acceptation.
Pour plus d’informations, veuillez consulter le rapport complet ci-dessous.
Veuillez noter que toute personne bénéficiant de services et susceptible d’avoir été affectée par cette violation de données a été avisée directement par le fournisseur de services au moment où celle-ci s’est produite.
MO-09540