Procédure de signalement et de traitement des incidents de confidentialité

Procédure de signalement et de traitement des incidents de confidentialité

Adoption
Instance Date Décision
Conseil d’administration  18 février 2025  CAD-13482

 

Modification
Instance Date Décision Commentaires
     

  

Révision 5 ans
Responsable La personne responsable de l’accès à l’information et de la protection des renseignements personnels 
Parties prenantes Secrétariat général

Service des technologies de l’information

Services de la bibliothèque

1. Dispositions générales

1.1. Préambule

L’Université se dote de la présente procédure pour établir un processus de signalement et de traitement des incidents de confidentialité et ainsi limiter leurs éventuelles conséquences dommageables pour les personnes concernées.

1.2. Objectifs

La présente procédure:

  • Décrit la démarche à suivre pour signaler un incident de confidentialité;
  • Décrit le processus de traitement applicable aux incidents de confidentialité;
  • Définit les rôles et responsabilités des parties prenantes.

1.3. Champ d’application

La présente procédure s’applique :

  • À tous les membres de la communauté universitaire ayant connaissance d’un incident de confidentialité impliquant des renseignements personnels détenus traités au sein de l’Université;
  • Aux tiers ayant connaissance d’un incident de confidentialité impliquant des renseignements personnels détenus au sein de l’Université;
  • Aux tiers détenant des renseignements personnels pour le compte de l’Université et ayant connaissance d’un incident de confidentialité relatif auxdits renseignements.

1.4. Références

Textes habilitants :

Documents connexes ou nécessaires à l’interprétation de la présente procédure :

Règlement relatif aux ressources informationnelles;
Politique relative à la protection des renseignements personnels;
Politique relative à la sécurité des actifs informationnels;

1.5. Responsable de l’application

La personne responsable de l’accès à l’information et de la protection des renseignements personnels (ci-après « la personne responsable AIPRP ») est responsable de l’application de la présente procédure.

1.6 Définitions

  • Les définitions de la Politique relative à la protection des renseignements personnels s’appliquent à la présente procédure.
  • « Incident de confidentialité » : accès, utilisation, communication d’un renseignement personnel non autorisé par la Loi sur l’accès, de même que sa perte ou toute autre forme d’atteinte à sa protection. En voici quelques exemples :
  • un membre du personnel consulte des renseignements personnels non nécessaires à l’exercice de ses fonctions;
  • un pirate informatique s’infiltre dans un système;
  • une personne utilise des renseignements personnels d’une base de données à laquelle il a accès dans le cadre de ses fonctions dans le but d’usurper l’identité d’une personne;
  • une communication est effectuée par erreur à la mauvaise personne;
  • une personne perd ou se fait voler des documents contenant des renseignements personnels;
  • une personne s’immisce dans une banque de données contenant des renseignements personnels afin de les altérer.

2. Rôles et modalités

2.2 Obligation de signalement en cas d’incident de confidentialité

Toute personne visée par le champ d’application de la présente procédure doit effectuer un signalement lorsqu’elle a un motif raisonnable de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel détenu par l’UQAC, voir Annexe 1.

Pour ce faire, ce signalement doit être effectué sans délai à l’adresse suivante: https://www.uqac.ca/cybersecurite/index.php/disi/

Si l’incident est signalé par une personne membre du personnel de l’Université, elle doit aussi aviser sa personne gestionnaire.

Toute personne qui a signalé un incident de confidentialité doit collaborer à l’analyse et au processus de traitement de l’incident.

2.3 Processus de traitement d’un incident de confidentialité

Dès qu’un incident de confidentialité est signalé, la déclaration d’incident complétée par la personne qui signale est envoyée aux personnes suivantes :

  • COMSI (Personne coordonnatrice organisationnelle des mesures de sécurité de l’information);
  • CSIO (Personne-cheffe de la sécurité de l’information organisationnelle);
  • La personne responsable AIPRP;
  • La personne responsable de la gestion documentaire et des archives;
  • La personne directrice du Service des technologies de l’information;
  • Et toute autre personne requise au besoin.

Dès la déclaration de l’incident, les personnes impliquées dans la prise en charge peuvent poser tout geste de mitigation afin de diminuer les risques qu’un préjudice soit causé, amplifié ou qu’il ne se reproduise.

La personne responsable AIPRP ou la personne qu’elle désigne:

  • Prend connaissance du rapport d’incident de confidentialité;
  • Évalue s’il s’agit bel et bien d’un incident de confidentialité tel que défini ci-haut;
  • Établit les circonstances de l’incident, cible les renseignements personnels et les personnes visées;
  • Applique les mesures correctrices qui s’imposent afin de faire cesser l’incident le plus rapidement possible;
  • Adopte les mesures préventives qui lui paraissent appropriées afin d’éviter qu’un tel incident ne se reproduise;
  • Détermine la nature du préjudice;
  • Mentionne dans le rapport d’incident toutes les mesures prises;
  • Au besoin, fait appel à une entité extérieure à l’Université pour aider à gérer les risques encourus;
  • Au besoin, collabore avec tout intervenant qu’elle juge utile;
  • Informe le service de police compétent si l’incident constitue un crime.

2.3.1 Évaluation du risque pour la personne concernée

Si elle considère que l’on est bien en présence d’un incident de confidentialité imputable à l’Université, la personne responsable AIPRP, ou la personne qu’elle désigne, évalue le risque qui pèse sur la personne concernée par l’incident. Elle détermine ensuite si la personne concernée encourt ou non un risque de préjudice sérieux. Lorsqu’elle évalue le risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de confidentialité, la personne AIPRP (ou la personne qu’elle désigne) doit considérer notamment la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables.

2.3.2 Notification de l’incident

En présence d’un risque plausible de préjudice sérieux

La personne responsable AIPRP, ou la personne qu’elle désigne, informe de l’incident les personnes et entités suivantes :

  • Avis à la personne concernée : la personne responsable AIPRP doit informer de l’incident la personne concernée. Cette notification se fait par tout moyen adéquat, par exemple par courriel.
  • Avis à la Commission d’accès à l’information (CAI): l’avis à la CAI doit être fait avec diligence. La personne responsable AIPRP remplit le formulaire prévu à cette fin et l’adresse à la CAI en suivant la procédure qui y est détaillée.

En l’absence d’un risque plausible de préjudice sérieux

La personne responsable AIPRP détermine s’il est pertinent d’informer la personne concernée de l’incident. Elle peut choisir de le faire pour des raisons de transparence ou de gestion des affaires. Ces raisons sont documentées dans le registre des incidents de confidentialité selon l’article 2.3.4 de la procédure.

2.3.3 Collaboration du Service des technologies de l’information

Lorsque l’incident concerne un système d’information ou qu’il se produit dans le cadre de la perte, du vol, ou de la disparition de matériel ou documents informatiques, le Service des technologies de l’information est impliqué dans la gestion de l’incident de confidentialité.

2.3.4 Registre des incidents de confidentialité

Le Registre des incidents permet de documenter tous les incidents de confidentialité survenus. Outre son rôle essentiel lors d’un éventuel audit de conformité, ce registre permet de bonifier les plans de résilience, d’orienter au besoin l’offre de formation et de sensibilisation à la protection des renseignements personnels et d’améliorer en continu la gestion des incidents. La personne responsable AIPRP, ou la personne qu’elle désigne tient à jour le registre des incidents de confidentialité.

Le registre répertorie, notamment, pour chaque incident :

  • Numéro d’incident et nom du déclarant;
  • Description des renseignements personnels visés par l’incident;
  • Description des circonstances de l’incident;
  • Date ou période de l’incident;
  • Date ou période auxquelles l’Université a pris connaissance de l’incident;
  • Nombre de personnes concernées par l’incident;
  • Description des éléments qui amènent à conclure qu’il existe ou non un risque qu’un préjudice sérieux soit causé aux personnes concernées;
  • Date de la transmission de l’avis à la Commission d’accès à l’information, le cas échéant;
  • Date de transmission des avis aux personnes concernées, le cas échéant;
  • Description des mesures prises afin de diminuer les risques qu’un préjudice soit causé.

2.3.5 Reddition de compte au Comité sur l’accès à l’information et la protection des renseignements personnels (« CAIPRP »)

La personne responsable AIPRP soumet au CAIPRP, pour information, un rapport annuel des incidents de confidentialité pris en charge dans la dernière année. Ce rapport comprend notamment les mesures mises en œuvre suivant les incidents de confidentialité, le tout dans une perspective d’amélioration des moyens ou mécanismes permettant de prévenir la survenance d’incidents de confidentialité.

3. Mise à jour

La présente procédure doit être mise à au jour au besoin, ou au minimum, à tous les cinq (5) ans. Les mises à jour sont adoptées par le Conseil d’administration, suivant la recommandation du Comité sur l’accès à l’information et sur la protection des renseignements personnels.

4. Dispositions finales

La présente procédure entre en vigueur au moment de son approbation par le Conseil d’administration.

La présente procédure s’inspire de documents en semblable matière*