51łÔąĎÍř

McGill.CA / Le Secrétariat / Vie privée et protection des renseignements personnels

Reconnaître et déclarer un incident de confidentialité

L’UniversitĂ© 51łÔąĎÍřs’engage Ă  protĂ©ger les renseignements personnels qui lui sont confiĂ©s par les membres de sa communautĂ©, notamment les membres de l’effectif Ă©tudiant, du personnel, du corps professoral et de la communautĂ© diplĂ´mĂ©e. En tant qu’organisme public au QuĂ©bec, l’UniversitĂ© est assujettie Ă  la (la « Loi sur l’accès ») et oriente ses activitĂ©s en fonction de la Politique sur la gouvernance des renseignements personnels. Ces cadres guident son engagement Ă  l’égard de la protection de la vie privĂ©e.

Les incidents de confidentialité doivent être déclarés sans délai au Bureau de l’accès à l’information et de la protection de la vie privée (au sein du Secrétariat de l’Université) , après que des mesures immédiates et nécessaires visant à contrer la brèche ont été mises en place, selon les circonstances. Les incidents sont évalués et traités sous la direction du (de la) secrétaire général(e), qui agit à titre de responsable de la protection de la vie privée de l’Université, en consultation avec les unités ou les membres du personnel concernés, au besoin.

Si un incident de confidentialité présente un risque sérieux de préjudice pour les personnes concernées, l’Université est tenue d’en informer la Commission d’accès à l’information et les personnes dont les renseignements personnels ont été compromis. Il incombe au (à la) secrétaire général(e) de déterminer s’il existe un risque sérieux de préjudice.

Qu’est-ce qu’un incident de confidentialité?

En vertu de la Loi sur l’accès, un incident de confidentialité s’entend de la consultation, de l’utilisation ou de la divulgation non autorisée ou de la perte de renseignements personnels, ou encore de toute atteinte à la protection de ces derniers. Il est important de noter que l’intention de l’acte n’est pas prise en compte dans la détermination de l’existence d’un incident de confidentialité; des erreurs accidentelles ou des défaillances techniques peuvent également constituer un tel incident.

Voici une liste non exhaustive d’incidents de confidentialité :

Accès non autorisé de renseignements personnels : Consultation de renseignements personnels sans besoin légitime lié aux fonctions.

  • Un membre du personnel consulte les dossiers des Ă©tudiants sans raison liĂ©e Ă  son travail.
  • Un chercheur accède, Ă  partir d’une base de donnĂ©es partagĂ©e, Ă  des renseignements personnels sans avoir obtenu l’approbation du ComitĂ© d’éthique ou un accès autorisĂ©.
  • Une faille du système permet Ă  des utilisateurs externes non autorisĂ©s d’accĂ©der Ă  des renseignements personnels stockĂ©es dans un système de l’UniversitĂ©.

Utilisation non autorisée de renseignements personnels : Utilisation de renseignements personnels à des fins non prévues au consentement ou non autorisées par la loi.

  • Une employĂ©e de l’UniversitĂ© utilise les coordonnĂ©es de membres de la population Ă©tudiante, recueillies Ă  des fins administratives, pour envoyer des courriels de marketing de son entreprise personnelle.
  • Des donnĂ©es de recherche sont utilisĂ©es Ă  des fins non mentionnĂ©es dans le formulaire de consentement original.
  • Un professeur utilise les adresses courriel d’anciens Ă©tudiants et Ă©tudiantes pour promouvoir des services de conseil privĂ©s.

Divulgation non autorisée de renseignements personnels : Divulgation de renseignements personnels à des personnes ou à des entités non autorisées.

  • Une feuille de calcul contenant des notes d’étudiants est envoyĂ©e par erreur Ă  un destinataire externe.
  • Les informations sensibles contenues dans des documents divulguĂ©s dans le cadre de demandes d’accès Ă  l’information ne sont pas correctement caviardĂ©es.
  • Des donnĂ©es de recherche anonymisĂ©es sont divulguĂ©es d’une manière permettant leur rĂ©identification des sujets lorsqu’elles sont combinĂ©es Ă  des sources publiques.

Perte de renseignements personnels : Des renseignements personnels sont perdus ou volés, ce qui les expose potentiellement à un accès non autorisé.

  • Un ordinateur portable fourni par l’UniversitĂ© contenant des donnĂ©es personnelles non cryptĂ©es est volĂ©.
  • Une clĂ© USB contenant des dossiers Ă©tudiants est Ă©garĂ©e pendant un dĂ©placement.
  • Une attaque par logiciel de rançon crypte les serveurs de l’UniversitĂ© et exfiltre des donnĂ©es personnelles.

Autres brèches de confidentialité :

  • Modification de donnĂ©es par une personne non autorisĂ©e ou panne de système empĂŞchant l’accès aux renseignements personnels.
  • Collecte excessive : Collecte de renseignements personnels auprès de la population Ă©tudiante, du personnel ou de sujets participant Ă  une recherche au-delĂ  de ce qui est strictement nĂ©cessaire pour atteindre l’objectif dĂ©clarĂ© de la collecte.
  • Non-respect du Calendrier de conservation des documents de l’UniversitĂ© McGill, que ce soit en supprimant des renseignements personnels avant la date de destruction prĂ©vue ou en les conservant plus longtemps que nĂ©cessaire.

Un seul incident peut englober plusieurs des éléments décrits ci-dessus.

Rôles et responsabilités

Plusieurs membres et organes clĂ©s de l’UniversitĂ© 51łÔąĎÍřparticipent Ă  la supervision et Ă  la mise en Ĺ“uvre de la protection des renseignements personnels et de la gestion des incidents.

Secrétaire général(e) (responsable de la protection de la vie privée de l’Université) : S’assure du respect des obligations en matière de protection de la vie privée au sein de l’Université, conseille cette dernière et détermine les risques de préjudice sérieux en cas d’incidents de confidentialité.

Bureau de l’accès à l’information et de la protection de la vie privée : Enquête sur les incidents de confidentialité, gère les plaintes et agit à titre de ressource clé auprès de la communauté universitaire en matière de protection de la vie privée.

Service des technologies de l’information (TI)/Sécurité de l’information : Collabore avec le Bureau de l’accès à l’information et de la protection de la vie privée pour enquêter sur les incidents, mettre en œuvre des mesures de sécurité et garantir l’intégrité, la confidentialité et la disponibilité des ressources informatiques de McGill.

Chef(fe)s d’unité/agent(e)s de liaison d’unité : Veillent à ce que les renseignements personnels au sein de leur unité soient traités conformément aux politiques et procédures de l’Université, et déclarent rapidement tout incident de confidentialité présumé ou avéré.

Déclaration d’un incident de confidentialité

Chaque membre de la communauté universitaire a un rôle à jouer dans la protection des renseignements personnels. Si vous croyez qu’un incident de confidentialité pourrait s’être produit, vous devez le déclarer au Bureau de l’accès à l’information et de la protection de la vie privée dès que possible. Une déclaration rapide est essentielle pour permettre à l’Université de limiter les impacts sur les personnes concernées et de respecter ses obligations légales.

Avant de déclarer un incident, le personnel devrait envisager les mesures immédiates qu’il peut prendre pour limiter la portée de l’incident, lorsque cela est possible sans retarder la déclaration (par exemple, arrêter l’accès ou sécuriser les renseignements mal acheminés).

Il est important de dĂ©clarer tout incident, mĂŞme s’il ne semble pas grave au premier abord. En cas de doute, supposez qu’il pourrait s’agir d’un incident de confidentialitĂ© et »ĺĂ©ł¦±ô˛ą°ů±đłú-±ô±đ.

Agissez immédiatement : limitation de la portée et protection

Lorsque possible, prenez des mesures simples pour empĂŞcher toute exposition ou perte additionnelle :

  • Fermez, limitez ou dĂ©sactivez l’accès au dossier, document ou système touchĂ©.
  • Si un courriel ou document a Ă©tĂ© envoyĂ© au mauvais destinataire, ne comptez pas sur la fonction de rappel. Communiquez plutĂ´t avec le destinataire non intentionnel dès que possible afin de lui demander :
    • de supprimer le courriel ou fichier ainsi que toutes les copies;
    • de confirmer qu’il n’a pas lu, utilisĂ© ou partagĂ© l’information;
    • de garder confidentiels tout renseignement auquel il aurait eu accès.
  • Bloquez ou dĂ©connectez tout poste de travail ou compte compromis.
  • Conservez tous les Ă©lĂ©ments liĂ©s Ă  l’incident : ne supprimez ni n’altĂ©rez aucun courriel, journal d’exploitation, fichier ou autre Ă©lĂ©ment pouvant ĂŞtre nĂ©cessaire pour comprendre ce qui s’est produit.

Si l’incident concerne un système technologique, communiquez immédiatement avec le pour obtenir de l’aide afin de contenir et d’évaluer la situation.

Vous n’êtes pas tenu de résoudre l’incident seul — des mesures raisonnables et une déclaration rapide suffisent.

Informez votre chef(fe) d’unité ou votre agent(e) de liaison d’unité — et assurez-vous que le Bureau de l’accès à l’information et de la protection de la vie privée est informé sans délai

Conformément à la Politique sur la gouvernance des renseignements personnels, les membres du personnel doivent informer leur chef(fe) d’unité ou agent(e) de liaison d’unité dès qu’ils prennent connaissance d’un incident de confidentialité possible ou avéré. Cette personne est ensuite responsable de déclarer l’incident rapidement au Bureau de l’accès à l’information et de la protection de la vie privée.

Cependant, si votre chef(fe) d’unité ou agent(e) de liaison n’est pas disponible immédiatement, ou si tenter de les joindre retarderait la déclaration, vous devez communiquer directement avec le Bureau de l’accès à l’information et de la protection de la vie privée, puis informer votre unité par la suite.

Une brève description de la situation suffit pour amorcer le processus; le Bureau vous posera toute question nécessaire et coordonnera les étapes suivantes.

Incidents impliquant des données de recherche

Si l’incident concerne des données de recherche impliquant des participants humains, des renseignements personnels de participants, des dossiers d’étude,bou tout matériel lié à une recherche avec des participants humains, vous devez communiquer avec la direction adjointe – Éthique de la recherche (après avoir appliqué les mesures immédiates).

Les participants à la recherche peuvent également contacter cette direction s’ils ont des préoccupations liées au traitement de leurs renseignements personnels.

Si vous n’êtes pas membre du personnel

Les membres de la population étudiante, les diplômés et les membres de la communauté doivent déclarer tout incident directement au Bureau de l’accès à l’information et de la protection de la vie privée.

Coordonnées du Bureau de l’accès à l’information et de la protection de la vie privée

Courriel : privacy.secretariat [at] mcgill.ca
Téléphone : 514-398-4719

Une brève description de l’incident suffit. Le Bureau vous guidera quant aux prochaines étapes.

Étapes suivantes

Après réception de votre déclaration, le Bureau de l’accès à l’information et de la protection de la vie privée :

  • analysera l’incident et dĂ©terminera si des mesures supplĂ©mentaires de limitation de la portĂ©e sont nĂ©cessaires (en collaboration avec SĂ©curitĂ© de l’information, au besoin);
  • recueillera l’information nĂ©cessaire pour Ă©valuer l’incident;
  • Ă©valuera s’il prĂ©sente un risque sĂ©rieux de prĂ©judice pour les personnes concernĂ©es;
  • coordonnera les notifications aux personnes concernĂ©es et Ă  la Commission d’accès Ă  l’information, lorsque la loi l’exige;
  • fournira des conseils sur les mesures correctives et prĂ©ventives.

Tout au long du processus, le Bureau travaillera étroitement avec l’unité déclarante, Sécurité de l’information, et tout autre service concerné afin d’assurer une réponse appropriée et coordonnée.

Back to top