Quand l’incident présente le risque qu’un préjudice sérieux soit causé aux personnes dont les renseignements sont concernés, l’entreprise doit s’empresser d’en aviser la Commission. Toutes les personnes dont les renseignements personnels sont concernés par l’incident doivent également être informées par l’entreprise, sans quoi la Commission peut lui ordonner de le faire.
Toutefois, l’entreprise n’a pas à aviser les personnes dont les renseignements personnels sont concernés si cet avis est susceptible d’entraver une enquête menée en vertu de la loi pour prévenir, détecter ou réprimer le crime ou les infractions aux lois.
Le Règlement sur les incidents de confidentialité détermine le contenu et les modalités des avis qui doivent être transmis à la Commission et aux personnes concernées.
Avis à la Commission
Quand un incident de confidentialité présente le risque d’un préjudice sérieux, l'entreprise doit en aviser la Commission par écrit. Le formulaire Avis à la Commission d'accès à l'information concernant un incident de confidentialité impliquant des renseignements personnels et qui présente un risque de préjudice sérieux (PDF, 1 481 Ko) précise toutes les informations à fournir.
Suivant l’envoi de son formulaire d’avis, l’entreprise qui prend connaissance de nouvelles informations doit s’empresser de les communiquer à la Commission.
Avis aux personnes concernées
L’avis à la personne concernée doit l’informer de la portée et des conséquences de l’incident présentant le risque de préjudice sérieux.
Cet avis doit contenir :
- Une description des renseignements personnels visés par l’incident. Si cette information n’est pas connue, l’entreprise doit communiquer la raison justifiant l’impossibilité de fournir cette description;
- Une brève description des circonstances de l’incident;
- La date ou la période à laquelle l’incident a eu lieu, ou une approximation de cette période si elle n’est pas connue;
- Une brève description des mesures prises ou envisagées pour diminuer les risques qu’un préjudice soit causé à la suite de l’incident;
- Les mesures proposées à la personne concernée afin de diminuer le risque qu’un préjudice lui soit causé ou d’atténuer celui-ci;
- Les coordonnées d’une personne ou d’un service avec qui la personne concernée peut communiquer pour obtenir davantage d’informations au sujet de l’incident.
De plus, une entreprise peut émettre un avis public pour rapidement diminuer le risque qu’un préjudice sérieux soit causé ou l’atténuer. L’entreprise demeure toutefois tenue de transmettre un avis à la personne concernée dans les plus brefs délais.
Seulement trois situations permettent d'émettre un avis public sans devoir transmettre un avis à la personne concernée :
- La transmission de l’avis peut causer un plus grand préjudice à la personne concernée;
- La transmission de l’avis représente une difficulté excessive pour l’entreprise;
- L’entreprise n’a pas les coordonnées de la personne concernée.
Cet avis peut être envoyé par tout moyen raisonnable permettant de joindre la personne concernée.
Avis aux personnes susceptibles de prévenir ou de minimiser le risque de préjudice sérieux
L’entreprise peut aviser toute personne ou tout organisme susceptible de diminuer le risque de préjudice sérieux. Seuls les renseignements personnels nécessaires peuvent alors être communiqués sans le consentement de la personne concernée. Le responsable de la protection des renseignements personnels de l’entreprise oit enregistrer cette communication.