Zone Évolution S.E.N.C. reconnaît l’importance d’assurer la protection des renseignements personnels qu’elle recueille auprès de sa clientèle, de ses employés et de toute autre personne avec qui elle est appelée à interagir dans le cadre de ses activités.

À ce titre, Zone Évolution S.E.N.C. est responsable de la protection des renseignements personnels qu’elle détient ou qu’elle confie, le cas échéant, à un tiers, et ce, tout au long du cycle de vie de ces renseignements.

Zone Évolution S.E.N.C. prends les mesures nécessaires pour assurer la protection des renseignements personnels. Néanmoins, des incidents de confidentialité impliquant des renseignements personnels peuvent survenir.

Zone Évolution S.E.N.C. se dote du présent plan pour être en mesure de diminuer et de répondre adéquatement en cas d’incident de confidentialité.

1. Objectif et Cadre juridique

Le présent plan a pour objectif d’établir les démarches à suivre lorsque Zone Évolution S.E.N.C. a des motifs de croire que s’est produit un incident de confidentialité impliquant des renseignements personnels qu’elle détient ou qu’elle a confiés à un tiers.

2. Cadre juridique

Le présent plan tient compte du cadre juridique applicable à Zone Évolution S.E.N.C. en matière de protection des renseignements personnels, soit notamment la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1) et le Règlement sur les incidents de confidentialité (RLRQ, c. A-2.1, r. 3.1).

3. Champ d’application

Le présent plan s’applique aux employés, à tous les professionnels qui œuvrent au sein de la clinique Zone Évolution S.E.N.C., mais aussi aux tiers auxquels Zone Évolution S.E.N.C. communique des renseignements personnels, aux fournisseurs ou partenaires de Zone Évolution S.E.N.C. incluant les sous-traitants.

4. Définition

Aux fins du présent plan, on entend par :

• Incident de confidentialité : tout accès, utilisation ou communication non autorisés par la loi d’un Renseignement personnel, ou toute perte ou autre atteinte à la protection de ce renseignement.
• Exemples d’accès non autorisé par la loi :
  • Consultation non autorisée / non nécessaire à l’exercice des fonctions des renseignements personnels par un employé ou par un fournisseur de service ;
  • Intrusion d’un tiers dans le système informatique de l’entreprise : hameçonnage, rançongiciel, etc.
  • Etc.
• Exemples d’utilisation non autorisée par la loi :
  • Membre du personnel qui utilise des renseignements personnels d’une base de données à laquelle il a accès dans le cadre de ses fonctions dans le but d’usurper l’identité d’une personne ;
  • Consultation / extraction non autorisée de renseignements personnels ;
  • Etc.
• Exemples de communication non autorisée par la loi :
  • Communication de renseignements personnels à la mauvaise personne;
  • Etc.

Personne concernée : toute personne dont les Renseignements personnels sont visés par un Incident de confidentialité.

Personne liée : employés, tiers auxquels Zone Évolution S.E.N.C. communique des renseignements personnels, fournisseurs ou partenaires de Zone Évolution S.E.N.C. incluant les sous-traitants.

Préjudice sérieux : Acte ou évènement susceptible de porter atteinte à la Personne concernée ou à ses biens et de nuire à ses intérêts de manière non négligeable.

Renseignement personnel : tout renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier.

Responsable de la protection des renseignements personnels : personne veillant à assurer le respect et la mise en œuvre du cadre juridique applicable à la protection des renseignements personnels au sein de Zone Évolution S.E.N.C.

5. Procédure à suivre

5.1. Signalement

Si une personne liée à Zone Évolution S.E.N.C. a des raisons de croire qu’un incident de confidentialité impliquant des renseignements personnels s’est produit, elle doit en aviser, sans délai, le Responsable de la protection des renseignements personnels de Zone Évolution S.E.N.C. et lui fournir toute information pertinente.

5.2. Évaluer la situation

Le Responsable de la protection des renseignements personnels doit :

• Examiner le signalement afin de déterminer s’il s’agit d’un incident de confidentialité impliquant des renseignements personnels.
  • Exemples de questions à se poser :
    • Les informations visées par l’incident sont-elles des Renseignements personnels ?
    • Les Renseignements personnels ont-ils fait l’objet d’un accès, d’une utilisation ou d’une communication non autorisée par la loi ? ont-ils fait l’objet d’une perte ou de toute autre atteinte à leur protection ?
• Aviser les intervenants concernés à l’interne afin d’identifier, de circonscrire, d’enquêter et de corriger la situation liée à l’incident de confidentialité.
  • Exemples de questions à se poser :
    • Quelle est la cause de l’incident ?
    • Quelle est la date ou la période visée par l’incident ?
    • Quels sont les renseignements personnels visés ?
    • Étaient-ils chiffrés / protégés par un mot de passe ?
    • Ont-ils été récupérés ou détruits ?
    • Qui sont les personnes concernées par l’incident ? Quel est leur nombre ?
    • Quelles sont les mesures de sécurité en place au moment de l’incident ?
• Aviser la haute direction et/ou le conseil d’administration.

5.3. Diminuer les risques – limiter les atteintes à la vie privée

Le Responsable de la protection des renseignements personnels doit prendre rapidement les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.

• Exemples de mesures à prendre :
  • Récupérer ou exiger la destruction des Renseignements personnels impliqués ;
  • Révoquer ou modifier les mots de passe ;
  • Cesser la pratique non autorisée ;
  • Corriger les lacunes des systèmes informatiques ;
  • Contacter les personnes ou organismes à l’externe susceptibles de diminuer le risque de préjudice.

5.4. Identifier le risque de préjudice

Afin de déterminer si le préjudice est sérieux, le Responsable de la protection des renseignements personnels doit identifier le risque de préjudice en tenant compte :

• De la sensibilité des Renseignements personnels :
  • Renseignement de nature financière (Numéro de carte de crédit, de compte, de transit, information sur le soutien financier fourni par Zone Évolution S.E.N.C. ou sur l’accommodation financière accordée, salaire, conditions d’emploi) ;
  • Renseignement de nature médicale ;
  • Renseignement d’identification (Numéro d’assurance sociale / maladie, permis de conduire) ;
  • Renseignement sur les origines ethniques, l’orientation sexuelle, l’identité de genre ;
  • Renseignement génétique ou biométrique ;
  • Etc.
• Des conséquences appréhendées de l’utilisation des Renseignements :
  • Vol d’identité ;
  • Fraude financière / Impact sur le dossier de crédit ;
  • Diffusion des renseignements personnels, notamment sensibles ;
  • Permanence / Perpétuation de l’atteinte ;
  • Répercussion sur la santé physique ou psychologique ;
  • Perte d’emploi ;
  • Humiliation, atteinte à la réputation, à la vie privée ;
  • Impact sur les relations professionnelles ou d’affaires ;
  • Etc.
• De la probabilité que les Renseignements soient utilisés à des fins préjudiciables.

5.5. Aviser les autorités compétentes et les personnes concernées

Le Responsable de la protection des renseignements personnels doit :

• Aviser la CAI, avec diligence, en cas de préjudice sérieux ;
• Aviser les personnes dont les Renseignements personnels sont visés par l’incident de confidentialité ;
• Aviser les services de police ;
• Aviser les assureurs de Zone Évolution S.E.N.C.;
• Aviser les conseillers juridiques pour obtenir des conseils relativement à la préservation de la preuve et aux risques juridiques associés aux mesures déployées ;
• Contacter les personnes ou organismes à l’externe susceptibles de diminuer le risque de préjudice. Si tel est le cas :
  • Ne communiquer que les renseignements personnels à cette fin;
  • Enregistrer la communication.

5.6. Tenir un registre des incidents de confidentialité

Le Responsable de la protection des renseignements personnels doit tenir un registre qui contient l’ensemble des incidents de confidentialité, et ce, peu importe que le risque ait été qualifié de sérieux ou non.

Les renseignements contenus au registre doivent être tenus à jour et conservés pendant une période minimale de 5 ans après la date ou la période au cours de laquelle Zone Évolution S.E.N.C. a pris connaissance de l’incident.

5.7. Faire un suivi / un bilan de l’incident

Afin de tirer les leçons de l’incident de confidentialité, le Responsable de la protection des renseignements personnels doit :

• Approfondir l’analyse des circonstances de l’incident ;
• Documenter – de manière chronologique – les actions prises en lien avec l’incident ;
• Réviser les procédures en place et, le cas échéant, en adopter de nouvelles ;
• Sensibiliser les personnes liées à Zone Évolution S.E.N.C. des mesures prises.