Signaler un incident de confidentialité
Les renseignements personnels détenus par l’Université de Montréal ou pour son compte sont nécessaires à sa mission d’enseignement et de recherche. En présence de ces renseignements personnels, des règles doivent être respectées afin d’éviter qu’un incident de confidentialité se produise.
Qu’est-ce qu’un incident de confidentialité?
Un incident de confidentialité est un événement causant (ou susceptible de causer) une divulgation ou une utilisation non autorisée de renseignements personnels. Essentiellement, il s’agit de :
la consultation, l’utilisation et la communication non autorisées de renseignements personnels;
la perte et le vol de renseignements personnels.
Les exemples suivants sont des incidents de confidentialité :
Envoi d’un document ou d’un courriel au mauvais destinataire.
Perte ou vol d’un ordinateur portable ou d’une clé USB.
Perte d’un document papier.
Conversation entre collègues durant laquelle des renseignements personnels non nécessaires au travail sont mentionnés.
Conséquences d’un incident de confidentialité
Un incident de confidentialité peut avoir de graves conséquences pour la personne concernée :
Atteinte à sa réputation (si les renseignements personnels concernent sa santé, par exemple).
Impacts économiques (en cas de vol d’identité, par exemple).
Et pour l’Université de Montréal :
Conséquences judiciaires (amende pouvant atteindre 150 000 $).
Perte de confiance importante du public et de la communauté universitaire.
Savez-vous que l’erreur humaine est la cause la plus fréquente des incidents de confidentialité (dans 85 % des cas)?
Malgré l’application de mesures préventives, un incident de confidentialité peut survenir. Dans un tel cas, il importe de savoir comment le signaler.
Signaler un incident de confidentialité
Si vous avez détecté un incident de confidentialité, il est important d’agir rapidement en suivant les 3 étapes suivantes.
Étape 1
Contenir l’incident
Mettez d’abord fin à la situation ou agissez pour en atténuer la gravité.
Par exemple, si vous avez envoyé un courriel contenant des renseignements personnels à un mauvais destinataire, tentez immédiatement de rappeler le message.
Comme le rappel de courriels ne fonctionne pas toujours, notamment si le destinataire redirige automatiquement ses courriels vers un autre service de messagerie, communiquez aussitôt avec la personne à qui vous avez envoyé ce courriel par erreur pour lui demander de détruire rapidement le message qui ne lui était pas destiné.
Étape 2
Documenter l’incident
Notez un maximum d’informations sur les circonstances de l’incident et de sa découverte :
Quel est l’incident?
Où et quand l’avez-vous découvert?
Où est-il survenu?
Dans quelles circonstances?
Qui sont les personnes concernées par l’incident (ex. : nombre, noms)?
Quel type de renseignement personnel est touché (ex. : matricule, numéro d’assurance sociale)?
Sur quel support se trouvaient ces renseignements (ex. : papier ou numérique)?
La cause est-elle accidentelle (ex. : erreur humaine ou technique) ou s’agit-il d’un acte délibéré (ex. : vol)?
Toutes les informations collectées sont très importantes, car elles permettent à l’Université de prendre les décisions qui s’imposent pour protéger les intérêts des personnes concernées par l’incident.
Étape 3
Signaler l’incident
Si vous êtes membre du personnel :
Signalez l’incident à la personne répondante en matière de protection des renseignements personnels de l’unité, ou à défaut, à votre gestionnaire.
Si vous devez signaler l’incident en dehors des heures ouvrables, vous pouvez communiquer avec le Bureau de la sûreté de l’Université de Montréal au poste 7771.
Si vous êtes étudiant ou étudiante :
Signalez l’incident de confidentialité au Secrétariat général à vie-privee@umontreal.ca ou au 514 343-5635.
Si vous êtes membre du personnel de recherche :
Si l’incident de confidentialité concerne des personnes participant à votre projet de recherche, il doit être signalé à votre comité d’éthique de la recherche.
Il est important de signaler tout incident, même si la situation ne vous semble pas sérieuse. En cas de doute, considérez que vous êtes en présence d’un incident de confidentialité.
À titre d’aide-mémoire, vous pouvez consulter la procédure de gestion des incidents de confidentialité.