Politique du cabinet concernant la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25)

Le cabinet met en place des mesures de sécurité appropriées et raisonnables afin de protéger les renseignements personnels contre la perte ou le vol, et contre l’accès, la divulgation, la copie, l’utilisation ou la modification non autorisés par la loi. Seuls les membres du personnel qui doivent absolument avoir accès aux renseignements personnels dans le cadre de leurs fonctions sont autorisés à y accéder et s’engage à :

  • Faire des efforts raisonnables pour minimiser le risque de divulgation non intentionnelle de renseignements personnels;

  • Prendre des précautions particulières pour s’assurer que les renseignements personnels ne sont pas surveillés, entendus, consultés ou perdus lorsqu’elles travaillent dans des locaux autres que les bureaux du cabinet;

  • Prendre des mesures raisonnables pour protéger les renseignements personnels lorsqu’elles se déplacent d’un endroit à l’autre.

SIGNALEMENT D’UN INCIDENT DE CONFIDENTIALITÉ

Toute personne à laquelle le cabinet communique des renseignements personnels (collègues, fournisseurs, partenaires, experts incluant les sous-traitants) doit effectuer un signalement lorsqu’elle a un motif raisonnable de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel détenu par le cabinet. Pour ce faire, ce signalement doit être effectué sans délai à la personne responsable de la protection des renseignements personnels.

Le membre du cabinet ou un membre du personnel qui a un motif raisonnable de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel détenu par le cabinet doit aussi aviser son supérieur hiérarchique ou la personne responsable de la protection des renseignements personnels sans délai.

PERSONNES RESPONSABLE DES RENSEIGNEMENTS PERSONNELS (PRP) : RÔLES ET RESPONSABLITÉS

La personne responsable de la protection des renseignements personnels pour le cabinet est Me Mélissa Schetagne. Elle peut être rejointe aux coordonnées suivantes :

Courriel : melissa@caronschetagne.com
Téléphone : 438-265-1333

Son rôle est notamment de :

  • Contribuer à la mise en place du processus de gestion des incidents de sécurité de l’information ;

  • Tenir à jour le registre des incidents de sécurité de l’information ayant pu mettre en péril la sécurité de l’information, de documenter ces incidents et d’en tenir informé la directrice ou le directeur de la sécurité de l’information ainsi que la secrétaire générale ou le secrétaire général ;

  • Contribuer aux analyses de risques de sécurité de l’information afin d’identifier les menaces et les situations de vulnérabilité et de mettre en place les solutions appropriées.

En cas d’incident de confidentialité, la personne responsable de la protection des renseignements personnels prend en charge le traitement de l’incident et s’a

  • Évalue le risque qu’un préjudice soit causé et en détermine le degré de sévérité. Lors de cette évaluation, sont considérées notamment la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables.

  • Avise, avec diligence, la personne dont un renseignement personnel est concerné par l’incident, lorsqu’il présente un risque qu’un préjudice sérieux soit causé, sauf lorsque cela serait susceptible d’entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois. Avise, le cas échéant, toute personne ou tout organisme susceptible de diminuer le risque, en ne lui communiquant que les renseignements personnels nécessaires à cette fin, sans le consentement de la personne concernée.

  • Avise, avec diligence et par écrit, la Commission d’accès à l’information de l’incident de confidentialité lorsqu’il présente un risque qu’un préjudice sérieux soit causé.

  • Avise, avec diligence, les assureurs du cabinet, le cas échéant.

  • Inscris l’incident de confidentialité dans le registre prévu à cet effet.

  • Sur demande de la Commission d’accès à l’information, transmets une copie de ce registre.


REGISTRE DES INCIDENTS DE CONFIDENTIALITÉ

Le cabinet s’engage à conserver un registre des incidents de confidentialité.

Les renseignements contenus au registre doivent être tenus à jour et conservés pendant la plus longue des deux périodes ci-après : pendant une période minimale de cinq ans après la date à laquelle le cabinet a pris connaissance de l’incident ou la période requise par le Barreau du Québec pour la conservation des dossiers.