Table des matières
| Masquer
Loi sur la protection des renseignements personnels et les documents électroniques
[Expand]TITRE ABRÉGÉ
[Expand]PARTIE 1 - PROTECTION DES RENSEIGNEMENTS PERSONNELS DANS LE SECTEUR PRIVÉ
[Expand]PARTIE 2 - DOCUMENTS ÉLECTRONIQUES
[Expand]PARTIE 3 - MODIFICATION DE LA LOI SUR LA PREUVE AU CANADA
[Expand]PARTIE 4 - MODIFICATION DE LA LOI SUR LES TEXTES RÉGLEMENTAIRES
[Expand]PARTIE 5 - MODIFICATION DE LA LOI SUR LA RÉVISION DES LOIS
[Expand]PARTIE 6 - ENTRÉE EN VIGUEUR
 ANNEXE 1 - Principes énoncés dans la norme nationale du Canada intitulée Code type sur la protection des renseignements personnels, CAN/CSA-Q830-96
 ANNEXE 2
 ANNEXE 3
 ANNEXE 4
 
Sélectionner       eDICTIONNAIRE

Article 10.1

 
Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c. 5
 
PARTIE 1 - Protection des renseignements personnels dans le secteur privé \ SECTION 1.1 - Atteintes aux mesures de sécurité
 
 

À jour au 1er avril 2024
Article 10.1
Déclaration au commissaire
(1)L’organisation déclare au commissaire toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elle a la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu.
Modalités de la déclaration
(2)La déclaration contient les renseignements prévus par règlement et est faite, selon les modalités réglementaires, le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte.
Avis à l’intéressé
(3)À moins qu’une règle de droit ne l’interdise, l’organisation est tenue d’aviser l’intéressé de toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels le concernant et dont elle a la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à son endroit.
Contenu de l’avis
(4)L’avis contient suffisamment d’information pour permettre à l’intéressé de comprendre l’importance, pour lui, de l’atteinte et de prendre, si cela est possible, des mesures pour réduire le risque de préjudice qui pourrait en résulter ou pour atténuer un tel préjudice. Il contient aussi tout autre renseignement réglementaire.
Modalités de l’avis
(5)L’avis est manifeste et est donné à l’intéressé directement, selon les modalités réglementaires. Dans les circonstances prévues par règlement, il est donné indirectement, selon les modalités réglementaires.
Délai de l’avis
(6)L’avis est donné le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte.
Définition de préjudice grave
(7)Pour l’application du présent article, préjudice grave vise notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles.
Risque réel de préjudice grave : facteurs
(8)Les éléments servant à établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave à l’endroit de l’intéressé sont notamment le degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être et tout autre élément prévu par règlement.
2015, ch. 32, art. 10; 
Section 10.1
Report to Commissioner
(1)An organization shall report to the Commissioner any breach of security safeguards involving personal information under its control if it is reasonable in the circumstances to believe that the breach creates a real risk of significant harm to an individual.
Report requirements
(2)The report shall contain the prescribed information and shall be made in the prescribed form and manner as soon as feasible after the organization determines that the breach has occurred.
Notification to individual
(3)Unless otherwise prohibited by law, an organization shall notify an individual of any breach of security safeguards involving the individual’s personal information under the organization’s control if it is reasonable in the circumstances to believe that the breach creates a real risk of significant harm to the individual.
Contents of notification
(4)The notification shall contain sufficient information to allow the individual to understand the significance to them of the breach and to take steps, if any are possible, to reduce the risk of harm that could result from it or to mitigate that harm. It shall also contain any other prescribed information.
Form and manner
(5)The notification shall be conspicuous and shall be given directly to the individual in the prescribed form and manner, except in prescribed circumstances, in which case it shall be given indirectly in the prescribed form and manner.
Time to give notification
(6)The notification shall be given as soon as feasible after the organization determines that the breach has occurred.
Definition of significant harm
(7)For the purpose of this section, significant harm includes bodily harm, humiliation, damage to reputation or relationships, loss of employment, business or professional opportunities, financial loss, identity theft, negative effects on the credit record and damage to or loss of property.
Real risk of significant harm — factors
(8)The factors that are relevant to determining whether a breach of security safeguards creates a real risk of significant harm to the individual include
(a)the sensitivity of the personal information involved in the breach;
(b)the probability that the personal information has been, is being or will be misused; and
(c)any other prescribed factor.
2015, c. 32, s. 10; 
Version officielle
Official Version

Législation citée  
Lancer une requête de législation citée, pour l'article, en
 
Haut

Règlements associés  
 
Haut

Les lois du Québec sont reproduites avec l'autorisation de l'Éditeur officiel du Québec.
Les Code civil du Bas Canada et Code civil du Québec (1980) sont reproduits avec l'autorisation de Wilson et Lafleur.