Lois et règlements

2018-24 - Loi sur le droit à l’information et la protection de la vie privée

Table des matières
Texte intégral
RÈGLEMENT DU
NOUVEAU-BRUNSWICK 2018-24
pris en vertu de la
Loi sur le droit à l’information
et la protection de la vie privée
(D.C. 2018-100)
Déposé le 26 mars 2018
1Le Règlement du Nouveau-Brunswick 2010-111 pris en vertu de la Loi sur le droit à l’information et la protection de la vie privée est modifié par l’adjonction de ce qui suit après l’article 4 :
Accords de prestation de services, de programmes ou d’activités communs ou intégrés
4.1(1)Aux fins d’application de l’alinéa 46.2(2)b) de la Loi, tout accord écrit conclu en vue de la fourniture d’un service, d’un programme ou d’une activité commun ou intégré renferme les renseignements suivants :
a) une description du service, du programme ou de l’activité en question;
b) les objets ou les résultats ou bénéfices prévus du service, du programme ou de l’activité;
c) les rôles et les responsabilités de chaque partie à l’accord;
d) les types de renseignements personnels qui seront recueillis, utilisés ou communiqués par chaque partie au cours de cette fourniture;
e) un sommaire des mesures de sécurité relatives aux renseignements personnels que chaque partie a prises en application du paragraphe 48.1(1) de la Loi;
f) la date à laquelle débutera le service, le programme ou l’activité et, le cas échéant, celle à laquelle il prendra fin.
4.1(2)En cas de retrait d’une partie à l’accord :
a) il est interdit à cette partie d’utiliser ou de communiquer des renseignements personnels obtenus dans le cadre de l’accord sauf dans l’un ou l’autre des cas suivants :
(i) la personne que visent les renseignements personnels y a consenti au préalable,
(ii) la loi l’exige ou l’autorise;
b) tant qu’elle a la garde ou la responsabilité de renseignements personnels obtenus dans le cadre de l’accord, cette partie demeure tenue aux pratiques relatives aux renseignements qui étaient en vigueur immédiatement avant son retrait.
Pratiques relatives aux renseignements
4.2(1)Les définitions qui suivent s’appliquent au présent article.
« atteinte à la vie privée » Tout incident d’accès, d’utilisation, de communication ou d’élimination non autorisés de renseignements personnels dont a la garde ou la responsabilité un organisme public.(privacy breach)
« préjudice grave » S’entend notamment d’une lésion corporelle, de l’humiliation, du dommage à la réputation ou aux relations, de la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles, d’une perte financière, du vol d’identité, de l’effet négatif sur le dossier de crédit et du dommage aux biens ou de leur perte.(significant harm)
4.2(2)L’organisme public prend les mesures de sécurité qui suivent relativement aux renseignements personnels dont il a la garde ou la responsabilité :
a) il désigne :  
(i) les noms ou les catégories de ses cadres, administrateurs, employés ou mandataires qui sont autorisés à avoir accès à ces renseignements personnels,
(ii) les catégories de renseignements personnels auxquelles ont accès ces personnes ou ces catégories de personnes,
(iii) les modes d’accès à ces renseignements personnels qui sont permis à ces personnes ou à ces catégories de personnes;
b) il ne permet l’accès à ces renseignements personnels qu’aux personnes ou aux catégories de personnes autorisées conformément à l’alinéa a);
c) il veille à ce que les demandes de communication de renseignements personnels auxquelles il répond en vertu de la Loi contiennent suffisamment de détails pour identifier uniquement la personne physique que visent ces renseignements personnels;
d) il prévoit les mesures qui suivent, lesquelles doivent convenir dans chaque cas aussi bien au degré de risque pour ce qui est de l’accès, de l’utilisation, de la communication ou de l’élimination non autorisés des renseignements personnels, qu’au degré du préjudice susceptible d’en découler :
(i) en ce qui concerne les personnes qui sollicitent l’accès à ces renseignements personnels, la vérification de leur identité, des catégories de renseignements personnels auxquelles elles ont accès et des modes d’accès qui leur sont permis en vertu de l’alinéa a),
(ii) l’enregistrement et la surveillance des accès à ces renseignements personnels,
(iii) la protection de ces renseignements personnels aussi bien lorsqu’ils sont stockés que lorsqu’ils sont transmis.
4.2(3)En ce qui concerne toute mesure de sécurité que prend l’organisme public en vertu du paragraphe (2) ou du paragraphe 48.1(1) de la Loi :
a) il en exige le respect par ses cadres, administrateurs, employés et mandataires;
b) il prévoit la mise à l’essai et l’évaluation périodiques de leur efficacité.
4.2(4)En ce qui concerne les atteintes à la vie privée, l’organisme public prend les mesures suivantes :
a) il fait enquête sur chaque atteinte véritable ou soupçonnée qui lui est signalée;
b) il tient un registre de chaque atteinte véritable qui lui est signalée ainsi que des mesures correctives qu’il a prises relativement à celle-ci pour réduire le risque qu’elle ne se reproduise;
c) il avise dès que possible l’intéressé de toute atteinte qui concerne ses renseignements personnels s’il est raisonnable de croire, dans les circonstances, qu’elle présente un risque de préjudice grave à son endroit;
d) il avise dès que possible le Commissaire de toute atteinte signalée à l’intéressé en application de l’alinéa c).
4.2(5)Les éléments servant à établir si une atteinte à la vie privée présente un risque de préjudice grave à l’endroit de l’intéressé sont notamment :
a) le degré de sensibilité des renseignements personnels en question;
b) la probabilité qu’on fait, qu’on a fait ou qu’on fera une utilisation abusive de ces renseignements personnels.
4.2(6)S’agissant de la conservation et de l’élimination de renseignements personnels, il demeure entendu que les organismes publics sont tenus aux tableaux de conservation de documents qu’élabore l’archiviste provincial en vertu de la Loi sur les archives, à l’exclusion des organismes d’éducation suivants :
a) Université du Nouveau-Brunswick;
b) Université de Moncton;
c) St. Thomas University;
d) Mount Allison University.
2Le présent règlement entre en vigueur le 1er avril 2018.