Règl. de l'Ont. 224/17: DISPOSITIONS GÉNÉRALES, PROTECTION DES RENSEIGNEMENTS PERSONNELS SUR LA SANTÉ (LOI DE 2004 SUR LA)
RÈGLEMENT DE L’ONTARIO 224/17
pris en vertu de la
Loi de 2004 sur la protection des renseignements personnels sur la santé
pris le 28 juin 2017
déposé le 29 juin 2017
publié sur le site Lois-en-ligne le 29 juin 2017
imprimé dans la Gazette de l’Ontario le 15 juillet 2017
modifiant le Règl. de l’Ont. 329/04
(dispositions générales)
1. Le Règlement de l’Ontario 329/04 est modifié par adjonction des articles suivants :
Avis au commissaire : par. 12 (3) de la Loi
6.3 (1) Les circonstances dans lesquelles un dépositaire de renseignements sur la santé est tenu d’aviser le commissaire pour l’application du paragraphe 12 (3) de la Loi sont les suivantes :
1. Le dépositaire de renseignements sur la santé a des motifs raisonnables de croire que des renseignements personnels sur la santé dont il a la garde ou le contrôle ont été utilisés ou divulgués sans autorisation par une personne qui savait ou aurait dû savoir qu’elle les utilisait ou les divulguait sans autorisation.
2. Le dépositaire de renseignements sur la santé a des motifs raisonnables de croire que des renseignements personnels sur la santé dont il a la garde ou le contrôle ont été volés.
3. Le dépositaire de renseignements sur la santé a des motifs raisonnables de croire qu’après la perte initiale de renseignements personnels sur la santé dont il a la garde ou le contrôle, ou leur utilisation ou divulgation initiales sans autorisation, ces renseignements ont été à nouveau utilisés ou divulgués, ou le seront à nouveau, sans autorisation.
4. La perte ou l’utilisation ou la divulgation sans autorisation de renseignements personnels sur la santé s’inscrit dans un contexte de pertes similaires, ou d’utilisations ou de divulgations similaires sans autorisation, de renseignements personnels sur la santé dont le dépositaire de renseignements sur la santé a la garde ou le contrôle.
5. Le dépositaire de renseignements sur la santé est tenu de donner un avis à un ordre d’un événement visé à l’article 17.1 de la Loi qui a trait à la perte ou à l’utilisation ou la divulgation sans autorisation de renseignements personnels sur la santé.
6. Le dépositaire de renseignements sur la santé serait tenu de donner un avis à un ordre, si un de ses mandataires était membre de l’ordre, d’un événement visé à l’article 17.1 de la Loi qui a trait à la perte ou à l’utilisation ou la divulgation sans autorisation de renseignements personnels sur la santé.
7. Le dépositaire de renseignements sur la santé établit que la perte ou l’utilisation ou la divulgation sans autorisation de renseignements personnels sur la santé est importante, compte tenu de toutes les circonstances pertinentes, notamment :
i. La question de savoir si les renseignements personnels sur la santé qui ont été perdus ou utilisés ou divulgués sans autorisation sont d’une nature délicate.
ii. La question de savoir si la perte ou l’utilisation ou la divulgation sans autorisation de renseignements personnels sur la santé concernait un volume considérable de renseignements.
iii. La question de savoir si la perte ou l’utilisation ou la divulgation sans autorisation de renseignements personnels sur la santé concernait de nombreux particuliers.
iv. La question de savoir si plus d’un dépositaire de renseignements sur la santé ou mandataire était responsable de la perte ou de l’utilisation ou de la divulgation sans autorisation des renseignements personnels sur la santé.
(2) La définition qui suit s’applique au présent article.
«ordre» Ordre au sens du paragraphe 17.1 (1) de la Loi.
Rapport annuel : vol ou perte de renseignements
6.4 (1) À compter de 2019, un dépositaire de renseignements sur la santé présente au commissaire, au plus tard le 1er mars de chaque année, un rapport précisant le nombre de fois, au cours de l’année civile précédente, où chacun des événements suivants s’est produit :
1. Des renseignements personnels sur la santé dont le dépositaire a la garde ou le contrôle ont été volés.
2. Des renseignements personnels sur la santé dont le dépositaire a la garde ou le contrôle ont été perdus.
3. Des renseignements personnels sur la santé dont le dépositaire a la garde ou le contrôle ont été utilisés sans autorisation.
4. Des renseignements personnels sur la santé dont le dépositaire a la garde ou le contrôle ont été divulgués sans autorisation.
(2) Le rapport est transmis au commissaire selon les moyens électroniques et sous le format qu’établit ce dernier.
Entrée en vigueur
2. Le présent règlement entre en vigueur le dernier en date du 1er octobre 2017 et du jour de son dépôt.