Vincent Gautrais

Roger Nzouetchep Ketat est étudiant dans le cadre du cours DRT6929 (Vie privée + Numérique) (Hiver 2026)

La protection des renseignements personnels constitue un enjeu majeur pour les organisations, publiques comme privées, dans un contexte caractérisé par la numérisation accrue des services et la circulation importante de l’information. Afin de prévenir et de limiter les conséquences des incidents de confidentialité, plusieurs États, notamment parmi les pays développés, ont procédé à la modernisation de leur cadre législatif ou à l’adoption de nouvelles mesures en matière de protection des renseignements personnels. Ces évolutions ont entraîné un renforcement des obligations des organisations, tant publiques que privées, en matière de confidentialité, de sécurité de l’information et de reddition de comptes.

Dans ce contexte, les incidents de confidentialité demeurent une préoccupation constante. À titre d’exemple, un incident récent survenu au Nouveau‑Brunswick, impliquant l’envoi par erreur les numéros d’assurance maladie de plus de 350 ménages à une mauvaise adresse, a compromis la confidentialité de nombreuses personnes. Selon l’article du journal, le gouvernement du Nouveau-Brunswick explique que certaines personnes

« pourraient avoir reçu par la poste des renseignements sur l’assurance-maladie appartenant à d’autres personnes en même temps que les leurs ».

Cet événement met en lumière l’importance d’une gestion rigoureuse et conforme des renseignements personnels.

Le numéro d’assurance maladie est considéré comme un renseignement personnel sensible en raison de son lien direct avec la santé et l’intimité des personnes. Il nécessite donc une protection élevée afin éviter l’usurpation d’identité ou l’accès non autorisé à des dossiers médicaux. La communication de ce numéro à des tiers non autorisés constitue, selon la législation du Nouveau-Brunswick, une atteinte non justifiée à la vie privée au sens de l’art. 21(2) de la  .

Au Nouveau Brunswick, notamment dans le secteur public, dès qu’une atteinte à la vie privée est présumée ou découverte, l’organisme visé doit prendre un certain nombre de mesures :

Dans un premier temps, il doit limiter l’atteinte. Cela consiste, entre autres, à signaler immédiatement l’incident au responsable de la protection de la vie privée, à procéder à une première évaluation, à prendre des mesures immédiates pour mettre fin à l’atteinte et empêcher toute nouvelle communication des renseignements personnels, à sécuriser et, lorsque possible, à récupérer les renseignements personnels déjà communiqués, ainsi qu’à déterminer les personnes qui doivent être informées au sein de l’organisation.

Dans un deuxième temps, l’organisme doit procéder à une évaluation des risques. Il s’agit notamment d’identifier le type de renseignements personnels concerné par l’atteinte et d’en évaluer le niveau de sensibilité, de déterminer la cause et l’ampleur de l’atteinte, le nombre de personnes touchées ainsi que les dommages prévisibles pour les personnes concernées.

Troisièmement, l’organisme doit fournier un avis. Cette étape consiste, entre autres, à informer les personnes concernées ainsi que l’Ombud, organisme chargé notamment d’enquêter sur les plaintes du public en matière d’atteinte à la vie privée.

Quatrièmement, il doit mettre en place des mesures visant à prévenir de futures atteintes. Cela consiste à formuler les recommandations à la suite d’une enquête afin d’éviter qu’une atteinte similaire ne se reproduise, ainsi qu’à élaborer un plan de mise en œuvre des recommandations et des mesures correctives.

Finalement, le Règlement général pris en vertu de la LDIPVP, exige à son alinéa 4.2(4)b), que les organismes publics tiennent un registre de chaque atteinte véritable à la vie privée ainsi des mesures correctives prises.

Le ministre responsable de Service Nouveau-Brunswick, rapporte l’article, assure que le problème ayant causé cette erreur a été corrigé et que des démarches visant à atténuer les répercussions de l’incident sur les personnes concernées ont été entreprises. Il est également précisé que toutes les personnes touchées seront contactées par l’assurance maladie.

À des fins de comparaison, dans l’hypothèse où l’incident serait survenu au Québec, celui-ci aurait été assujetti au régime juridique établi par les articles 63.8 à 63.11 ainsi que par l’article 127.2 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. a-2.1) (Loi sur l’accès), de même que les orientations de la Commission d’accès à l’information (CAI).

En cas d’incident de confidentialité, l’organisme doit, premièrement, prendre des mesures raisonnables pour minimiser les risques et prévenir la survenance de nouveaux incidents. Deuxièmement, il doit évaluer si l’incident présente un risque de préjudice sérieux, notamment en appréciant la gravité du risque pour toutes les personnes concernées, et ce, en concertation avec le responsable de la protection des renseignements personnels. Troisièmement, il doit aviser la CAI ainsi que les personnes concernées, de même que toute personne ou tout organisme susceptible de prévenir ou de réduire le risque de préjudice sérieux. Enfin il doit tenir un registre des incidents de confidentialité.

Comme on peut le constater, en matière d’incident de confidentialité ou d’atteinte à la vie privée, les obligations des organismes publics au Nouveau-Brunswick et au Québec semblent essentiellement les mêmes, à l’exception des pouvoirs de l’Ombud et de la CAI.

La CAI est un organisme public indépendant doté d’un pouvoir de surveillance et d’un pouvoir juridictionnel  à titre de tribunal administratif, dont le champ d’application s’étant tant au secteur public qu’au secteur privé. Elle dispose du pouvoir de rendre des décisions exécutoires. En vertu de l’art. 127.2 de la Loi sur l’accès, lorsqu’un incident de confidentialité est porté à sa connaissance, elle peut ordonner à toute personne l’application de toute mesure visant à protéger les droits des personnes concernées que la loi leur reconnaît, pour la durée et aux conditions qu’elle détermine.

L’ombud, quant à lui, est un agent indépendant de l’Assemblée législative qui agit comme mécanisme d’enquête et de recommandation, sans pouvoir juridictionnel (art. 64.1(1) et 68(1) LDIPVP). Son champ d’application se limite principalement au secteur public.

Depuis la fin juillet 2025, le gouvernement du Nouveau-Brunswick a amorcé une révision de la Loi sur le droit à l’information et la protection de la vie privée. L’un des enjeux de cette réforme concerne précisément la possibilité de doter l’Ombud des pouvoirs d’un organisme d’examen indépendant, comme il est indiqué  à la page 9 du document de travail.

 

Ce contenu a été mis à jour le 18 février 2026 à 16 h 39 min.