Opinions

Bris de confidentialité : cinq choses à faire

Main image

Erin Schachter, Sébastien Meunier Et Thomas Bernier-villeneu

2022-05-31 11:15:00

Que faire en cas de violation de vos renseignements personnels ? Des avocats vous offrent quelques conseils…

Erin Schachter, Sébastien Meunier et Thomas Bernier-Villeneuve, les auteurs de cet article. Source: Therrien Couture Joli-Coeur
Erin Schachter, Sébastien Meunier et Thomas Bernier-Villeneuve, les auteurs de cet article. Source: Therrien Couture Joli-Coeur
La ''Loi visant à moderniser les dispositions législatives en matière de protection des renseignements personnels''(1) (la « Loi 25 », anciennement le Projet de loi n° 64) contient des dispositions qui entreront en vigueur à compter du 22 septembre 2022.

Comme son nom l'indique, cette loi vise à moderniser et à renforcer le cadre juridique québécois actuel en matière de respect de la vie privée et de protection des renseignements personnels, dont la ''Loi sur la protection des renseignements personnels dans le secteur privé''(2) (la « ''Loi du secteur privé'' ») fait partie. À titre d’exemple, les entreprises et autres organisations qui sont assujetties à la Loi 25 se verront imposer des obligations et responsabilités plus importantes, notamment ce qui a trait au signalement obligatoire de tout incident de confidentialité pouvant causer un préjudice grave aux personnes concernées(3). Cette obligation de signalement existe déjà en vertu de la loi fédérale canadienne (la ''Loi sur la protection des renseignements personnels et les documents électroniques''(4)), ainsi que dans d'autres juridictions étrangères, comme l’Union européenne(5). Pour en savoir plus sur le signalement obligatoire, vous pouvez consulter notre article publié le 9 mars 2022.

Le signalement n’est pas la seule obligation qu'une entreprise doit prendre en compte lorsqu'elle fait face à un incident de confidentialité, peu importe la cause.

Afin de vous aider à comprendre comment gérer un incident de confidentialité lorsqu’il se produit, nous avons préparé les directives générales suivantes. Nous vous encourageons à prendre connaissance de ces directives et à évaluer si votre entreprise a mis en place les mesures nécessaires pour se conformer à ses obligations légales et être prête à réagir en cas d’incident(6).

Liste de contrôle en cas d’incident de confidentialité :

Étape 1 : Rassemblez votre équipe et menez une enquête préliminaire

Le principe de « responsabilité » est l’un des piliers de la Loi 25(7) : les entreprises sont responsables des renseignements personnels qu’elles traitent dans le cadre de leurs activités et opérations, et ce, même lorsque ces renseignements sont gérés ou conservés par un tiers. À ce titre, votre organisation doit désigner, au minimum, un responsable de la gestion des incidents et veiller à ce que cette personne connaisse son rôle et ses responsabilités. En cas d’incident, le responsable et son équipe devront, dans les plus brefs délais, procéder à une enquête préliminaire et minimiser tout risque de préjudice pour les personnes concernées par l’incident.

A. Comprendre la nature de l’incident

Pour être en mesure de gérer un incident de confidentialité adéquatement, il faut tout d’abord comprendre ce qui s’est passé : un de vos employés a-t-il commis une erreur en cliquant sur un hyperlien contenu dans un courriel? Un de vos dirigeants a-t-il oublié son ordinateur portable dans un avion? Vos systèmes informatiques ont-ils été piratés par des cybercriminels? En plus de chercher à comprendre comment l’événement s’est produit, il est également crucial de déterminer si l’incident est en toujours en cours ou s’il a été effectivement interrompu.

Pour bien comprendre la source et les circonstances qui ont conduit à cet incident, assurez-vous de travailler de concert avec des professionnels en technologie et en sécurité de l’information.

B. Identifiez les renseignements qui ont été compromis

En principe, l’ensemble des renseignements personnels que vous traitez doit être documenté et catalogué, y compris les informations de nature sensible relatives à la propriété intellectuelle de votre entreprise et à des tiers (ex. : vos partenaires d’affaires), et ce, tout au long de leur cycle de vie. Lorsque des renseignements personnels ont été compromis par un incident de confidentialité, il faut alors déterminer combien de personnes peuvent avoir été touchées par l’incident et le risque de préjudice qu’elles courent.

Il est recommandé de consulter des professionnels du droit pour vous aider à déterminer si vos activités de traitement des renseignements personnels comportent des risques de préjudice grave.

C. Consultez vos politiques internes et vos contrats conclus avec des tiers

Après avoir circonscrit l’incident, déterminé qui sont les personnes affectées et évalué le niveau de risque en jeu, le responsable de la protection des renseignements personnels et son équipe doivent consulter les politiques internes de l’entreprise, incluant le plan de réponse aux incidents et le protocole de communication, ainsi que l’ensemble des contrats conclus avec des tiers afin de s’assurer que la réponse de son équipe se fasse en conformité avec ces politiques.

En principe, les politiques internes de l’entreprise doivent prévoir des stratégies de gestion de risques, incluants :
  • Les différents types d’incidents susceptibles d’affecter l’entreprise qui peuvent être qualifiés d’« incident de confidentialité »;

  • Les types de scénarios pouvant entraîner un risque de préjudice grave pour un individu;

  • Les types d’incidents qui requièrent un signalement aux autorités compétentes et une notification aux personnes concernées.


Il est recommandé de consulter des professionnels du droit pour vous aider à élaborer ces politiques et passer en revue vos contrats conclus avec des tiers.

Si votre entreprise ne dispose pas encore de politique en matière de respect de la vie privée et de protection des renseignements personnels, nous vous recommandons d’entreprendre des démarches de conformité à Loi 25 dès aujourd’hui. La Loi 25 stipule explicitement que les entreprises sont responsables de la protection des renseignements personnels qu’elles traitent en plus de prévoir l’obligation d’établir et de mettre en œuvre des politiques et des pratiques encadrant leur gouvernance à l’égard de ces renseignements. De plus, la mise en place d’un programme de gouvernance complet peut prendre plusieurs mois pour se réaliser.

D. Consultez vos polices d’assurance (le cas échéant)

Si vous avez souscrit une police d’assurance contre les cyberrisques et les atteintes à la confidentialité, il est important que votre équipe en connaisse les conditions et les modalités et qu’elle sache à quel moment contacter l’assureur. Par exemple, votre assureur pourrait vous obliger à faire appel à ses propres experts mandatés pour enquêter sur l’incident sous peine de refus de votre réclamation. Il est donc important de bien vérifier les conditions et modalités de votre police d’assurance avant d’agir ou vous risquez d’être déclaré inéligible à la couverture de votre police.

Étape 2 : Signalement aux autorités compétentes et notification aux personnes concernées (le cas échéant)

À compter du 22 septembre 2022, les entreprises privées devront aviser la Commission d’accès à l’information (la « CAI ») et les personnes concernées de tout incident de confidentialité impliquant un renseignement personnel qu’ils détiennent et présentant un risque de préjudice sérieux(8). Il est donc primordial de s’assurer que tous les rapports ou avis requis par la loi soient déposés auprès des autorités compétentes et des personnes concernées en temps opportun et selon les modalités prescrites par la loi. Pour plus d’informations sur le signalement d’un incident de confidentialité au Québec, veuillez consulter notre article ici.

Mentionnons qu’une pratique exemplaire consiste à préparer à l’avance des lettres de notification et d’établir une stratégie de gestion des personnes touchées par l’incident. Ainsi, en plus d’informer les personnes concernées, il est possible de déterminer à l’avance des initiatives qui seront mises en place en cas d’incident de manière à réduire les conséquences négatives pour les personnes touchées. Par exemple, il peut s’agir d’une ligne d’assistance dédiée à la gestion de l’incident, d’un accès gratuit à des services de surveillance du crédit, de la possibilité de communiquer avec un représentant de l’entreprise ou de tout autre service que vous souhaitez offrir à ces personnes. La personne chargée de répondre aux questions des personnes concernées devrait être désignée à l’avance afin d’éviter toute confusion ou tout retard inutile.

Étape 3 : Signalement à des tiers (le cas échéant)

Votre organisation a-t-elle l’obligation de signaler les incidents à ces tiers en vertu de contrats? Outre la notification aux autorités compétentes et aux personnes concernées, il est important de tenir compte des contrats conclus avec des tiers, tels des fournisseurs de services ou tout autre partenaire d’affaires. En vertu de ces contrats, votre entreprise pourrait avoir l’obligation de signaler l’incident de confidentialité à certains tiers ou de notifier l’incident à ces tiers dans un certain délai.

Étape 4 : Mise à jour du registre des incidents de confidentialité

La Loi 25(9), tout comme la loi fédérale canadienne(10), prévoit l’obligation pour les entreprises de tenir un registre des incidents de confidentialité afin de documenter tous les événements affectant ou pouvant affecter la confidentialité et la sécurité de vos données. Puisqu’il s’agit d’un outil essentiel de suivi, ce registre doit être détaillé autant que possible : il devrait notamment comprendre une description des faits relatifs à chacun des incidents, les causes et conséquences des atteintes ainsi que les mesures correctives qui ont été prises pour y remédier afin qu’il ne se reproduise pas. Ce travail de documentation est primordial : c’est ce qui permet à une autorité de contrôle, comme la CAI, de vérifier la conformité de votre entreprise à la loi.

Étape 5 : Mesures préventives et correctives

Une fois les premières étapes franchies, il est nécessaire de poursuivre votre enquête de manière approfondie afin d’identifier et de mettre en place les mesures correctives et préventives nécessaires. En pratique, il s’agit de passer en revue l’ensemble de vos mesures actuelles, y compris vos politiques, pratiques, formations, stratégies, mesures de sécurité ainsi que vos relations d’affaires afin d’identifier les mesures qui devront être mises en place pour minimiser les effets de l’incident, corriger toutes les lacunes identifiées lors de l’enquête approfondie et réduire les risques de récidive. Il peut s’agir, par exemple, de renégocier vos ententes contractuelles avec des tiers, de changer de fournisseur de services, de restreindre l’accès aux renseignements personnels, de former adéquatement vos employés, de souscrire à une police d’assurance contre les cyberrisques, de modifier vos politiques internes ou de mettre à jour vos solutions technologiques.

Ce processus peut prendre un certain temps et nécessiter l’intervention de professionnels du droit et de la sécurité de l’information.

Conclusion

La prévention est toujours de mise en matière de respect de la vie privée et de protection des renseignements personnels. Pour être prête à réagir rapidement et de manière efficace en cas d’incident de confidentialité, votre entreprise doit préalablement avoir établi et mis à l’essai un plan de réponse adéquat. Ces démarches préventives vous permettront d’atténuer les risques de préjudice pour les personnes concernées tout en protégeant votre entreprise.

Entreprenez des démarches dès maintenant pour vous assurer que votre organisation dispose d’un plan de réponse solide avant qu’elle ne soit confrontée à un incident de confidentialité.

Pour obtenir des conseils sur la mise en place d’un programme de gouvernance au sein de votre entreprise ou sur l’évaluation, le suivi et le respect de la conformité, contactez un membre de notre équipe qui pourra vous aider à atteindre vos objectifs.

À propos des auteurs

Erin Schachter est une avocate en litige à Laval exerçant principalement dans les domaines du droit de la propriété intellectuelle, du droit de la technologie, de la confidentialité des données ainsi que du droit international.
Sébastien Meunier exerce en droit des affaires et en droit des technologies de l’information depuis plus de 25 ans.
Thomas Bernier-Villeneuve est avocat au sein de l’équipe de droit des affaires, commercial et corporatif à Brossard. Ils exercent tous les trois chez Therrien Couture Joli-Coeur.
6165

Publier un nouveau commentaire

Annuler
Remarque

Votre commentaire doit être approuvé par un modérateur avant d’être affiché.

NETiquette sur les commentaires

Les commentaires sont les bienvenus sur le site. Ils sont validés par la Rédaction avant d’être publiés et exclus s’ils présentent un caractère injurieux, raciste ou diffamatoire. Si malgré cette politique de modération, un commentaire publié sur le site vous dérange, prenez immédiatement contact par courriel (info@droit-inc.com) avec la Rédaction. Si votre demande apparait légitime, le commentaire sera retiré sur le champ. Vous pouvez également utiliser l’espace dédié aux commentaires pour publier, dans les mêmes conditions de validation, un droit de réponse.

Bien à vous,

La Rédaction de Droit-inc.com

PLUS

Articles similaires