Opinions

Quelles sont les pratiques à adopter pour bien gérer les incidents de confidentialité?

Main image

Marc-andré Groulx

2022-11-08 11:15:00

Les fuites de données ne sont pas toujours le fruit d’un acte criminel. La simple négligence d’un employé peut causer des dommages importants pour l’entreprise…

Marc-André Groulx, l’auteur de cet article. Source: Site web de BCF
Marc-André Groulx, l’auteur de cet article. Source: Site web de BCF
De façon récurrente, les médias nous rapportent des incidents en lien avec des fuites de renseignements personnels d’envergures diverses dans des entreprises qui, pourtant, sont réputées être à la fine pointe du point de vue de la gestion des données.

Ces fuites ne sont pas toujours le fruit d’actes criminels : la simple négligence d’un employé peut, malheureusement, causer des dommages pécuniaires – et réputationnels – importants pour une entreprise, ses clients et ses fournisseurs. Dans le cadre de saines pratiques commerciales, l’important demeure toutefois de limiter le plus possible de tels dommages.

C’est en ayant ceci à l’esprit que l’Assemblée nationale a introduit de nouvelles dispositions dans la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi ») afin d’encadrer les actions des entreprises lorsque se produisent de tels incidents. Ces dispositions sont entrées en vigueur le 22 septembre 2022.

Qu’est-ce qu’un incident de confidentialité?

L’article 3.6 de la Loi définit largement ce que constitue un incident de confidentialité :

3.6. Pour l’application de la présente loi, on entend par « incident de confidentialité » :
  • l’accès non autorisé par la loi à un renseignement personnel;

  • l’utilisation non autorisée par la loi d’un renseignement personnel;

  • la communication non autorisée par la loi d’un renseignement personnel;

  • la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.

  • Ainsi, le vol d’un ordinateur portable ou d’un dossier physique, une attaque informatique, l’envoi erroné d’un courriel contenant des renseignements personnels à une personne étrangère à l’entreprise ou la perte d’un attaché-case dans un lieu public constituent des exemples courants d’incidents de confidentialité.

    Ce que les organisations doivent faire

    Implanter un registre des incidents de confidentialité. La Loi impose aux entreprises de tenir un registre des incidents de confidentialité. Le règlement prévoyant le contenu minimal de ce registre n’a pas encore été adopté, bien qu’un projet de règlement ait été publié le 29 juin dernier.

    Si le projet de règlement est adopté tel quel, le registre devra donc contenir minimalement les éléments suivants :
  • Une description des renseignements personnels visés par l’incident;

  • Une brève description des circonstances de l’incident;

  • La date ou la période où l’incident est survenu;

  • La date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident;

  • Le nombre de personnes concernées par l’incident (ou son approximation);

  • Une description des éléments qui amènent l’organisation à conclure s’il existe ou non un risque de préjudice sérieux aux personnes concernées;

  • En présence d’un préjudice sérieux, les dates de transmission des avis requis à la Commission d’accès à l’information du Québec (la « Commission») et aux personnes concernées;

  • Une brève description des mesures prises afin de diminuer les risques qu’un préjudice soit causé.

  • L’obligation de tenir un registre existe malgré le fait que le règlement n’ait pas été formellement adopté. Une bonne pratique consiste donc à ce que le registre implanté contienne minimalement les informations nécessaires contenues au projet de règlement.

    En présence d’un risque d’un préjudice sérieux : avisez la Commission et les personnes concernées

    La Loi prévoit également que si l’incident présente un risque de préjudice sérieux, l’entreprise doit en aviser la Commission et les personnes concernées par l’incident. La Commission a déjà publié le modèle d’avis à lui notifier; quant aux personnes visées, l’avis devra minimalement contenir, suivant l’adoption du projet de règlement, les mentions suivantes :
  • Une description des renseignements personnels visés par l’incident;

  • Une brève description des circonstances de l’incident;

  • La date ou la période où l’incident a eu lieu;

  • Une brève description des mesures prises ou qui seront prises à la suite de l’incident, afin de diminuer les risques de préjudice;

  • Les mesures que l’organisation suggère à la personne concernée de prendre afin de diminuer le risque de préjudice ou d’atténuer le préjudice;

  • Les coordonnées permettant à la personne concernée de se renseigner davantage relativement à l’incident.

La notion de préjudice sérieux n’a pas été clairement définie dans la Loi, bien que les critères d’évaluation l’aient été.

Ainsi, la sensibilité du renseignement concerné, les conséquences appréhendées de l’utilisation du renseignement personnel et la probabilité que celui-ci soit utilisé à des fins préjudiciables constituent les critères à soupeser par l’entreprise et son responsable de la protection des renseignements personnels.

Les débats parlementaires, de leur côté, sont un peu plus éloquents sur la notion de préjudice sérieux. La communication d’un numéro d’assurance sociale a été donnée en exemple, tout comme les risques d’humiliation, de dommage à la réputation, de pertes financières, de vol d’identité, d’effet négatif sur le dossier de crédit, de dommages ou de perte liés aux biens, de perte de possibilité d’emploi, d’occasions d’affaires ou d’activités professionnelles.

La jurisprudence saura certainement regorger d’exemples plus illustratifs, compte tenu du contexte propre à chaque cas d’espèce.

Conclusion

La Loi contient désormais des obligations plus contraignantes pour les entreprises lorsque survient un incident de confidentialité. Les pouvoirs d’intervention de la Commission ont d’ailleurs été accentués et des sanctions administratives pécuniaires peuvent être prises par celle-ci.

En outre, une personne autre qu’une personne physique qui omet de déclarer un incident de confidentialité est passible d’une amende de 15 000 $ à 25 millions de dollars ou du montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent s’il est supérieur à 25 millions de dollars.

Il est donc fondamental de prendre le temps nécessaire afin de s’attarder à la prévention et à la gestion des incidents de confidentialité dans son organisation.

Ce texte a été initialement publié sur le site Re:Travail du CPQ.

À propos de l’auteur

Marc-André Groulx est avocat chez BCF et pratique au sein du groupe Droit du travail et de l’emploi. Il est titulaire d’un baccalauréat en droit de l’Université de Montréal (avec mention) et d’une scolarité de maîtrise en droit public au sein de la même institution.

Dans le cadre de ses études supérieures, Marc-André s’est particulièrement intéressé aux développements juridiques concernant le harcèlement psychologique au travail et, plus généralement, aux droits et libertés de la personne dans le contexte de la relation employeur/employé.

2054

Publier un nouveau commentaire

Annuler
Remarque

Votre commentaire doit être approuvé par un modérateur avant d’être affiché.

NETiquette sur les commentaires

Les commentaires sont les bienvenus sur le site. Ils sont validés par la Rédaction avant d’être publiés et exclus s’ils présentent un caractère injurieux, raciste ou diffamatoire. Si malgré cette politique de modération, un commentaire publié sur le site vous dérange, prenez immédiatement contact par courriel (info@droit-inc.com) avec la Rédaction. Si votre demande apparait légitime, le commentaire sera retiré sur le champ. Vous pouvez également utiliser l’espace dédié aux commentaires pour publier, dans les mêmes conditions de validation, un droit de réponse.

Bien à vous,

La Rédaction de Droit-inc.com

PLUS

Articles similaires