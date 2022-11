Marc-André Groulx, l’auteur de cet article. Source: Site web de BCF

l’accès non autorisé par la loi à un renseignement personnel;

l’utilisation non autorisée par la loi d’un renseignement personnel;

la communication non autorisée par la loi d’un renseignement personnel;

la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.

Une description des renseignements personnels visés par l’incident;

Une brève description des circonstances de l’incident;

La date ou la période où l’incident est survenu;

La date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident;

Le nombre de personnes concernées par l’incident (ou son approximation);

Une description des éléments qui amènent l’organisation à conclure s’il existe ou non un risque de préjudice sérieux aux personnes concernées;

En présence d’un préjudice sérieux, les dates de transmission des avis requis à la Commission d’accès à l’information du Québec (la « Commission») et aux personnes concernées;

Une brève description des mesures prises afin de diminuer les risques qu’un préjudice soit causé.

Une description des renseignements personnels visés par l’incident;

Une brève description des circonstances de l’incident;

La date ou la période où l’incident a eu lieu;

Une brève description des mesures prises ou qui seront prises à la suite de l’incident, afin de diminuer les risques de préjudice;

Les mesures que l’organisation suggère à la personne concernée de prendre afin de diminuer le risque de préjudice ou d’atténuer le préjudice;

Les coordonnées permettant à la personne concernée de se renseigner davantage relativement à l’incident.

À propos de l’auteur



Marc-André Groulx est avocat chez BCF et pratique au sein du groupe Droit du travail et de l’emploi. Il est titulaire d’un baccalauréat en droit de l’Université de Montréal (avec mention) et d’une scolarité de maîtrise en droit public au sein de la même institution.



Dans le cadre de ses études supérieures, Marc-André s’est particulièrement intéressé aux développements juridiques concernant le harcèlement psychologique au travail et, plus généralement, aux droits et libertés de la personne dans le contexte de la relation employeur/employé.

De façon récurrente, les médias nous rapportent des incidents en lien avec des fuites de renseignements personnels d’envergures diverses dans des entreprises qui, pourtant, sont réputées être à la fine pointe du point de vue de la gestion des données.Ces fuites ne sont pas toujours le fruit d’actes criminels : la simple négligence d’un employé peut, malheureusement, causer des dommages pécuniaires – et réputationnels – importants pour une entreprise, ses clients et ses fournisseurs. Dans le cadre de saines pratiques commerciales, l’important demeure toutefois de limiter le plus possible de tels dommages.C’est en ayant ceci à l’esprit que l’Assemblée nationale a introduit de nouvelles dispositions dans la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi ») afin d’encadrer les actions des entreprises lorsque se produisent de tels incidents. Ces dispositions sont entrées en vigueur le 22 septembre 2022.L’article 3.6 de la Loi définit largement ce que constitue un incident de confidentialité :3.6. Pour l’application de la présente loi, on entend par « incident de confidentialité » :Ainsi, le vol d’un ordinateur portable ou d’un dossier physique, une attaque informatique, l’envoi erroné d’un courriel contenant des renseignements personnels à une personne étrangère à l’entreprise ou la perte d’un attaché-case dans un lieu public constituent des exemples courants d’incidents de confidentialité.Implanter un registre des incidents de confidentialité. La Loi impose aux entreprises de tenir un registre des incidents de confidentialité. Le règlement prévoyant le contenu minimal de ce registre n’a pas encore été adopté, bien qu’un projet de règlement ait été publié le 29 juin dernier.Si le projet de règlement est adopté tel quel, le registre devra donc contenir minimalement les éléments suivants :L’obligation de tenir un registre existe malgré le fait que le règlement n’ait pas été formellement adopté. Une bonne pratique consiste donc à ce que le registre implanté contienne minimalement les informations nécessaires contenues au projet de règlement.La Loi prévoit également que si l’incident présente un risque de préjudice sérieux, l’entreprise doit en aviser la Commission et les personnes concernées par l’incident. La Commission a déjà publié le modèle d’avis à lui notifier; quant aux personnes visées, l’avis devra minimalement contenir, suivant l’adoption du projet de règlement, les mentions suivantes :La notion de préjudice sérieux n’a pas été clairement définie dans la Loi, bien que les critères d’évaluation l’aient été.Ainsi, la sensibilité du renseignement concerné, les conséquences appréhendées de l’utilisation du renseignement personnel et la probabilité que celui-ci soit utilisé à des fins préjudiciables constituent les critères à soupeser par l’entreprise et son responsable de la protection des renseignements personnels.Les débats parlementaires, de leur côté, sont un peu plus éloquents sur la notion de préjudice sérieux. La communication d’un numéro d’assurance sociale a été donnée en exemple, tout comme les risques d’humiliation, de dommage à la réputation, de pertes financières, de vol d’identité, d’effet négatif sur le dossier de crédit, de dommages ou de perte liés aux biens, de perte de possibilité d’emploi, d’occasions d’affaires ou d’activités professionnelles.La jurisprudence saura certainement regorger d’exemples plus illustratifs, compte tenu du contexte propre à chaque cas d’espèce.La Loi contient désormais des obligations plus contraignantes pour les entreprises lorsque survient un incident de confidentialité. Les pouvoirs d’intervention de la Commission ont d’ailleurs été accentués et des sanctions administratives pécuniaires peuvent être prises par celle-ci.En outre, une personne autre qu’une personne physique qui omet de déclarer un incident de confidentialité est passible d’une amende de 15 000 $ à 25 millions de dollars ou du montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent s’il est supérieur à 25 millions de dollars.Il est donc fondamental de prendre le temps nécessaire afin de s’attarder à la prévention et à la gestion des incidents de confidentialité dans son organisation.Ce texte a été initialement publié sur le site Re:Travail du CPQ