Comment déclarer des incidents de confidentialité en vertu de la nouvelle loi 25 au Québec

La première série de dispositions de la Loi 25, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (la « Loi »), est entrée en vigueur. Le Règlement sur les incidents de confidentialité (le « Règlement »), lequel vise à clarifier les obligations des organisations quant à la tenue de registres en vertu de la Loi 25, est aussi venu s'ajouter à ces dispositions.

Dans cette optique, le présent article vise un double objectif. Tout d'abord, il met en évidence la première série de changements en matière de gestion des incidents de confidentialité imposés par la Loi 25. Dans un deuxième temps, il résume les exigences de divulgation et de tenue de registres aux termes du Règlement.

Gestion des incidents de confidentialité

• Qu'est-ce qu'un « incident de confidentialité »?
  

L'article 3.6 de la Loi définit un « incident de confidentialité » comme tout accès, utilisation ou communication non autorisés d'un renseignement personnel, la perte d'un renseignement personnel ou tout autre atteinte à la protection d'un tel renseignement.


• Signalement obligatoire de toute atteinte à la protection des renseignements
  

Si un incident de confidentialité présente un « risque de préjudice sérieux », l'organisation est tenue de prendre des mesures raisonnables pour réduire les risques de préjudice et éviter que des incidents de même nature se reproduisent, notamment en avisant rapidement la Commission d'accès à l'information du Québec (CAI) ainsi que tous les individus concernés par l'incident.

La sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu'il soit utilisé à des fins préjudiciables sont des facteurs à considérer pour déterminer si un incident présente un tel risque. Ce concept s'apparente à la notion d'atteinte aux « mesures de sécurité » dont il est question dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE); toutefois, la LPRPDE insiste davantage sur la probabilité de préjudice plutôt que sur le préjudice lui-même.

Exigences de divulgation et de tenue de registres aux termes du Règlement

Le Règlement définit les exigences relatives aux avis et rapports individuels destinés à la CAI et précise les informations que les organisations doivent conserver dans leur registre d'incidents.

Avis à la CAI

Quand : Aux termes du Règlement, si une organisation qui détient des renseignements personnels a des motifs de croire qu'un incident de confidentialité s'est produit, celle-ci doit aviser la CAI par écrit avec diligence.

Contenu : L'avis écrit doit contenir les informations suivantes :

1. Le nom de l'organisation concernée par l'incident de confidentialité ainsi que son numéro d'entreprise du Québec;

2. Les coordonnées d'une personne au sein de l'organisation qui peut répondre à des questions au sujet de l'incident;

3. Une description des renseignements personnels visés par l'incident ou, si cette information n'est pas connue, la raison pour laquelle il est impossible de fournir une telle description;

4. Une courte description des causes et circonstances de l'incident, si elles sont connues;

5. La date de l'incident et la période durant laquelle il a eu lieu (ou une approximation si cette information n'est pas connue)

6. La date ou période durant laquelle l'organisation a découvert l'incident;

7. Le nombre de personnes concernées par l'incident et le nombre de personnes concernées par l'incident qui résident au Québec (ou une approximation si cette information n'est pas connue);

8. Une description des éléments qui ont permis de conclure qu'il existe un risque qu'un préjudice sérieux soit causé aux personnes concernées;

9. Les mesures que l'organisation a prises ou qu'elle entend prendre pour aviser les personnes concernées de l'atteinte;

10. Les mesures prises ou prévues par l'organisme après l'incident, y compris celles visant à réduire/atténuer le risque de préjudice et à éviter que de tels incidents ne se reproduisent à l'avenir; et

11. La démonstration que d'autres organismes de protection des renseignements personnels ont été informés de l'incident, le cas échéant.

Avis aux personnes concernées

Quand : Le Règlement stipule aussi qu'un organisme doit aviser « avec diligence » toutes les personnes dont les renseignements personnels ont été touchés par un incident de confidentialité. Cet avis doit être envoyé directement à la personne concernée à moins qu'un tel avis ne lui cause un préjudice additionnel ou ne nuise à l'organisme et/ou si l'organisme ne possède pas les coordonnées de la personne. Le cas échéant, l'organisme peut aviser les personnes concernées au moyen d'un avis public.

Contenu : Comme c'est le cas pour l'avis écrit à la CAI, l'avis écrit aux personnes concernées doit contenir les éléments suivants :

1. Une description des renseignements personnels touchés par l'incident ou, si cette information est inconnue, les raisons pour lesquelles il est impossible de fournir une telle description;

2. Une brève description des circonstances de l'incident;

3. La date ou la période à laquelle a eu lieu l'incident (ou une approximation si cette information n'est pas connue);

4. Une brève description des mesures que l'organisme a prises ou entend prendre suite à l'incident dans le but de réduire les risques de préjudice;

5. Les mesures que l'organisme suggère à la personne concernée de prendre dans le but de réduire/atténuer les risques de préjudice; et

6. Les coordonnées de la personne auprès de laquelle la personne concernée peut obtenir de plus amples renseignements à propos de l'incident.

Contenu du registre des incidents de confidentialité

Mesures à prendre : La Loi 25 oblige les organisations à tenir un registre des incidents de confidentialité, peu importe si un tel accident requiert ou non l'envoi d'un avis à la CAI et/ou à toute personne dont les renseignements personnels ont été compromis. Bien que la Loi ne précise pas un format particulier pour le registre, il reste que ce dernier doit être exhaustif, car les organisations sont tenues d'en envoyer une copie à la CAI sur demande.

Durée : Les organisations sont tenues de conserver un registre des incidents de confidentialité pour une période de cinq ans suivant la date ou la période au cours de laquelle l'entreprise s'est rendue compte de l'incident.

Contenu : À l'instar du contenu des avis susmentionnés, le registre doit comporter :

1. Une description des renseignements personnels touchés par l'incident ou, si cette information est inconnue, les raisons pour lesquelles il est impossible de fournir une telle description;

2. Une brève description des circonstances de l'incident;

3. La date ou la période à laquelle a eu lieu l'incident (ou une approximation si cette information n'est pas connue);

4. La date ou la période à laquelle l'organisation s'est aperçue de l'incident;

5. Le nombre de personnes concernées par l'incident (ou une approximation si cette information n'est pas connue);

6. La description des éléments qui ont mené à la conclusion que les personnes concernées sont à risque d'un préjudice sérieux;

7. Si l'incident présente un risque de préjudice sérieux, les dates de transmission des avis à la CAI et aux personnes concernées, de même qu'une réponse à la question de savoir si un avis public a été nécessaire; et

8. Une brève description des mesures prises par l'organisation ou qu'elle prévoit de prendre suivant l'incident dans le but de réduire les risques de préjudice.

Conclusion

Se conformer à la nouvelle Loi 25 du Québec peut s'avérer un processus long et compliqué, car elle impose un certain nombre d'obligations onéreuses aux organisations, tant publiques que privées. Notre équipe est à votre disposition pour examiner vos pratiques et vous fournir des conseils juridiques continus à toutes les étapes de son déploiement progressif.