Opinions

Comment déclarer des incidents de confidentialité en vertu de la nouvelle loi 25 au Québec

Main image

Antoine Guilmain Et Angelina Argento-scalia

2022-12-05 11:15:00

Le 22 septembre 2022 a été une date marquante pour le droit de la protection des renseignements personnels au Québec…
Me Antoine Guilmain et Angelina Argento-Scalia, les auteurs de cet article. Source: Gowling WLG
Me Antoine Guilmain et Angelina Argento-Scalia, les auteurs de cet article. Source: Gowling WLG
La première série de dispositions de la Loi 25, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (la « Loi »), est entrée en vigueur. Le Règlement sur les incidents de confidentialité (le « Règlement »), lequel vise à clarifier les obligations des organisations quant à la tenue de registres en vertu de la Loi 25, est aussi venu s'ajouter à ces dispositions.

Dans cette optique, le présent article vise un double objectif. Tout d'abord, il met en évidence la première série de changements en matière de gestion des incidents de confidentialité imposés par la Loi 25. Dans un deuxième temps, il résume les exigences de divulgation et de tenue de registres aux termes du Règlement.

Gestion des incidents de confidentialité

  • Qu'est-ce qu'un « incident de confidentialité »?

  • L'article 3.6 de la Loi définit un « incident de confidentialité » comme tout accès, utilisation ou communication non autorisés d'un renseignement personnel, la perte d'un renseignement personnel ou tout autre atteinte à la protection d'un tel renseignement.

  • Signalement obligatoire de toute atteinte à la protection des renseignements

Si un incident de confidentialité présente un « risque de préjudice sérieux », l'organisation est tenue de prendre des mesures raisonnables pour réduire les risques de préjudice et éviter que des incidents de même nature se reproduisent, notamment en avisant rapidement la Commission d'accès à l'information du Québec (CAI) ainsi que tous les individus concernés par l'incident.

La sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu'il soit utilisé à des fins préjudiciables sont des facteurs à considérer pour déterminer si un incident présente un tel risque. Ce concept s'apparente à la notion d'atteinte aux « mesures de sécurité » dont il est question dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE); toutefois, la LPRPDE insiste davantage sur la probabilité de préjudice plutôt que sur le préjudice lui-même.

Exigences de divulgation et de tenue de registres aux termes du Règlement

Le Règlement définit les exigences relatives aux avis et rapports individuels destinés à la CAI et précise les informations que les organisations doivent conserver dans leur registre d'incidents.

Avis à la CAI

Quand : Aux termes du Règlement, si une organisation qui détient des renseignements personnels a des motifs de croire qu'un incident de confidentialité s'est produit, celle-ci doit aviser la CAI par écrit avec diligence.

Contenu : L'avis écrit doit contenir les informations suivantes :

1. Le nom de l'organisation concernée par l'incident de confidentialité ainsi que son numéro d'entreprise du Québec;

2. Les coordonnées d'une personne au sein de l'organisation qui peut répondre à des questions au sujet de l'incident;

3. Une description des renseignements personnels visés par l'incident ou, si cette information n'est pas connue, la raison pour laquelle il est impossible de fournir une telle description;

4. Une courte description des causes et circonstances de l'incident, si elles sont connues;

5. La date de l'incident et la période durant laquelle il a eu lieu (ou une approximation si cette information n'est pas connue)

6. La date ou période durant laquelle l'organisation a découvert l'incident;

7. Le nombre de personnes concernées par l'incident et le nombre de personnes concernées par l'incident qui résident au Québec (ou une approximation si cette information n'est pas connue);

8. Une description des éléments qui ont permis de conclure qu'il existe un risque qu'un préjudice sérieux soit causé aux personnes concernées;

9. Les mesures que l'organisation a prises ou qu'elle entend prendre pour aviser les personnes concernées de l'atteinte;

10. Les mesures prises ou prévues par l'organisme après l'incident, y compris celles visant à réduire/atténuer le risque de préjudice et à éviter que de tels incidents ne se reproduisent à l'avenir; et

11. La démonstration que d'autres organismes de protection des renseignements personnels ont été informés de l'incident, le cas échéant.

Avis aux personnes concernées

Quand : Le Règlement stipule aussi qu'un organisme doit aviser « avec diligence » toutes les personnes dont les renseignements personnels ont été touchés par un incident de confidentialité. Cet avis doit être envoyé directement à la personne concernée à moins qu'un tel avis ne lui cause un préjudice additionnel ou ne nuise à l'organisme et/ou si l'organisme ne possède pas les coordonnées de la personne. Le cas échéant, l'organisme peut aviser les personnes concernées au moyen d'un avis public.

Contenu : Comme c'est le cas pour l'avis écrit à la CAI, l'avis écrit aux personnes concernées doit contenir les éléments suivants :

1. Une description des renseignements personnels touchés par l'incident ou, si cette information est inconnue, les raisons pour lesquelles il est impossible de fournir une telle description;

2. Une brève description des circonstances de l'incident;

3. La date ou la période à laquelle a eu lieu l'incident (ou une approximation si cette information n'est pas connue);

4. Une brève description des mesures que l'organisme a prises ou entend prendre suite à l'incident dans le but de réduire les risques de préjudice;

5. Les mesures que l'organisme suggère à la personne concernée de prendre dans le but de réduire/atténuer les risques de préjudice; et

6. Les coordonnées de la personne auprès de laquelle la personne concernée peut obtenir de plus amples renseignements à propos de l'incident.

Contenu du registre des incidents de confidentialité

Mesures à prendre : La Loi 25 oblige les organisations à tenir un registre des incidents de confidentialité, peu importe si un tel accident requiert ou non l'envoi d'un avis à la CAI et/ou à toute personne dont les renseignements personnels ont été compromis. Bien que la Loi ne précise pas un format particulier pour le registre, il reste que ce dernier doit être exhaustif, car les organisations sont tenues d'en envoyer une copie à la CAI sur demande.

Durée : Les organisations sont tenues de conserver un registre des incidents de confidentialité pour une période de cinq ans suivant la date ou la période au cours de laquelle l'entreprise s'est rendue compte de l'incident.

Contenu : À l'instar du contenu des avis susmentionnés, le registre doit comporter :

1. Une description des renseignements personnels touchés par l'incident ou, si cette information est inconnue, les raisons pour lesquelles il est impossible de fournir une telle description;

2. Une brève description des circonstances de l'incident;

3. La date ou la période à laquelle a eu lieu l'incident (ou une approximation si cette information n'est pas connue);

4. La date ou la période à laquelle l'organisation s'est aperçue de l'incident;

5. Le nombre de personnes concernées par l'incident (ou une approximation si cette information n'est pas connue);

6. La description des éléments qui ont mené à la conclusion que les personnes concernées sont à risque d'un préjudice sérieux;

7. Si l'incident présente un risque de préjudice sérieux, les dates de transmission des avis à la CAI et aux personnes concernées, de même qu'une réponse à la question de savoir si un avis public a été nécessaire; et

8. Une brève description des mesures prises par l'organisation ou qu'elle prévoit de prendre suivant l'incident dans le but de réduire les risques de préjudice.

Conclusion

Se conformer à la nouvelle Loi 25 du Québec peut s'avérer un processus long et compliqué, car elle impose un certain nombre d'obligations onéreuses aux organisations, tant publiques que privées. Notre équipe est à votre disposition pour examiner vos pratiques et vous fournir des conseils juridiques continus à toutes les étapes de son déploiement progressif.

À propos des auteurs

Me Antoine Guilmain est avocat-conseil au bureau de Gowling WLG à Montréal où il codirige le groupe de pratique national Cybersécurité et protection des données et fait également partie du groupe sectoriel Technologie.

Grâce à son parcours international au Canada, aux États-Unis et en Europe, ainsi que son expérience de pointe dans l’une des plus grandes entreprises américaines du domaine des technologies, il offre des conseils stratégiques et opérationnels en matière de protection des données et de cybersécurité.

Sa pratique englobe notamment la protection des renseignements personnels, la réglementation européenne sur la protection des données (RGPD), le respect de la législation antipourriel, la gestion des risques et la conformité en matière de cybersécurité, l’accès à l’information et la protection du consommateur, entre autres.

Angelina Argento-Scalia est étudiante en droit au bureau de Gowling WLG à Montréal.

Grâce aux connaissances qu’elle a acquises dans le cadre de ses études juridiques et commerciales, Angelina a eu l’occasion de travailler dans des environnements dynamiques; en particulier, elle a contribué à l’établissement du tout premier laboratoire d’intelligence artificielle pour le bien social à l’Université McGill. Elle a également travaillé au service des relations de travail d’Air Canada.

3647
Publier un nouveau commentaire
Annuler
Remarque

Votre commentaire doit être approuvé par un modérateur avant d’être affiché.

NETiquette sur les commentaires

Les commentaires sont les bienvenus sur le site. Ils sont validés par la Rédaction avant d’être publiés et exclus s’ils présentent un caractère injurieux, raciste ou diffamatoire. Si malgré cette politique de modération, un commentaire publié sur le site vous dérange, prenez immédiatement contact par courriel (info@droit-inc.com) avec la Rédaction. Si votre demande apparait légitime, le commentaire sera retiré sur le champ. Vous pouvez également utiliser l’espace dédié aux commentaires pour publier, dans les mêmes conditions de validation, un droit de réponse.

Bien à vous,

La Rédaction de Droit-inc.com

PLUS

Articles similaires