Mon entreprise a subi un vol de données! Dois-je le signaler?
Thomas Bernier-villeneuve Et Erin Schachter
2022-04-21 11:15:00
Qu'est-ce qu'un « incident de confidentialité »?
Selon l'article 3.6 de la Loi 25, l’expression « incident confidentialité » désigne tout accès, toute communication ou toute utilisation de renseignements personnels qui n'est pas autorisé par la loi, ainsi que la perte de renseignements personnels ou toute autre atteinte à la protection des renseignements personnels. Un incident de confidentialité peut donc prendre plusieurs formes, incluant les tentatives d’hameçonnage, les attaques par rançongiciel et par force brute, l’extraction ou la divulgation non autorisée de renseignements personnels par un employé, ou encore la publication accidentelle de renseignements personnels en ligne.
Signalement à la CAI
Lorsqu'une entreprise a des raisons de croire qu'un incident de confidentialité s'est produit, elle doit d’abord prendre des mesures raisonnables pour diminuer les risques de préjudice et éviter que de nouveaux incidents de même nature ne se produisent. Si l'entreprise détermine que l'incident présente un risque de préjudice grave, elle devra le signaler sans délai à la CAI conformément à l’article 3.5(2) de la Loi 25. Cette obligation de signalement s'appliquera également à toute entité ou tiers qui a la garde ou le contrôle des renseignements personnels pour le compte de l’entreprise.
Pour évaluer le risque de préjudice pour les personnes dont les renseignements personnels sont concernés par l'incident, l'entreprise devra consulter la personne responsable de la protection des renseignements personnels au sein de l'entreprise et tenir compte de la sensibilité des renseignements, des conséquences prévues de leur utilisation et de la probabilité que ces renseignements soient utilisés à des fins préjudiciables.
Signalement aux personnes concernées
Une fois qu'une entreprise a déterminé que le signalement est nécessaire, elle doit notifier toute personne dont les renseignements personnels sont concernés par l'incident, à défaut de quoi la CAI peut lui ordonner de le faire. Elle peut également aviser toute personne ou tout organisme, y compris un fournisseur de services, susceptible de réduire le risque de préjudice sérieux, en ne communiquant que les renseignements personnels nécessaires à cette fin sans le consentement des personnes concernées. Toute communication de ce type devra toutefois être consignée par écrit (art. 3.5(2) Loi 25).
Forme et contenu du signalement
Pour l’instant, la Loi 25 ne prévoit pas d’obligations particulières quant à la forme, au contenu et aux modalités de transmission des signalements, bien qu’elles pourraient être déterminées par règlement à une date ultérieure. En cas d’incident de confidentialité présentant un risque de préjudice sérieux, les entreprises ont néanmoins intérêt à inclure les informations minimums suivantes dans leur avis aux personnes concernées : (i) une description des circonstances et la date ou la période où s’est produit l’incident, (ii) les renseignements personnels visés par l’incident, (iii) les mesures que l’entreprise a prises ou qui sont disponibles pour réduire les risques de préjudice qui pourraient résulter de l’incident, (iv) les mesures que peuvent prendre les personnes concernées afin de réduire les risques de préjudice ou afin d’atténuer un tel préjudice, et (iv) les coordonnées permettant à ces personnes d’obtenir plus d’information au sujet de l’incident.
Création d'un registre des incidents
La Loi 25 prévoit également l’obligation pour les entreprises de tenir un registre de tout incident de confidentialité, qu'il représente un risque de préjudice sérieux ou non. Sur demande de la CAI, l’entreprise devra obligatoirement lui transmettre une copie de ce registre (art. 3.8 Loi 25).
Conclusion
Pour pouvoir se conformer à ces nouvelles obligations et aux autres dispositions de la Loi 25, les entreprises doivent dès aujourd’hui mettre en place un programme de gouvernance de l’information qui comprend notamment un plan de gouvernance, de la formation en continu pour les employés et les partenaires commerciaux ainsi que le déploiement de technologies appropriées. Notre équipe peut vous aider à mettre en place un programme de gouvernance complet au sein de votre entreprise en plus de vous offrir des conseils sur mesure pour l’évaluation, le suivi et le respect de la conformité.
''Veuillez noter que les renseignements personnels traités par une entreprise du Québec peuvent également être soumis à d’autres régimes juridiques, dont la Loi sur la protection des renseignements personnels et les documents électroniques S.C. 2000 C.5 (loi fédérale canadienne) et le Règlement général sur la protection des données (Europe), en vertu desquels le signalement des incidents de confidentialité est déjà obligatoire.''
Thomas Bernier-Villeneuve est avocat au sein de l’équipe de droit des affaires, commercial et corporatif à Brossard, chez Therrien Couture Joli-Coeur.
Erin Schachter est une avocate en litige à Laval exerçant principalement dans les domaines du droit de la propriété intellectuelle, du droit de la technologie, de la confidentialité des données ainsi que du droit international.