[Commission d’accès à l’information] Gestions des incidents de confidentialité Attention, les règles ont changé au Québec
Table des matières
Au cours des derniers mois, les médias ont rapporté de nombreux cas de fuites de données ou d’entreprises victimes de cyberattaques. Lorsque des renseignements personnels sont impliqués dans ces événements, il s’agit d’incidents de confidentialité. Depuis le 22 septembre 2022, les entreprises doivent se soumettre à de nouvelles obligations lorsqu’elles sont victimes d’un incident de confidentialité impliquant des renseignements personnels qu’elles détiennent, notamment la divulgation obligatoire à la Commission dans certains cas.
C’est dans le but d’offrir aux citoyens un meilleur contrôle sur leurs renseignements personnels, et afin de responsabiliser davantage les entreprises dans leur gestion de ces renseignements, que le législateur québécois a modernisé la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le privé).
Ainsi, dès qu’une entreprise a des motifs de croire qu’un incident de confidentialité s’est produit, elle doit :
- Prendre des mesures raisonnables pour diminuer les risques et éviter de nouveaux incidents;
- Évaluer si l’incident présente un risque de préjudice sérieux pour les personnes concernées par les renseignements personnels;
- En cas de préjudice sérieux, aviser les personnes concernées et la Commission d’accès à l’information du Québec (la Commission);
- Tenir un registre des incidents de confidentialité.
Que faire lorsqu’un incident de confidentialité se produit?
1 – Prendre des mesures raisonnables pour diminuer les risques et éviter de nouveaux incidents
Les mesures à mettre en place dépendent de l’état de la situation. Toutes les situations sont différentes. Même si l’ensemble des informations pertinentes ne sont pas connues dès le départ, il est important de réagir rapidement. Au besoin, l’entreprise peut continuer d’appliquer ces mesures ou en adopter de nouvelles au fur et à mesure que les circonstances et les impacts de l’incident se précisent.
Comment évaluer rapidement l’état de la situation :
- Qui : quelles sont les personnes concernées par l’incident? S’agit-il de membres du personnel, de clients ou de partenaires d’affaires? Qui peut avoir eu accès aux renseignements personnels?
- Combien : combien de personnes sont touchées par l’incident?
- Quoi : quelle est la nature des renseignements personnels visés par l’incident? S‘agit-il de renseignements sensibles? Quels sont les risques pour les personnes concernées?
- Quand : quand l’incident a-t-il eu lieu? Quand a-t-il été découvert?
- Où : où l’incident a-t-il eu lieu? Au sein de l’entreprise? Si oui, dans quel secteur? L’incident a-t-il eu lieu chez un tiers détenant des renseignements personnels (ex. : un mandataire, un fournisseur)?
- Pourquoi: quelles sont les causes? Quelles mesures de sécurité étaient en place au moment de l’incident? Pourquoi n’ont-elles pas été efficaces?
La Commission peut-elle ordonner à une entreprise d’appliquer des mesures?
La Commission peut, lorsqu’un incident de confidentialité est porté à son attention, ordonner à toute personne, après lui avoir fourni l’occasion de présenter ses observations, l’application de toute mesure visant à protéger les droits des personnes concernées qui lui sont accordés par la loi, pour le temps et aux conditions qu’elle détermine. Elle peut notamment ordonner la remise des renseignements personnels impliqués à la personne qui exploite une entreprise ou leur destruction.
Lorsqu’un tiers assume la conservation des renseignements personnels, qui est responsable en cas d’incident de confidentialité?
Les entreprises confient parfois la conservation des renseignements personnels à des tiers. Dans ce cas, elles demeurent malgré tout responsables de l’ensemble des obligations en cas d’incident de confidentialité : mesures à prendre, aviser la Commission, mettre à jour le registre, etc.
2 – Évaluer les risques
Pour tout incident de confidentialité, l’entreprise doit évaluer la gravité du risque de préjudice pour les personnes concernées. Elle doit notamment considérer :
- la sensibilité des renseignements concernés;
- les conséquences appréhendées de leur utilisation;
- la probabilité qu’ils soient utilisés à des fins préjudiciables.
Au cours de cette étape, l’entreprise doit consulter son responsable de la protection des renseignements personnels. Elle peut également impliquer d’autres acteurs, comme le responsable de la sécurité de l’information ou des experts externes.
Si l’analyse fait ressortir l’existence d’un risque de préjudice sérieux, l’entreprise doit aviser la Commission et les personnes concernées par l’incident. Pour aviser la Commission, il est nécessaire de remplir le formulaire d’avis qui se trouve sur le site Web de la Commission et qui précise toutes les informations à fournir. S’il n’y a pas de risque de préjudice sérieux, l’entreprise doit tout de même poursuivre ses travaux pour réduire les risques et éviter qu’un incident de même nature se produise à nouveau dans le futur.
3 – Aviser les personnes concernées et la Commission
Lorsque l’entreprise doit aviser les personnes concernées, cet avis doit comprendre les informations suivantes :
- les renseignements personnels en cause;
- les circonstances de l’incident;
- les mesures que l’entreprise a prises ou prendra pour diminuer les risques de préjudice ou pour atténuer le préjudice;
- les coordonnées d’une personne à joindre pour obtenir plus d’information.
Est-il possible d’aviser d’autres personnes qui peuvent contribuer à diminuer les risques de préjudice sérieux?
L’organisation peut aviser toute personne ou organisme susceptibles de diminuer le risque de préjudice sérieux. Seuls les renseignements personnels nécessaires peuvent alors être communiqués, sans le consentement de la personne concernée. Le responsable de la protection des renseignements personnels de l’entreprise doit enregistrer la communication pour garder des traces documentaires de celle-ci.
Est-ce que la Commission peut ordonner à l’entreprise d’informer les personnes concernées par l’incident?
Si l’incident présente un risque de préjudice sérieux, la Commission peut ordonner à l’entreprise d’aviser les personnes concernées par l’incident dans le cas où cela n’a pas été fait.
La loi prévoit une exception lorsqu’il y a risque d’entraver une enquête
Une personne dont un renseignement personnel est concerné par l’incident n’a pas à être avisée tant que cela serait susceptible d’entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargée de prévenir, détecter ou réprimer le crime ou les infractions aux lois.
4 – Tenir un registre des incidents de confidentialité
L’entreprise doit tenir un registre dans lequel sont inscrits tous les incidents de confidentialité impliquant un renseignement personnel qu’elle détient, même ceux ne présentant pas de risque de préjudice sérieux.
Que doit contenir ce registre?
Le registre des incidents de confidentialité devrait notamment décrire les renseignements personnels visés par l’incident et contenir des informations sur les circonstances de l’incident, le nombre de personnes visées, l’évaluation de la gravité du risque de préjudice et les mesures prises en réaction à l’incident. Les dates pertinentes devraient aussi y figurer : moment où l’incident est survenu, détection par l’entreprise, transmission des avis (s’il y a lieu), etc.
Est-ce que l’entreprise doit transmettre ce registre à la Commission?
Il n’y a pas d’obligation pour l’entreprise de transmettre une copie du registre à la Commission. Toutefois, elle devra le produire sur demande.
Y a-t-il des sanctions ou des infractions pénales si l’entreprise ne s’acquitte pas de ces nouvelles obligations?
La modernisation de la loi confère d’importants pouvoirs à la Commission qui peut intenter des poursuites pénales à la suite d’une infraction à la loi pour lesquelles des amendes maximales de 25 000 000 $ ou 4% du chiffre d’affaires mondial ou un maximum de 100 000$ pour une personne physique.
À compter du 22 septembre 2023, elle pourra choisir d’imposer des sanctions administratives pécuniaires pour non-conformité aux nouvelles exigences particulièrement en cas de non-divulgation à la Commission d’un incident de confidentialité et aux personnes concernées. Le montant de ces sanctions peut aller jusqu’à 10 000 000$ ou 2% du chiffre d’affaires mondial pour une personne morale. Dans le cas d’une personne physique, le montant maximal de ces sanctions administratives pécuniaires est de 50 000 $.
Ce choix du législateur démontre l’importance accordée au respect de ces obligations.
Mieux vaut prévenir que guérir
Un incident de confidentialité impliquant un renseignement personnel peut mettre la vie privée de la clientèle, du personnel ou des partenaires d’affaires d’une entreprise à risque et les inciter à perdre confiance en votre entreprise. Ceci pourrait vous coûter cher, nuire à votre réputation, affecter la rentabilité de vos affaires, voire compromettre la pérennité de votre entreprise.
La nouvelle Loi sur le privé oblige les entreprises à être plus transparentes et responsables en matière de protection des renseignements personnels. Le site Web de la Commission propose une foule d’informations qui peuvent vous aider dans votre démarche visant à prévenir ou limiter les conséquences d’un incident de confidentialité impliquant des renseignements personnels. N’attendez pas qu’il soit trop tard!
Partager