Article mis à jour le 14 décembre 2022

Le 22 septembre 2022 a été une date marquante pour le droit de la protection des renseignements personnels au Québec : la première série de dispositions de la Loi 25, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (la « Loi »), est entrée en vigueur. Le Règlement sur les incidents de confidentialité (le « Règlement »), lequel vise à clarifier les obligations des organisations quant à la tenue de registres en vertu de la Loi 25, est aussi venu s'ajouter à ces dispositions. Le Règlement, qui avait été proposé au mois de juin 2022, a été adopté en date du 30 novembre 2022 sans modification importante[1]. Il entrera officiellement en vigueur à partir du 29 décembre 2022.  

Dans cette optique, le présent article vise un double objectif. Tout d'abord, il met en évidence la première série de changements en matière de gestion des incidents de confidentialité imposés par la Loi 25. Dans un deuxième temps, il résume les exigences de divulgation et de tenue de registres aux termes du Règlement.

Gestion des incidents de confidentialité

Qu'est-ce qu'un « incident de confidentialité »?

L'article 3.6 de la Loi définit un « incident de confidentialité » comme tout accès, utilisation ou communication non autorisés d'un renseignement personnel, la perte d'un renseignement personnel ou tout autre atteinte à la protection d'un tel renseignement.

Signalement obligatoire de toute atteinte à la protection des renseignements

Si un incident de confidentialité présente un « risque de préjudice sérieux », l'organisation est tenue de prendre des mesures raisonnables pour réduire les risques de préjudice et éviter que des incidents de même nature se reproduisent, notamment en avisant rapidement la Commission d'accès à l'information du Québec (CAI) ainsi que tous les individus concernés par l'incident. La sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu'il soit utilisé à des fins préjudiciables sont des facteurs à considérer pour déterminer si un incident présente un tel risque. Ce concept s'apparente à la notion d'atteinte aux « mesures de sécurité » dont il est question dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE); toutefois, la LPRPDE insiste davantage sur la probabilité de préjudice plutôt que sur le préjudice lui-même.

Exigences de divulgation et de tenue de registres aux termes du Règlement

Le Règlement définit les exigences relatives aux avis et rapports individuels destinés à la CAI et précise les informations que les organisations doivent conserver dans leur registre d'incidents.

Avis à la CAI

Quand : Aux termes du Règlement, si une organisation qui détient des renseignements personnels a des motifs de croire qu'un incident de confidentialité s'est produit, celle-ci doit aviser la CAI par écrit avec diligence.

Contenu : L'avis écrit doit contenir les informations suivantes :

  1. Le nom de l'organisation concernée par l'incident de confidentialité ainsi que son numéro d'entreprise du Québec;
  2. Les coordonnées d'une personne au sein de l'organisation qui peut répondre à des questions au sujet de l'incident;
  3. Une description des renseignements personnels visés par l'incident ou, si cette information n'est pas connue, la raison pour laquelle il est impossible de fournir une telle description;
  4. Une courte description des causes et circonstances de l'incident, si elles sont connues;
  5. La date de l'incident et la période durant laquelle il a eu lieu (ou une approximation si cette information n'est pas connue)
  6. La date ou période durant laquelle l'organisation a découvert l'incident;
  7. Le nombre de personnes concernées par l'incident et le nombre de personnes concernées par l'incident qui résident au Québec (ou une approximation si cette information n'est pas connue);
  8. Une description des éléments qui ont permis de conclure qu'il existe un risque qu'un préjudice sérieux soit causé aux personnes concernées;
  9. Les mesures que l'organisation a prises ou qu'elle entend prendre pour aviser les personnes concernées de l'atteinte;
  10. Les mesures prises ou prévues par l'organisme après l'incident, y compris celles visant à réduire/atténuer le risque de préjudice et à éviter que de tels incidents ne se reproduisent à l'avenir; et
  11. La démonstration que d'autres organismes de protection des renseignements personnels ont été informés de l'incident, le cas échéant.

Avis aux personnes concernées

Quand : Le Règlement stipule aussi qu'un organisme doit aviser « avec diligence » toutes les personnes dont les renseignements personnels ont été touchés par un incident de confidentialité. Cet avis doit être envoyé directement à la personne concernée à moins qu'un tel avis ne lui cause un préjudice additionnel ou ne nuise à l'organisme et/ou si l'organisme ne possède pas les coordonnées de la personne. Le cas échéant, l'organisme peut aviser les personnes concernées au moyen d'un avis public.

Contenu : Comme c'est le cas pour l'avis écrit à la CAI, l'avis écrit aux personnes concernées doit contenir les éléments suivants :

  1. Une description des renseignements personnels touchés par l'incident ou, si cette information est inconnue, les raisons pour lesquelles il est impossible de fournir une telle description;
  2. Une brève description des circonstances de l'incident;
  3. La date ou la période à laquelle a eu lieu l'incident (ou une approximation si cette information n'est pas connue);
  4. Une brève description des mesures que l'organisme a prises ou entend prendre suite à l'incident dans le but de réduire les risques de préjudice;
  5. Les mesures que l'organisme suggère à la personne concernée de prendre dans le but de réduire/atténuer les risques de préjudice; et
  6. Les coordonnées de la personne auprès de laquelle la personne concernée peut obtenir de plus amples renseignements à propos de l'incident.

Contenu du registre des incidents de confidentialité

Mesures à prendre : La Loi 25 oblige les organisations à tenir un registre des incidents de confidentialité, peu importe si un tel accident requiert ou non l'envoi d'un avis à la CAI et/ou à toute personne dont les renseignements personnels ont été compromis. Bien que la Loi ne précise pas un format particulier pour le registre, il reste que ce dernier doit être exhaustif, car les organisations sont tenues d'en envoyer une copie à la CAI sur demande.

Durée : Les organisations sont tenues de conserver un registre des incidents de confidentialité pour une période de cinq ans suivant la date ou la période au cours de laquelle l'entreprise s'est rendue compte de l'incident.

Contenu : À l'instar du contenu des avis susmentionnés, le registre doit comporter :

  1. Une description des renseignements personnels touchés par l'incident ou, si cette information est inconnue, les raisons pour lesquelles il est impossible de fournir une telle description;
  2. Une brève description des circonstances de l'incident;
  3. La date ou la période à laquelle a eu lieu l'incident (ou une approximation si cette information n'est pas connue);
  4. La date ou la période à laquelle l'organisation s'est aperçue de l'incident;
  5. Le nombre de personnes concernées par l'incident (ou une approximation si cette information n'est pas connue);
  6. La description des éléments qui ont mené à la conclusion que les personnes concernées sont à risque d'un préjudice sérieux;
  7. Si l'incident présente un risque de préjudice sérieux, les dates de transmission des avis à la CAI et aux personnes concernées, de même qu'une réponse à la question de savoir si un avis public a été nécessaire; et
  8. Une brève description des mesures prises par l'organisation ou qu'elle prévoit de prendre suivant l'incident dans le but de réduire les risques de préjudice.

Conclusion

Se conformer à la nouvelle Loi 25 du Québec peut s'avérer un processus long et compliqué, car elle impose un certain nombre d'obligations onéreuses aux organisations, tant publiques que privées. Nous sommes à votre disposition pour examiner vos pratiques et vous accompagner à cet égard, notamment pour revoir la structure organisationnelle de prévention, de gestion et de réponse aux incidents, et pour effectuer la révision de vos politiques de sécurité et de votre plan de réponse aux incidents, des contrats avec les fournisseurs de service ainsi que de vos programmes de formation en matière de cybersécurité. En cas de cyberattaque, notre équipe d'avocats spécialisés en cybersécurité peut aussi vous conseiller sur les obligations de signalement, les questions d'assurance, la responsabilité potentielle en cas de recours collectif, et la gestion des enquêtes.


[1] La seule modification se trouve à l’article 3 (10⁰) du Règlement, où le mot « délai » a été remplacé par l’expression « la date ou la période ».