Qu’est-ce qu’un incident de confidentialité?
La Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « Loi sur le privé ») définit les incidents de confidentialité comme toute :
(a) Utilisation non autorisée des renseignements personnels ;
(b) Communication non autorisée des renseignements personnels ;
(c) Destruction non autorisée des renseignements personnels ;
(d) Perte des renseignements personnels ; ou
(e) Autre atteinte des renseignements personnels.
La notion « d’incident de confidentialité » regroupe donc un large éventail d’événements distincts et regroupe des événements sévères, tels qu’une attaque par rançongiciel (« ransomware ») compromettant un accès à des renseignements personnels d’employés ou de clients et des événements plus communs comme l’envoi de renseignements personnels par courriel au mauvais destinataire.
L’organisation doit identifier les fins visées par la collecte des renseignements personnels et, avant leur collecte, informer la personne concernée de ces fins afin qu’elle puisse consentir à leur collecte, leur utilisation et leur communication de façon éclairée, libre et manifeste et donné à des fins spécifiques. En effet, même si une organisation possède un renseignement personnel, celle-ci ne peut pas l’utiliser comme bon lui semble. À ce titre, si le renseignement personnel est utilisé sans divulgation préalable de ses fins ou sans l’obtention d’un consentement valide, l’organisation ferait face à un incident de confidentialité.
Quoi faire en cas d’incidents de confidentialité?
La Loi sur le privé prévoit, depuis septembre 2022, plusieurs obligations en cas d’incidents de confidentialité.
D’abord, il faut inscrire l’incident dans le registre des incidents de confidentialité1 de l’organisation et y inscrire toutes les informations requises par le Règlement sur les incidents de confidentialité. En effet, toute organisation doit depuis septembre 2022, tenir un registre des incidents de confidentialité et le communiquer à la Commission d’accès à l’information sur demande.
Ensuite, le Responsable de la protection des renseignements personnels de l’organisation doit évaluer si l’incident présente un risque de préjudice sérieux pour l’individu concerné par les renseignements touchés par l’incident. Pour en savoir plus sur l’évaluation de ce risque de préjudice et les actions devant être accomplies si de tels risques existent, veuillez vous référer à notre article sur le sujet2.
À qui les obligations s’appliquent ?
La Loi sur le privé s’applique à toutes les organisations qui « exploitent une entreprise »3 au sens de l’article 1525 du Code civil du Québec. La Loi sur le privé s’applique donc :
- À toutes organisations privées qui collectent des renseignements personnels ou opèrent au Québec ;
- Aux organismes à but non lucratifs qui collectent des renseignements personnels ou opèrent au Québec ; et
- À toutes organisations internationales disposant d’un siège social dans un autre pays ou province que le Québec qui collectent des renseignements personnels au Québec.
La Loi sur le privé prévoit également qu’elle s’applique :
- Aux ordres professionnels, pour tous renseignements personnels qui ne sont pas détenus dans le cadre du contrôle de l’exercice d’une profession ;
- Aux congrégations religieuses pour l’application de la Loi autorisant la communication de renseignements personnels aux familles d’enfants autochtones disparus ou décédés à la suite d’une admission en établissement ; et
- Aux partis politiques, députés indépendants ou candidats indépendants, dans la mesure prévue par la Loi électorale, à compter de septembre 2023.
La Loi sur le privé s’applique même si vous avez confié la conservation des renseignements personnels à un tiers.
Où commencer ?
La Loi sur le privé prévoit que toutes organisations doivent prévoir des politiques et pratiques de gouvernance et de protection renseignements personnels, lesquelles doivent être divulguer au public. Certaines pratiques et politiques permettent de se prémunir des incidents de confidentialité tels que :
- Des directives internes, des guides de bonnes pratiques ou des formations permettant à vos employés de comprendre leurs obligations et d’adopter des comportements sécuritaires ;
- Une politique des accès à vos renseignements personnels afin d’assurer que vos employés ne peuvent accéder qu’aux renseignements personnels auxquels ils ont besoin pour accomplir leurs fonctions ;
- Prévoir un processus de plainte (obligatoire) à votre traitement des renseignements personnels ;
- Un plan de réponse aux incidents de confidentialité.
Conclusion
La Loi sur le privé impose donc des modifications majeures dans les opérations de nombreuses organisations. Un bris de sécurité ou un incident de confidentialité peuvent non seulement entacher la réputation d’une organisation et diminuer la confiance des clients et employés envers elle, mais en plus, au Québec, une organisation non conforme aux obligations en matière de protection des renseignements personnels peut être visée par des sanctions administratives pécuniaire pouvant aller jusqu’à 25 millions de dollars ou à un montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent d’une organisation. Il importe donc de vous assurer que vos activités soient conformes à ces nouvelles obligations.
Les obligations susmentionnées en lien aux incidents de confidentialité sont loin d’être les uniques obligations imposées aux organisations. L’équipe de protection des renseignements personnels de Cain Lamarre saura épauler votre organisation dans son processus de conformité aux nouvelles obligations québécoises en matière de protection et de gouvernance des renseignements personnels de ses clients et de ses employés. Que vous désiriez recevoir une formation sur les nouvelles obligations, des conseils sur vos traitements des renseignements personnels ou un accompagnement lors d’incidents de confidentialité ou rédiger l’une ou l’autre des politiques et pratiques susmentionnées d’une manière qui répondra aux besoins spécifiques de votre organisation, Cain Lamarre peut vous accompagner dans vos démarches de conformité à vos nouvelles obligations légales. Contactez-nous!
Cette publication a été préparée par Me Stéphanie Thurber, Me Nicolas Aubin et Mme Julia Sutera Sardo.
——————————–
[1] Depuis septembre 2022 toutes organisations soumises à la Loi sur le privé doivent posséder un registre des incidents de confidentialité. L’organisation doit y inscrire tous les incidents de confidentialité connus ou suspectés ainsi que toutes les informations prévues par le Règlement sur les incidents de confidentialité. La Commission d’accès à l’information peut exiger que le registre lui soit communiqué sur demande. (Voir https://www.cai.gouv.qc.ca/espace-evolutif-modernisation-lois/thematiques/incidents-confidentialite/)
[3] L’article 1525 CcQ prévoit que « Constitue l’exploitation d’une entreprise l’exercice, par une ou plusieurs personnes, d’une activité économique organisée, qu’elle soit ou non à caractère commercial, consistant dans la production ou la réalisation de biens, leur administration ou leur aliénation, ou dans la prestation de services. »