Qu’est-ce qu’un risque de préjudice sérieux ?
Importance de l’évaluation du risque de préjudice sérieux. Cet article fait suite à notre publication antérieure1 qui décrit la notion d’« incidents de confidentialité »2 et certaines nouvelles obligations à leur égard. Tel qu’il y est identifié, la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « Loi sur le privé ») prévoit des obligations distinctes selon la gravité de l’incident de confidentialité. Ainsi, en présence d’un incident de confidentialité, le Responsable de la protection des renseignements personnels d’une entreprise privée doit évaluer le risque de préjudice que pourrait subir les gens dont les renseignements personnels ont été touchés par l’incident.
Évaluer le risque de préjudice sérieux. À ce titre, le Responsable de la protection des renseignements personnels devra identifier si l’incident de confidentialité présente des risques de préjudices sérieux pour les personnes concernées par les renseignements personnels visés par l’incident. Afin d’évaluer de manière appropriée le risque de préjudice, l’organisation doit considérer, notamment :
- La sensibilité du renseignement concerné3 ;
- Les conséquences appréhendées de son utilisation, tel que :
- Un vol d’identité;
- Une fraude financière;
- Une atteinte importante à la vie privée.
- La probabilité qu’il soit utilisé à des fins préjudiciables.
Ce qu’est un préjudice sérieux. Un préjudice sérieux correspond donc à un acte ou à un événement susceptible de porter atteinte à la personne concernée ou à ses biens ou de nuire à ses intérêts de manière non négligeable. Par exemple :
- À l’humiliation;
- À une atteinte à la réputation;
- À une perte financière;
- À un vol d’identité;
- À des conséquences négatives sur un dossier de crédit;
- À une perte d’emploi.
Exemples
À titre d’exemple, si une organisation communique un courriel d’un individu au mauvais client et que seuls le prénom et l’adresse courriel de l’individu ont été compromis, la probabilité que cet incident de confidentialité résulte en un préjudice sérieux est, à moins de circonstances exceptionnelles, assez improbable.
En revanche, une intrusion à l’égard d’un réseau comptant des identifiants et des renseignements financiers de clients qui résulte en l’accès, par des criminels, aux renseignements personnels des personnes concernées ou à la perte de pareils renseignements constituerait fort probablement un incident de confidentialité présentant un risque de préjudice sérieux.
Obligations en cas d’incidents de confidentialité présentant des risques de préjudice sérieux
Notification à la Commission d’accès à l’information. Ainsi, un incident de confidentialité présentant des risques de préjudices sérieux doit être notifié à la Commission d’accès à l’information4 par l’entremise (en date du 8 août 2023) de ce formulaire5.
Notification aux personnes concernées. Tout incident de confidentialité présentant des risques de préjudices sérieux doit également être notifié aux personnes concernées en fournissant les informations prévues par le Règlement sur les incidents de confidentialité. En revanche, un incident de confidentialité n’a pas à être notifié à une personne dont un renseignement personnel est concerné par l’incident tant que cela serait susceptible d’entraver une enquête faite par un organisme (ou une personne) qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois (p. ex.: un corps policier).
Conclusion
Sanctions et conséquences possibles. La Loi sur le privé impose donc de nouvelles obligations en matière de réponse aux incidents de confidentialité. Ne pas respecter ces obligations peut s’avérer dispendieux. Un incident de confidentialité peut non seulement entacher la réputation d’une entreprise et diminuer la confiance des clients et employés envers elle, mais en plus, au Québec, une entreprise non conforme aux obligations en matière de protection des renseignements personnels peut être visée par une sanction administrative pécuniaires pouvant atteindre une somme équivalente à 25 millions de dollars ou à un montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent d’une entreprise. Il importe donc de vous assurer que vos activités soient conformes à ces nouvelles obligations.
Nous pouvons vous aider à vous conformer! L’équipe de protection des renseignements personnels de Cain Lamarre peut vous accompagner dans vos démarches de conformité aux obligations en matière de protection des renseignements personnels, que ce soit pour vous guider dans la gestion d’un incident de confidentialité ou de vous accompagner dans la mise en conformité de votre entreprise. Contactez-nous.
Cette publication a été préparée par Me Stéphanie Thurber, Me Nicolas Aubin et Mme Julia Sutera Sardo.
——————————–
[2] La Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « Loi sur le privé ») définit les incidents de confidentialité comme toute :
(a) Utilisation non autorisée des renseignements personnels ;
(b) Communication non autorisée des renseignements personnels ;
(c) Destruction non autorisée des renseignements personnels ;
(d) Perte des renseignements personnels ; ou
(e) Autre atteinte des renseignements personnels.
[3] Un renseignement est sensible par sa nature notamment médicale, biométrique ou autrement intime ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré d’attente raisonnable en matière de vie privée.
[4] La Commission d’accès à l’information est l’organisation publique responsable d’assurer le respect de la Loi sur le privé à l’égard des organisations privés et publics.