Gestion des incidents de confidentialité : où en sommes-nous?
De façon récurrente, les médias nous rapportent des incidents en lien avec des fuites de renseignements personnels d’envergures diverses dans des entreprises qui, pourtant, sont réputées être à la fine pointe du point de vue de la gestion des données. Ces fuites ne sont pas toujours le fruit d’actes criminels : la simple négligence d’un employé peut, malheureusement, causer des dommages pécuniaires – et réputationnels – importants pour une entreprise, ses clients et ses fournisseurs. Dans le cadre de saines pratiques commerciales, l’important demeure toutefois de limiter le plus possible de tels dommages.
C’est en ayant ceci à l’esprit que l’Assemblée nationale a introduit de nouvelles dispositions dans la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi ») afin d’encadrer les actions des entreprises lorsque se produisent de tels incidents. Ces dispositions sont entrées en vigueur le 22 septembre 2022.
Qu’est-ce qu’un incident de confidentialité?
L’article 3.6 de la Loi définit largement ce que constitue un incident de confidentialité :
3.6. Pour l’application de la présente loi, on entend par « incident de confidentialité » :
1° l’accès non autorisé par la loi à un renseignement personnel;
2° l’utilisation non autorisée par la loi d’un renseignement personnel;
3° la communication non autorisée par la loi d’un renseignement personnel;
4° la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
Ainsi, le vol d’un ordinateur portable ou d’un dossier physique, une attaque informatique, l’envoi erroné d’un courriel contenant des renseignements personnels à une personne étrangère à l’entreprise ou la perte d’un attaché-case dans un lieu public constituent des exemples courants d’incidents de confidentialité.
Ce que les organisations doivent faire
Implanter un registre des incidents de confidentialité
La Loi impose aux entreprises de tenir un registre des incidents de confidentialité. Le règlement prévoyant le contenu minimal de ce registre n’a pas encore été adopté, bien qu’un projet de règlement ait été publié le 29 juin dernier. Si le projet de règlement est adopté tel quel, le registre devra donc contenir minimalement les éléments suivants :
- Une description des renseignements personnels visés par l’incident;
- Une brève description des circonstances de l’incident;
- La date ou la période où l’incident est survenu;
- La date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident;
- Le nombre de personnes concernées par l’incident (ou son approximation);
- Une description des éléments qui amènent l’organisation à conclure s’il existe ou non un risque de préjudice sérieux aux personnes concernées;
- En présence d’un préjudice sérieux, les dates de transmission des avis requis à la Commission d’accès à l’information du Québec (la « Commission») et aux personnes concernées;
- Une brève description des mesures prises afin de diminuer les risques qu’un préjudice soit causé.
L’obligation de tenir un registre existe malgré le fait que le règlement n’ait pas été formellement adopté. Une bonne pratique consiste donc à ce que le registre implanté contienne minimalement les informations nécessaires contenues au projet de règlement.
En présence d’un risque d’un préjudice sérieux : avisez la Commission et les personnes concernées
La Loi prévoit également que si l’incident présente un risque de préjudice sérieux, l’entreprise doit en aviser la Commission et les personnes concernées par l’incident. La Commission a déjà publié le modèle d’avis à lui notifier; quant aux personnes visées, l’avis devra minimalement contenir, suivant l’adoption du projet de règlement, les mentions suivantes :
- Une description des renseignements personnels visés par l’incident;
- Une brève description des circonstances de l’incident;
- La date ou la période où l’incident a eu lieu;
- Une brève description des mesures prises ou qui seront prises à la suite de l’incident, afin de diminuer les risques de préjudice;
- Les mesures que l’organisation suggère à la personne concernée de prendre afin de diminuer le risque de préjudice ou d’atténuer le préjudice;
- Les coordonnées permettant à la personne concernée de se renseigner davantage relativement à l’incident.
La notion de préjudice sérieux n’a pas été clairement définie dans la Loi, bien que les critères d’évaluation l’aient été. Ainsi, la sensibilité du renseignement concerné, les conséquences appréhendées de l’utilisation du renseignement personnel et la probabilité que celui-ci soit utilisé à des fins préjudiciables constituent les critères à soupeser par l’entreprise et son responsable de la protection des renseignements personnels.
Les débats parlementaires (voir ici et ici), de leur côté, sont un peu plus éloquents sur la notion de préjudice sérieux. La communication d’un numéro d’assurance sociale a été donnée en exemple, tout comme les risques d’humiliation, de dommage à la réputation, de pertes financières, de vol d’identité, d’effet négatif sur le dossier de crédit, de dommages ou de perte liés aux biens, de perte de possibilité d’emploi, d’occasions d’affaires ou d’activités professionnelles. La jurisprudence saura certainement regorger d’exemples plus illustratifs, compte tenu du contexte propre à chaque cas d’espèce.
Conclusion
La Loi contient désormais des obligations plus contraignantes pour les entreprises lorsque survient un incident de confidentialité. Les pouvoirs d’intervention de la Commission ont d’ailleurs été accentués et des sanctions administratives pécuniaires peuvent être prises par celle-ci. En outre, une personne autre qu’une personne physique qui omet de déclarer un incident de confidentialité est passible d’une amende de 15 000 $ à 25 millions de dollars ou du montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent s’il est supérieur à 25 millions de dollars.
Il est donc fondamental de prendre le temps nécessaire afin de s’attarder à la prévention et à la gestion des incidents de confidentialité dans son organisation.