Mon entreprise a subi un vol de données! Dois-je le signaler?

À compter du 22 septembre 2022, les entreprises privées et organismes du secteur public devront aviser la Commission d’accès à l’information (la « CAI ») et les personnes concernées de tout incident de confidentialité impliquant un renseignement personnel qu’ils détiennent et présentant un risque de préjudice sérieux, sous peine, notamment, de sanctions administratives et pénales importantes. Cette nouvelle obligation de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021, c 25 (la « Loi 25 ») vient donc renforcer le cadre juridique actuel en matière de protection des renseignements personnels au Québec, qui ne comptait jusqu’ici aucune obligation de signalement.

Qu'est-ce qu'un « incident de confidentialité »?

Selon l'article 3.6 de la Loi 25, l’expression « incident confidentialité » désigne tout accès, toute communication ou toute utilisation de renseignements personnels qui n'est pas autorisé par la loi, ainsi que la perte de renseignements personnels ou toute autre atteinte à la protection des renseignements personnels. Un incident de confidentialité peut donc prendre plusieurs formes, incluant les tentatives d’hameçonnage, les attaques par rançongiciel et par force brute, l’extraction ou la divulgation non autorisée de renseignements personnels par un employé, ou encore la publication accidentelle de renseignements personnels en ligne.

Signalement à la CAI

Lorsqu'une entreprise a des raisons de croire qu'un incident de confidentialité s'est produit, elle doit d’abord prendre des mesures raisonnables pour diminuer les risques de préjudice et éviter que de nouveaux incidents de même nature ne se produisent. Si l'entreprise détermine que l'incident présente un risque de préjudice grave, elle devra le signaler sans délai à la CAI conformément à l’article 3.5(2) de la Loi 25. Cette obligation de signalement s'appliquera également à toute entité ou tiers qui a la garde ou le contrôle des renseignements personnels pour le compte de l’entreprise.

Pour évaluer le risque de préjudice pour les personnes dont les renseignements personnels sont concernés par l'incident, l'entreprise devra consulter la personne responsable de la protection des renseignements personnels au sein de l'entreprise et tenir compte de la sensibilité des renseignements, des conséquences prévues de leur utilisation et de la probabilité que ces renseignements soient utilisés à des fins préjudiciables.

Signalement aux personnes concernées

Une fois qu'une entreprise a déterminé que le signalement est nécessaire, elle doit notifier toute personne dont les renseignements personnels sont concernés par l'incident, à défaut de quoi la CAI peut lui ordonner de le faire. Elle peut également aviser toute personne ou tout organisme, y compris un fournisseur de services, susceptible de réduire le risque de préjudice sérieux, en ne communiquant que les renseignements personnels nécessaires à cette fin sans le consentement des personnes concernées. Toute communication de ce type devra toutefois être consignée par écrit (art. 3.5(2) Loi 25). 

Forme et contenu du signalement

Pour l’instant, la Loi 25 ne prévoit pas d’obligations particulières quant à la forme, au contenu et aux modalités de transmission des signalements, bien qu’elles pourraient être déterminées par règlement à une date ultérieure. En cas d’incident de confidentialité présentant un risque de préjudice sérieux, les entreprises ont néanmoins intérêt à inclure les informations minimums suivantes dans leur avis aux personnes concernées : (i) une description des circonstances et la date ou la période où s’est produit l’incident, (ii) les renseignements personnels visés par l’incident, (iii) les mesures que l’entreprise a prises ou qui sont disponibles pour réduire les risques de préjudice qui pourraient résulter de l’incident, (iv) les mesures que peuvent prendre les personnes concernées afin de réduire les risques de préjudice ou afin d’atténuer un tel préjudice, et (iv) les coordonnées permettant à ces personnes d’obtenir plus d’information au sujet de l’incident.

Création d'un registre des incidents

La Loi 25 prévoit également l’obligation pour les entreprises de tenir un registre de tout incident de confidentialité, qu'il représente un risque de préjudice sérieux ou non. Sur demande de la CAI, l’entreprise devra obligatoirement lui transmettre une copie de ce registre (art. 3.8 Loi 25). 

Conclusion

Pour pouvoir se conformer à ces nouvelles obligations et aux autres dispositions de la Loi 25, les entreprises doivent dès aujourd’hui mettre en place un programme de gouvernance de l’information qui comprend notamment un plan de gouvernance, de la formation en continu pour les employés et les partenaires commerciaux ainsi que le déploiement de technologies appropriées. Notre équipe peut vous aider à mettre en place un programme de gouvernance complet au sein de votre entreprise en plus de vous offrir des conseils sur mesure pour l’évaluation, le suivi et le respect de la conformité. 

***Veuillez noter que les renseignements personnels traités par une entreprise du Québec peuvent également être soumis à d’autres régimes juridiques, dont la Loi sur la protection des renseignements personnels et les documents électroniques S.C. 2000 C.5 (loi fédérale canadienne) et le Règlement général sur la protection des données (Europe), en vertu desquels le signalement des incidents de confidentialité est déjà obligatoire.***