Restez informé de nos articles les plus récents, nos activités de formation et offres d'emploi.

Infolettre Therrien Couture Joli-Coeur

Restez informé de nos articles les plus récents, nos activités de formation et offres d'emploi.

Écrivez-nous

Technologie et gouvernance de l’information

5 étapes à suivre en cas d’incident de confidentialité : votre entreprise est-elle prête à réagir?

La Loi visant à moderniser les dispositions législatives en matière de protection des renseignements personnels1 (la « Loi 25 », anciennement le Projet de loi n° 64) contient des dispositions qui entreront en vigueur à compter du 22 septembre 2022.

Comme son nom l'indique, cette loi vise à moderniser et à renforcer le cadre juridique québécois actuel en matière de respect de la vie privée et de protection des renseignements personnels, dont la Loi sur la protection des renseignements personnels dans le secteur privé[2] (la « Loi du secteur privé ») fait partie. À titre d’exemple, les entreprises et autres organisations qui sont assujetties à la Loi 25 se verront imposer des obligations et responsabilités plus importantes, notamment ce qui a trait au signalement obligatoire de tout incident de confidentialité pouvant causer un préjudice grave aux personnes concernées[3]. Cette obligation de signalement existe déjà en vertu de la loi fédérale canadienne (la Loi sur la protection des renseignements personnels et les documents électroniques[4]), ainsi que dans d'autres juridictions étrangères, comme l’Union européenne[5]. Pour en savoir plus sur le signalement obligatoire, vous pouvez consulter notre article publié le 9 mars 2022.

Le signalement n’est pas la seule obligation qu'une entreprise doit prendre en compte lorsqu'elle fait face à un incident de confidentialité, peu importe la cause.

Afin de vous aider à comprendre comment gérer un incident de confidentialité lorsqu’il se produit, nous avons préparé les directives générales suivantes. Nous vous encourageons à prendre connaissance de ces directives et à évaluer si votre entreprise a mis en place les mesures nécessaires pour se conformer à ses obligations légales et être prête à réagir en cas d’incident[6].

Liste de contrôle en cas d’incident de confidentialité :

Étape 1 : Rassemblez votre équipe et menez une enquête préliminaire

Le principe de « responsabilité » est l’un des piliers de la Loi 25[7] : les entreprises sont responsables des renseignements personnels qu’elles traitent dans le cadre de leurs activités et opérations, et ce, même lorsque ces renseignements sont gérés ou conservés par un tiers. À ce titre, votre organisation doit désigner, au minimum, un responsable de la gestion des incidents et veiller à ce que cette personne connaisse son rôle et ses responsabilités. En cas d’incident, le responsable et son équipe devront, dans les plus brefs délais, procéder à une enquête préliminaire et minimiser tout risque de préjudice pour les personnes concernées par l’incident.

 A.   Comprendre la nature de l’incident

Pour être en mesure de gérer un incident de confidentialité adéquatement, il faut tout d’abord comprendre ce qui s’est passé : un de vos employés a-t-il commis une erreur en cliquant sur un hyperlien contenu dans un courriel? Un de vos dirigeants a-t-il oublié son ordinateur portable dans un avion? Vos systèmes informatiques ont-ils été piratés par des cybercriminels? En plus de chercher à comprendre comment l’événement s’est produit, il est également crucial de déterminer si l’incident est en toujours en cours ou s’il a été effectivement interrompu.

Pour bien comprendre la source et les circonstances qui ont conduit à cet incident, assurez-vous de travailler de concert avec des professionnels en technologie et en sécurité de l’information.

B. Identifiez les renseignements qui ont été compromis

En principe, l’ensemble des renseignements personnels que vous traitez doit être documenté et catalogué, y compris les informations de nature sensible relatives à la propriété intellectuelle de votre entreprise et à des tiers (ex. : vos partenaires d’affaires), et ce, tout au long de leur cycle de vie. Lorsque des renseignements personnels ont été compromis par un incident de confidentialité, il faut alors déterminer combien de personnes peuvent avoir été touchées par l’incident et le risque de préjudice qu’elles courent.

Il est recommandé de consulter des professionnels du droit pour vous aider à déterminer si vos activités de traitement des renseignements personnels comportent des risques de préjudice grave.

C. Consultez vos politiques internes et vos contrats conclus avec des tiers

Après avoir circonscrit l’incident, déterminé qui sont les personnes affectées et évalué le niveau de risque en jeu, le responsable de la protection des renseignements personnels et son équipe doivent consulter les politiques internes de l’entreprise, incluant le plan de réponse aux incidents et le protocole de communication, ainsi que l’ensemble des contrats conclus avec des tiers afin de s’assurer que la réponse de son équipe se fasse en conformité avec ces politiques.

En principe, les politiques internes de l’entreprise doivent prévoir des stratégies de gestion de risques, incluants :

  • Les différents types d’incidents susceptibles d’affecter l’entreprise qui peuvent être qualifiés d’« incident de confidentialité »;
  • Les types de scénarios pouvant entraîner un risque de préjudice grave pour un individu;
  • Les types d’incidents qui requièrent un signalement aux autorités compétentes et une notification aux personnes concernées.

Il est recommandé de consulter des professionnels du droit pour vous aider à élaborer ces politiques et passer en revue vos contrats conclus avec des tiers.

Si votre entreprise ne dispose pas encore de politique en matière de respect de la vie privée et de protection des renseignements personnels, nous vous recommandons d’entreprendre des démarches de conformité à Loi 25 dès aujourd’hui. La Loi 25 stipule explicitement que les entreprises sont responsables de la protection des renseignements personnels qu’elles traitent en plus de prévoir l’obligation d’établir et de mettre en œuvre des politiques et des pratiques encadrant leur gouvernance à l’égard de ces renseignements. De plus, la mise en place d’un programme de gouvernance complet peut prendre plusieurs mois pour se réaliser.

D. Consultez vos polices d’assurance (le cas échéant)

Si vous avez souscrit une police d’assurance contre les cyberrisques et les atteintes à la confidentialité, il est important que votre équipe en connaisse les conditions et les modalités et qu’elle sache à quel moment contacter l’assureur. Par exemple, votre assureur pourrait vous obliger à faire appel à ses propres experts mandatés pour enquêter sur l’incident sous peine de refus de votre réclamation. Il est donc important de bien vérifier les conditions et modalités de votre police d’assurance avant d’agir ou vous risquez d’être déclaré inéligible à la couverture de votre police.

Étape 2 : Signalement aux autorités compétentes et notification aux personnes concernées (le cas échéant)

À compter du 22 septembre 2022, les entreprises privées devront aviser la Commission d’accès à l’information (la « CAI ») et les personnes concernées de tout incident de confidentialité impliquant un renseignement personnel qu’ils détiennent et présentant un risque de préjudice sérieux[8]. Il est donc primordial de s’assurer que tous les rapports ou avis requis par la loi soient déposés auprès des autorités compétentes et des personnes concernées en temps opportun et selon les modalités prescrites par la loi. Pour plus d’informations sur le signalement d’un incident de confidentialité au Québec, veuillez consulter notre article ici.

Mentionnons qu’une pratique exemplaire consiste à préparer à l’avance des lettres de notification et d’établir une stratégie de gestion des personnes touchées par l’incident. Ainsi, en plus d’informer les personnes concernées, il est possible de déterminer à l’avance des initiatives qui seront mises en place en cas d’incident de manière à réduire les conséquences négatives pour les personnes touchées. Par exemple, il peut s’agir d’une ligne d’assistance dédiée à la gestion de l’incident, d’un accès gratuit à des services de surveillance du crédit, de la possibilité de communiquer avec un représentant de l’entreprise ou de tout autre service que vous souhaitez offrir à ces personnes. La personne chargée de répondre aux questions des personnes concernées devrait être désignée à l’avance afin d’éviter toute confusion ou tout retard inutile.

Étape 3 : Signalement à des tiers (le cas échéant)

Votre organisation a-t-elle l’obligation de signaler les incidents à ces tiers en vertu de contrats? Outre la notification aux autorités compétentes et aux personnes concernées, il est important de tenir compte des contrats conclus avec des tiers, tels des fournisseurs de services ou tout autre partenaire d’affaires. En vertu de ces contrats, votre entreprise pourrait avoir l’obligation de signaler l’incident de confidentialité à certains tiers ou de notifier l’incident à ces tiers dans un certain délai.

Étape 4 : Mise à jour du registre des incidents de confidentialité

La Loi 25[9], tout comme la loi fédérale canadienne[10], prévoit l’obligation pour les entreprises de tenir un registre des incidents de confidentialité afin de documenter tous les événements affectant ou pouvant affecter la confidentialité et la sécurité de vos données. Puisqu’il s’agit d’un outil essentiel de suivi, ce registre doit être détaillé autant que possible : il devrait notamment comprendre une description des faits relatifs à chacun des incidents, les causes et conséquences des atteintes ainsi que les mesures correctives qui ont été prises pour y remédier afin qu’il ne se reproduise pas. Ce travail de documentation est primordial : c’est ce qui permet à une autorité de contrôle, comme la CAI, de vérifier la conformité de votre entreprise à la loi.

Étape 5 : Mesures préventives et correctives

Une fois les premières étapes franchies, il est nécessaire de poursuivre votre enquête de manière approfondie afin d’identifier et de mettre en place les mesures correctives et préventives nécessaires. En pratique, il s’agit de passer en revue l’ensemble de vos mesures actuelles, y compris vos politiques, pratiques, formations, stratégies, mesures de sécurité ainsi que vos relations d’affaires afin d’identifier les mesures qui devront être mises en place pour minimiser les effets de l’incident, corriger toutes les lacunes identifiées lors de l’enquête approfondie et réduire les risques de récidive. Il peut s’agir, par exemple, de renégocier vos ententes contractuelles avec des tiers, de changer de fournisseur de services, de restreindre l’accès aux renseignements personnels, de former adéquatement vos employés, de souscrire à une police d’assurance contre les cyberrisques, de modifier vos politiques internes ou de mettre à jour vos solutions technologiques.

Ce processus peut prendre un certain temps et nécessiter l’intervention de professionnels du droit et de la sécurité de l’information.

Conclusion

La prévention est toujours de mise en matière de respect de la vie privée et de protection des renseignements personnels. Pour être prête à réagir rapidement et de manière efficace en cas d’incident de confidentialité, votre entreprise doit préalablement avoir établi et mis à l’essai un plan de réponse adéquat. Ces démarches préventives vous permettront d’atténuer les risques de préjudice pour les personnes concernées tout en protégeant votre entreprise.

Entreprenez des démarches dès maintenant pour vous assurer que votre organisation dispose d’un plan de réponse solide avant qu’elle ne soit confrontée à un incident de confidentialité.

Pour obtenir des conseils sur la mise en place d’un programme de gouvernance au sein de votre entreprise ou sur l’évaluation, le suivi et le respect de la conformité, contactez un membre de notre équipe qui pourra vous aider à atteindre vos objectifs.        


 

AIDE-MÉMOIRE POUR MIEUX RÉAGIR EN CAS D’INCIDENT DE CONFIDENTIALITÉ

Lorsqu’un incident de confidentialité porte atteinte aux renseignements personnels que vous traitez, votre équipe doit rapidement le signaler au chef de votre équipe d’intervention et mettre en œuvre ce qui suit :

  • Valider et classer les types de renseignements personnels affectés. Assurez-vous d’avoir une liste exhaustive de vos bases de données, des serveurs fichiers et des documents qui comportent des renseignements personnels;
  • Veiller à ce qu’une enquête appropriée et impartiale (y compris la criminalistique numérique, si nécessaire) soit lancée, menée, documentée et conclue;
  • Identifier les vulnérabilités et les solutions à implanter pour corriger celles-ci et réaliser des tests afin de s’assurer que les mesures de correction sont efficaces;
  • Faire rapport des conclusions à la haute direction;
  • Coordonner avec les autorités compétentes au besoin;
  • Coordonner les communications internes et externes;
  • Assurez-vous que les personnes concernées sont correctement informées, si nécessaire.

L’équipe d’intervention doit se réunir pour chaque violation de renseignements personnels (réelle ou présumée). Si l’incident de confidentialité en cause implique la violation de renseignements personnels, l’équipe d’intervention doit être dirigée par le chef de l’équipe.

Lorsque l’incident de confidentialité (réel ou présumé) affecte des renseignements personnels traités pour le compte d’un tiers responsable du traitement (un contrôleur de données), le responsable de la protection des renseignements personnels de votre entreprise doit, à titre de sous-traitant, signaler l’incident au(x) contrôleur(s) de données sans retard injustifié.

Le responsable de la protection des données enverra une notification au tiers contrôleur de données, laquelle devra comprendre les éléments suivants :

  • Une description de la nature de la violation
  • Catégories de renseignements personnels affectés
  • Nombre approximatif de personnes concernées
  • Nom et coordonnées du chef d’équipe / responsable de la protection des renseignements personnels pour la réponse aux atteintes à la protection des données
  • Conséquences de la violation de renseignements personnelsMesures prises pour remédier à la violation des renseignements personnels
  • Toute information relative à l’incident de confidentialité

Lorsque l’incident de confidentialité (réel ou présumé) affecte les renseignements personnels traités par votre entreprise et que celle-ci agit en tant que contrôleur de données, les actions suivantes doivent être effectuées par le responsable de la protection des renseignements personnels :

  1. La société doit établir si l’incident de confidentialité doit être signalé à l’autorité de surveillance appropriée.
  2. Afin d’établir le risque pour les droits et libertés de la personne concernée, le responsable de la protection des renseignements personnels doit effectuer l’évaluation des risques de préjudices sérieux pouvant affecter les personnes concernées par l’incident de confidentialité.
  3. Si l’incident de confidentialité n’est pas susceptible d’entraîner un risque qu’un préjudice sérieux soit causé aux personnes concernées, aucune notification n’est requise. Cependant, l’incident de confidentialité doit être documenté et enregistré dans le registre des incidents de votre entreprise.
  4. L’autorité de surveillance appropriée doit être notifiée sans retard injustifié, si l’incident de confidentialité est susceptible de causer un préjudice sérieux aux personnes concernées par l’incident. Toute raison possible de retard doit être communiquée à l’autorité de surveillance appropriée.

[1] LQ 2021, c. 25. 
[2] c P-39.1.
[3] Loi 25, articles 3.5-3.8.
[4] L.C. 2000, ch. 5, principe 7, clause 4.7, annexe 1;
[5] Règlement général sur la protection des données, 2016/679.
[6] Ces directives sont principalement basées sur le droit québécois et canadien. Si vous traitez des données provenant d’autres juridictions, il est possible que vous ayez à vous conformer à des obligations supplémentaires qui ne sont pas abordées dans le présent article. Veuillez noter que ces directives vous sont données à titre informatif seulement. Elles ne sont pas exhaustives et ne sauraient constituer un conseil ou un avis juridique. Nous vous recommandons de toujours obtenir l’avis de votre propre avocat avant de prendre des décisions ou des mesures susceptibles d’avoir des répercussions juridiques. Nous vous recommandons également de consulter des experts en sécurité de l'information afin de préparer adéquatement votre plan de réponse aux incidents de confidentialité.
[7] Loi 25 s. 3.1 (1).
[8] Loi 25, art. 3.5(2).
[9] Loi 25 articles 3.5-3.8.
[10] Voir Section 1.1, para 10.3(1) LPRPDE.

3