Bulletin

Un règlement pour les incidents de confidentialité - les exigences se précisent... et se distinguent!

Temps de lecture 14 minutes
S'inscrire
Partager

Aperçu

Bulletin #33 | Série spéciale - Québec dévoile les premières modalités d'application de son nouveau régime de protection des renseignements personnels.

Le Québec a fait des vagues avec l’introduction de la Loi modernisant les dispositions législatives en matière de protection des renseignements personnels (la « Réforme »), le Projet de loi 64.

Fidèle à son titre, celle-ci engendre des changements importants pour les organismes du secteur public et du secteur privé. Pour une vue complète des réformes législatives, consultez notre centre de ressources.

Comme indiqué dans notre précédent bulletin sur le sujet, les obligations relatives à la gestion des « incidents de confidentialité »  entreront en vigueur dès le 22 septembre 2022, soit dans moins de trois mois au moment de la publication de cet article.

Or, plusieurs modalités de mise en application des obligations devaient être précisées par règlement. Le 29 juin 2022, le gouvernement partage une première mouture du règlement tant attendu à ce sujet (le « Règlement »)[1].

Ce Règlement précise surtout trois aspects importants pour les gestionnaires d’incidents, et les « responsables de la protection des renseignements personnels » qui devront s’assurer de la conformité de leur organisation (ou de celle qui leur a délégué ce rôle à l’externe) :

  1. Le contenu des avis devant être transmis à la Commission d’accès à l’information (la « Commission »);
  2. Le contenu et les modalités des avis devant être transmis aux personnes dont les renseignements sont concernés par l’incident de confidentialité;
  3. Le contenu et la durée de conservation du registre des incidents de confidentialité.

Jusqu’à maintenant, rien de trop  dépaysant pour les organisations canadiennes qui composent déjà avec des obligations similaires en vertu du Règlement sur les atteintes aux mesures de sécurité (le « Règlement fédéral »). L’approche québécoise retient néanmoins certaines spécificités qui reflètent la prise de conscience accrue de la société au sujet de tels incidents depuis l’adoption du Règlement fédéral  en 2018.

Cet article fait état des principales obligations et différences avec les obligations du Règlement fédéral. Les différences principales sont à trois niveaux :

  1. Les organisations doivent connaitre la nature des renseignements personnels visés par l’incident ou être en mesure de justifier l’impossibilité d’identifier ceux-ci;
  2. Le contenu du registre des incidents de confidentialité est explicité de manière granulaire, alors que le Règlement fédéral adopte une approche plus holistique axée sur les objectifs;
  3. Les organisations doivent tenir le registre des incidents de confidentialité à jour et le conserver pour une période de cinq ans après leur connaissance de l’incident, alors que le Règlement fédéral prévoit une période de vingt-quatre mois.

Avis à la Commission d’accès à l’information

Une organisation doit aviser, avec diligence et par écrit, la Commission qu’un incident de confidentialité présente un risque qu’un préjudice sérieux soit causé. Elle doit aussi transmettre tout renseignement dont elle prend connaissance après avoir transmis un avis initial, avec diligence à compter de la connaissance. L’avis doit, dans la mesure où ils sont connus, contenir les renseignements suivants (les éléments en couleur constituent des nouveautés par rapport aux exigences fédérales) :

  1. le nom de l’organisation ayant fait l’objet de l’incident de confidentialité;
  2. le nom et les coordonnées de la personne à contacter au sein de l’organisation relativement à l’incident;
  3. une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
  4. une brève description des circonstances de l’incident et, si elle est connue, sa cause;
  5. la date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période;
  6. la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident;
  7. le nombre de personnes concernées par l’incident et, parmi celles-ci, le nombre de personnes qui résident au Québec ou, s’ils ne sont pas connus, une approximation de ces nombres;
  8. une description des éléments qui amènent l’organisation à conclure qu’il existe un risque qu’un préjudice sérieux soit causé aux personnes concernées, tels que la sensibilité des renseignements personnels concernés, les utilisations malveillantes possibles de ces renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables;
  9. les mesures que l’organisation a prises ou entend prendre afin d’aviser les personnes dont un renseignement personnel est concerné par l’incident, de même que la date où les personnes ont été avisées ou le délai d’exécution envisagé;
  10. les mesures que l’organisation a prises ou entend prendre à la suite de la survenance de l’incident, notamment celles visant à diminuer les risques qu’un préjudice soit causé ou à atténuer un tel préjudice et celles visant à éviter que de nouveaux incidents de même nature ne se produisent, de même que la date ou la période où les mesures ont été prises ou le délai d’exécution envisagé;
  11. le cas échéant, une mention précisant qu’une personne ou un organisme situé à l’extérieur du Québec et exerçant des responsabilités semblables à celles de la Commission à l’égard de la surveillance de la protection des renseignements personnels a été avisé de l’incident.

Le Règlement obligerait de fournir à la Commission les informations que le Commissariat à la protection de la vie privée du Canada demande de fournir via son propre formulaire de déclaration, mais qu’il n’est pas habileté à exiger aux termes du Règlement fédéral.

La différence principale entre les deux approches est que le Règlement prévoit que les organisations doivent être en mesure de justifier leur impossibilité de décrire la nature des renseignements personnels visés par l’incident. 

Avis aux personnes concernées

Les dispositions concernant les avis aux personnes concernées sont presque identiques à celles prévues par le Règlement fédéral, tant sur les moyens de transmettre ces avis que sur leur contenu.

Contenu de l’avis

L’avis devant être transmis à la personne dont un renseignement personnel est concerné par un incident qui présente un risque qu’un préjudice sérieux soit causé doit contenir les renseignements suivants :

  1. une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
  2. une brève description des circonstances de l’incident;
  3. la date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période;
  4. une brève description des mesures que l’organisation a prises ou entend prendre à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé;
  5. les mesures que l’organisation suggère à la personne concernée de prendre afin de diminuer le risque qu’un préjudice lui soit causé ou afin d’atténuer un tel préjudice;
  6. les coordonnées permettant à la personne concernée de se renseigner davantage relativement à l’incident.

La seule nuance par rapport aux exigences fédérales est, à l’instar des exigences de signalement à la Commission, que les organisations québécoises doivent justifier aux individus l’impossibilité de décrire la nature des renseignements personnels visés par l’incident, le cas échéant.

Moyens d’aviser

Les deux textes prévoient la possibilité de procéder par avis direct et indirect :

  • Un avis direct transmis à la personne concernée par tout moyen; ou
  • Un avis indirect par le biais d’un avis public fait par tout moyen dont on peut raisonnablement s’attendre à ce qu’il permette de joindre la personne concernée.

L’avis direct est préconisé. Les organisations peuvent exceptionnellement procéder par un avis public contenant les mêmes renseignements qu’un avis transmis directement aux personnes concernées dans certaines circonstances précises :

  1. lorsque le fait de transmettre l’avis est susceptible de causer un préjudice accru à la personne concernée;
  2. lorsque le fait de transmettre l’avis est susceptible de représenter une difficulté excessive pour l’organisation;
  3. lorsque l’organisation n’a pas les coordonnées de la personne concernée.

L’organisation assujettie peut également procéder par avis public afin d’agir rapidement pour diminuer le risque qu’un préjudice sérieux soit causé ou afin d’atténuer un tel préjudice. Dans ce dernier cas, l’organisation demeure toutefois tenue de transmettre, avec diligence, un avis direct à la personne concernée lorsqu’elle est en mesure de le faire, à moins que l’une des circonstances énoncées ci-dessus ne s’applique à sa situation.

Registre des incidents

Le registre des incidents diffère de celui requis en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques quant à son contenu et, notamment, quant à la période de conservation.

Le Règlement fédéral est moins prescriptif, exigeant que le registre contienne « tout renseignement qui permet au commissaire de vérifier la conformité » avec l’obligation de déclarer les incidents qui « créent un risque réel de préjudice grave » au commissaire et celle d’aviser les personnes concernées, sans pour autant en préciser le contenu exact. Ce registre doit être conservé pendant 24 mois suivant l’incident.

Le Règlement proposé exige des organisations qu’elles tiennent un registre des incidents de confidentialité devant contenir les informations précises qui suivent, lequel doit être conservé et tenu à jour pendant une période de cinq ans :

  1. une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
  2. une brève description des circonstances de l’incident;
  3. la date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période;
  4. la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident;
  5. le nombre de personnes concernées par l’incident ou, s’il n’est pas connu, une approximation de ce nombre;
  6. une description des éléments qui amènent l’organisation à conclure qu’il existe ou non un risque qu’un préjudice sérieux soit causé aux personnes concernées, tels que la sensibilité des renseignements personnels concernés, les utilisations malveillantes possibles de ces renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables;
  7. si l’incident présente un risque qu’un préjudice sérieux soit causé, les dates de transmission des avis à la Commission et aux personnes concernées, de même qu’une mention indiquant si des avis publics ont été donnés par l’organisation et la raison pour laquelle ils l’ont été, le cas échéant;
  8. une brève description des mesures prises par l’organisation, à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé.

Les organisations diligentes assujetties au Règlement fédéral prévoyaient déjà ce type d’information dans leur registre d’incidents, puisqu’elles sont toutes utiles à la vérification de la conformité par le commissaire.

À retenir

Le Règlement québécois clarifie plusieurs aspects du nouveau régime et rend explicite ce à quoi le Commissariat à la protection de la vie privée du Canada s’attendait de manière implicite à travers son interprétation du Règlement fédéral.

Un inventaire des renseignements personnels est nécessaire pour la conformité aux nouvelles obligations introduites par la Réforme, et cette nécessité est renfoncée par l’obligation de justifier l’impossibilité de déterminer la nature des renseignements personnels visés par un incident de confidentialité.

Le registre des incidents de confidentialité occupe une place centrale dans la vérification de la conformité et, pour ce faire, l’exigence de conservation passe de deux à cinq ans. En 2019, le Commissariat à la protection de la vie privée du Canada avait procédé à une inspection de ces registres et partagé ses constats. Les organisations devraient anticiper un exercice similaire de la part de la Commission, en sus d’un examen en profondeur en cas d’incident de confidentialité.

En attendant l’adoption possible du projet de loi fédéral C-27, la principale différence pour les organisations faisant affaire à travers le Canada sera au niveau de la non-conformité, avec des sanctions significatives introduites par la Réforme qui entrent en vigueur dès septembre 2023.

L’équipe de Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken peut vous aider dans la mise en conformité de votre organisation.

[1] Le Règlement sur les incidents de confidentialité, pris par le Décret 1761-2022 du 30 novembre 2022, a été publié dans la Gazette officielle du Québec  du 14 décembre 2022, 154e année n 50, p. 6819. Il est entré en vigueur le 29 décembre 2022.

Contactez l'auteur

Pour plus d'informations ou pour discuter d'un sujet, veuillez nous contacter.

Contactez l'auteur

Auteur

  • Nareg Froundjian, Avocat | Protection des renseignements confidentiels, vie privée et cybersécurité, Montréal, QC, +1 514 397 7420, nfroundjian@fasken.com
Nareg Froundjian, Avocat | Protection des renseignements confidentiels, vie privée et cybersécurité Nareg Froundjian Avocat | Protection des renseignements confidentiels, vie privée et cybersécurité Montréal, QC +1 514 397 7420

    Abonnement

    Recevez des mises à jour de notre équipe

    S'inscrire