En 2021, le Québec a été marqué par d'importantes avancées en matière de protection des renseignements personnels[1] , notamment en adoptant diverses mesures législatives en réponse à des incidents majeurs de confidentialité, lesquels ne cessent de se multiplier. Ces changements législatifs ont créé de nouvelles obligations en plus de renforcer celles instaurées en 1993, qui sont désormais accompagnées de sanctions imposantes[2].
Personne n’est à l’abri d’un incident de confidentialité. Le nouveau régime de sanctions ne vise pas à punir les organisations victimes d’incidents de confidentialité, mais plutôt à punir celles qui n’ont pris aucune mesure pour les prévenir.
Un incident peut révéler des failles organisationnelles et des situations de non-conformité, et attirer l’attention des particuliers concernés et de la Commission d’accès à l’information du Québec (ou de ses homologues). Voici des exemples de manquements pouvant être observées:
- manquement à l’obligation de collecter uniquement les renseignements personnels nécessaires aux fins prescrites;
- manquement à l’obligation de ne conserver les renseignements personnels que pour la période nécessaire aux fins prescrites;
- manquement à l’obligation de prendre les mesures de sécurité requises pour assurer la protection des renseignements personnels.
Voici donc quelques conseils pour réduire le risque de survenance d’un incident de confidentialité et limiter son impact.
Limiter les dégâts en limitant la collecte
On ne peut accéder sans autorisation à des renseignements qui n’existent pas, ni les communiquer ou les utiliser. Ainsi, il convient de limiter la quantité de renseignements personnels recueillis. Toute collecte doit respecter le principe de nécessité[3] , notamment ancré dans la loi québécoise depuis plus de 30 ans de même que dans la loi fédérale sur la protection des renseignements personnels et les documents électroniques[4] .
Lorsque vient le temps d’évaluer le « risque de préjudice sérieux »[5] associé à un incident de confidentialité, plusieurs organisations se réjouissent de n’avoir collecté que des codes postaux au lieu d’adresses complètes, ou d’années de naissance seulement au lieu de dates complètes.
Avant de recueillir des renseignements personnels, on doit, comme le dit si bien un comptable québécois connu avant d'engager des dépenses, se poser la question suivante : « En as-tu vraiment besoin? »[6]. Si la collecte s’inscrit dans la mise en place d’un projet d’acquisition, de développement et de refonte d’un système informatique ou de prestation électronique de services[7] , il convient d’effectuer une « évaluation des facteurs relatifs à la vie privée » en considération de ce principe. De plus, rien dans la loi n’empêche la réalisation d’une telle évaluation à l’égard de processus existants.
Limiter les dégâts en faisant le ménage
Limiter la portée de la collecte initiale facilite également le respect du principe de « Ce qui n'existe pas n'a pas besoin d'être réévalué ni supprimé périodiquement ».
Lorsque des renseignements personnels sont recueillis, la durée de conservation de ces derniers doit être limitée dans le temps[8] . En gardant à l’esprit la règle du principe de nécessité, il faut régulièrement se demander « En as-tu [toujours] besoin? »[9] .
Plusieurs organisation peinent à expliquer aux particuliers et à la Commission d’accès à l’information du Québec les raisons pour lesquelles des renseignements, périmés ou non, circulent sur le Web clandestin, alors que d’autres se réjouissent de l’archivage automatique de leurs courriels après 12 mois.
Le meilleur moyen de respecter ce principe est de mettre en place un calendrier de conservation et de destruction des renseignements personnels. Une tâche fastidieuse en amont, mais qui diminue considérablement le risque pour les entreprises privées d’être exposées à des sanctions importantes[10] .
Limiter les risques en prenant des mesures adéquates
Les mesures de sécurité adoptées doivent tenir compte de la sensibilité des renseignements personnels, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support[11] . Tous les risques ne peuvent pas être éliminés et il n'y a pas de solution miracle, mais certaines mesures universelles comprennent :
- Activités de formation et de sensibilisation du personnel. Ces activités de formation visent à développer la capacité des membres du personnel à reconnaître les tentatives d’intrusion, comme les courriels d’hameçonnage ou d’autres techniques d’ingénierie sociale. Le personnel est la première ligne de défense.
- Authentification multifacteur (AMF). Cette méthode d’authentification constitue une couche de protection supplémentaire faisant appel à au moins deux facteurs de vérification de l’identité. Elle joue un rôle clé dans la prévention d'intrusions. Il ne s’agit pas d’une solution miracle, mais la majorité des incidents se produisent ou s’aggravent lorsqu’un compte n’est pas sécurisé à l’aide de l’AMF.
- Mots de passe robustes. Les mots de passe faibles sont souvent le résultat de pratiques obsolètes, comme les exigences relatives à la complexité ou aux réinitialisations périodiques. Ces pratiques encouragent l’utilisation de mots de passe prévisibles ou d’autres pratiques dangereuses (p. ex., l’enregistrement de mots de passe en format lisible dans un document nommé « mots de passe »).
Il faut se rappeler que ces mêmes risques existent également chez tout sous-traitant. Ces risques peuvent être contrôlés en incluant les principes énoncés précédemment dans un contrat écrit pour : i) limiter la communication des renseignements personnels qu’à ceux qui sont nécessaires; ii) assurer leur destruction à la fin du contrat; iii) obliger la mise en place de mesures de sécurité[12] . En outre, toute entreprise doit s’assurer de pouvoir vérifier si son sous-traitant respecte les modalités du contrat.
Pour toute question en lien avec la prévention ou la gestion d’incidents de confidentialité, n’hésitez pas à contacter Kateri-Anne Grenier, Julie Uzan-Naulin, Nareg Froundjian, Jade Paquin-Robidoux ou tout autre membre de l’équipe Protection des renseignements personnels, vie privée et cybersécurité de Fasken.
