Nouvelles obligations de signalement d'incidents de confidentialité en cette période de cybertension

La pandémie de COVID-19 crée de nouveaux défis en matière de cybersécurité. D'une part, la convergence massive vers le télétravail expose plus que jamais les données circulant au sein des organisations. D'autre part, le Centre canadien pour la cybersécurité émet depuis la mi-mars une alerte à propos du risque élevé de cybermenaces pesant sur les organismes canadiens de santé et de recherche médicale impliqués dans la réponse à la crise sanitaire.

Les moutures actuelles de la Loi sur la protection des renseignements personnels dans le secteur privé^[1](la « Loi sur le secteur privé ») et la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels^[2] (la « Loi sur l'accès » et collectivement avec la Loi sur le secteur privé, les « Lois ») ne prévoient aucune obligation légale de signalement d'incidents impliquant la fuite de renseignements personnels, ceci étant donc présentement laissé à la discrétion des entreprises privées et des organismes publics y étant assujettis. Le Québec accuse actuellement un retard par rapport à la loi fédérale^[3], la loi albertaine^[4] et le Règlement général sur la protection des données^[5] en Europe, lesquels prévoient déjà des obligations relativement au signalement des incidents de confidentialité.  Le Projet de loi n° 64^[6] (le « Projet de loi ») propose d'introduire de nouvelles obligations à cet égard dans la Loi sur le secteur privé et la Loi sur l'accès, lesquelles impacteront les entreprises privées et les organismes publics québécois relativement à leur préparation et leur gestion des incidents de confidentialité.

Nouvelles règles en matière de signalement et de documentation des « incidents de confidentialité »

Notion d'« incident de confidentialité »

D'abord, le Projet de loi propose d'introduire dans chacune des Lois la notion d'« incident de confidentialité », laquelle y est définie comme étant:

• Un accès, une utilisation ou une communication non autorisés par la loi d'un renseignement personnel; ou
• La perte d'un renseignement personnel ou toute autre atteinte à la protection d'un tel renseignement^[7].

Un incident de confidentialité peut donc prendre plusieurs formes : intrusions par un tiers dans le système informatique d'une organisation, attaque par rançongiciel, perte de données provoquée par un virus ou par une faille informatique, extraction de données par un employé ou une personne non autorisée, etc.

Obligation de signalement

Le Projet de Loi propose l'ajout dans les Lois d'une obligation d'aviser avec diligence les personnes et organismes suivants si l'incident de confidentialité présente un risque qu'un préjudice sérieux soit causé^[8] :

• La CAI;
• Toute personne dont le(s) renseignement(s) personnel(s) est/sont concerné(s) par l'incident; et
• Tout organisme susceptible de diminuer le risque, en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée (facultatif).

Le Projet de Loi ne prévoit pas de délai fixe pour aviser ces parties, mais prévoit plutôt que le signalement doive se faire avec « diligence »^[9]Si une entreprise omet de notifier les personnes dont les renseignements personnels sont concernés par l'incident, la CAI peut lui ordonner de le faire. Toutefois, il faut prendre note qu'une personne dont un renseignement personnel est concerné par l'incident n'a pas à être avisée tant que cela serait susceptible d'entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois^[10]

Le Projet de Loi fournit également des balises permettant d'évaluer s'il existe un risque de préjudice sérieux pour une personne dont un renseignement personnel est concerné par un incident de confidentialité. Les éléments à considérer sont notamment la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu'il soit utilisé à des fins préjudiciables^[11].

Obligation de tenir un registre des atteintes

Le Projet de Loi introduit l'obligation pour une entreprise de tenir un registre des incidents de confidentialité, registre qui devra être transmis à la Commission à sa demande^[12]. Un incident de confidentialité pourra ainsi laisser des taches persistantes sur l'image des organisations, alors que ce registre sera plus souvent qu'autrement demandé lors de vérifications diligentes préalables à la conclusion de partenariats, de toute autre transaction de nature commerciale, ou même, de litige mettant en  cause la sécurité de l'information.

Sanctions découlant du non-respect des nouvelles règles

Dans le cas spécifique d'un incident de confidentialité, la CAI peut ordonner à toute personne l'application de toute mesure visant à protéger les droits des personnes concernées, pour le temps et les conditions qu'elle détermine^[13].

De plus, outre les conséquences réputationnelles découlant d'un incident de confidentialité, des sanctions administratives pécuniaires pourront être imposées à toute personne qui ne déclare pas à la Commission ou aux personnes concernées, lorsqu'il y est tenu, un incident de confidentialité^[14]. Le montant de la sanction administrative pécuniaire serait discrétionnaire et  d'un maximum de 50 000 $ pour une personne physique et de 10 000 000 $ (ou un montant correspondant à 2 % du chiffre d'affaires mondial de l'exercice financier précédent, si ce dernier montant est plus élevé) pour les autres cas sous la Loi sur le secteur privé. 

Des dispositions pénales sont également applicables. Le Projet de Loi prévoit, pour la Loi sur le secteur privé, que commettrait une infraction passible d'une amende de 5 000 $ à 50 000 $, dans le cas d'une personne physique, et de 15 000 $ à 25 000 000 $ (ou du montant correspondant à 4% du chiffre d'affaires mondial de l'exercice financier précédent si ce montant est plus élevé), toute personne qui omet de déclarer, s'il est tenu de le faire, un incident de confidentialité à la CAI ou aux personnes concernées^[15].

Comment les organisations peuvent-elles se préparer à l'entrée en vigueur de ces nouvelles règles?

Les mesures requises aux termes des Lois et du Projet de loi

Les Lois actuelles prévoient déjà que les entreprises privées et les organismes publics doivent prendre des mesures de sécurité « propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support »^[16].

Le Projet de loi garde intactes ces dispositions et propose, en outre, l'ajout de dispositions voulant qu'une personne qui exploite une entreprise privée ou un organisme public ayant « des motifs de croire que s'est produit un incident de confidentialité impliquant un renseignement personnel qu'il détient doit prendre les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent »^[17]. 

Ainsi, à ces premières mesures « fixes » de sécurité s'ajoutent des mesures « réactives » de remédiation des incidents de confidentialité ainsi que de prévention d'incidents subséquents.

Les mesures à prendre en pratique

En pratique, alors que le Projet de loi ne fournit pas pour le moment d'indice sur la nature précise de ces « mesures raisonnables », les mesures suivantes devraient notamment être considérées en premier lieu par toute organisation ayant des motifs de croire qu'un incident de confidentialité est survenu: 

• Une enquête approfondie du(es) système(s) informatique(s) touché(s);
• La modification des mots de passe donnant accès au(x) système(s);
• L'amélioration des protocoles de sécurité en place; etc.

Toutefois, bien que ces premiers réflexes puissent être utiles en cas d'incident de confidentialité, nous recommandons fortement aux organisations de se préparer en amont à cet égard. Fasken possède une expertise pointue en matière de sécurité de l'information et de gestion d'incidents de confidentialité et peut ainsi vous conseiller en lien avec les nombreuses mesures à prendre afin de prévenir adéquatement les incidents de confidentialité et d'y réagir convenablement, le cas échéant. Ces mesures incluent, notamment :

• Des mesures de prévention d'incidents:

• La revue et l'amélioration des systèmes informatiques et des mesures de protection informatiques, dont notamment les antivirus et les sauvegardes de données;
• La pratique de tests d'intrusion afin de contrôler la fiabilité des mesures de protection des systèmes informatiques;
• Formation du personnel sur les risques associés aux cyberattaques, les meilleures pratiques à adopter en matière de protection des renseignements personnels et de déclaration des incidents potentiels;
• Procéder à une cartographie des données (data mapping);
• Mise en place d'un programme de conformité aux normes standardisées internationales reconnues et obtention des certifications (par exemple, la norme ISO/SEIC 27701);
• Mise en place d'une politique de suppression des données inutiles ou désuètes;
• Mise en place d'une politique de contrôle des accès aux données par les employés; et
• Mise en place d'une politique de limitation de la collecte des données;
• Mise en place d'une politique d'utilisation des outils technologiques.

• Des mesures de gestion d'incidents:

• Se prémunir d'une assurance couvrant les cyberrisques;
• Mise en place d'un plan de réponse aux incidents de confidentialités comprenant notamment la détermination d'une cellule de crise et la présélection d'experts TI et légaux (breach coach);
• Effectuer des simulations d'incidents de confidentialité;
• Révision des contrats avec les fournisseurs de services afin de déterminer les obligations et engagements contractuels en matière de signalement d'incident et de sécurité de l'information.

Conclusion : le Québec et les autres

Si une entreprise omet de notifier les personnes dont les renseignements personnels sont concernés par l'incident, la CAI peut lui ordonner de le faire. Toutefois, il faut prendre note qu'une personne dont un renseignement personnel est concerné par l'incident n'a pas à être avisée tant que cela serait susceptible d'entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois<a href=" name="A10"> Bref, l'adoption du Projet de loi tel qu'il a été présenté le 12 juin dernier permettrait une certaine harmonisation au niveau canadien, mais également au niveau international.  Nous vous invitons à consulter le Tableau comparatif des mécanismes de signalement d'incidents lequel compare les règles proposées par le Projet de loi avec celles déjà en place au Canada et en Europe de même que l'article. Nous vous invitons également à consulter l'article L'obligation de notification en cas de violation de la confidentialité pour une entreprise du secteur privé, lequel s'attarde plus en profondeur à l'obligation de notification en cas de violation de la confidentialité des renseignements personnels.

CENTRE DE RESSOURCES PL64 - Découvrez notre INSTITUT FASKEN - Inscrivez-vous à notre formation qui fera la lumière sur les principales modifications à la loi 64 et les impacts à prévoir dans la gestion de vos affaires.  LISTE DE DISTRIBUTION - Pour ne pas manquer nos prochains bulletins, notre webinaire de formation et toutes autres informations pertinentes à ce sujet, inscrivez-vous dès maintenant sur notre liste de distribution.

<aname="a9" href="#ftn9>^[9]</a>. </p> <p>Si une entreprise omet de notifier les personnes dont les renseignements personnels sont concernés par l'incident, la CAI peut lui ordonner de le faire. Toutefois, il faut prendre note qu'une personne dont un renseignement personnel est concerné par l'incident n'a pas à être avisée tant que cela serait susceptible d'entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois<a href=" name="A10">
</aname="a9">

---

[1] Loi sur la protection des renseignements personnels dans le secteur privé, c. P. 39-1.

[2] Loi  sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, c. A-2.1.

[3] Loi sur les renseignements personnels et les documents électroniques, L.C. 2000, c. 5.

[4] Personal Information Protection Act (Alberta), SA 2003, c P-6.5.

[5] Règlement (UE) 2016/679 du Parlement Européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

[6] Projet de loi n°64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, 1ère sess., 42e législature, Québec, 12 juin 2020, (présentation) (« Projet de loi »).

[7] Projet de Loi, articles 14 et 95.

[8] Ibid.

[9] Ibid.

[10] Ibid.

[11] Ibid.

[12] Ibid.

[13] Ibid., articles 44 et 144.

[14] Ibid., article 150.

[15] Ibid., article 151. L'article 64 du Projet de Loi prévoit que, pour la Loi sur l'accès, les amendes sont les suivantes : de 1 000 $ à 10 000 $ dans le cas d'une personne physique et de 3 000 $ à 30 000 $ dans les autres cas.

[16] Loi sur le secteur privé, art. 10; Loi sur l'accès, art. 63.1.

[17] Projet de Loi, articles 14 et 95.