Sécurité des informations

Perspectives

Mise à jour sur les nouvelles exigences du Québec en matière d’incidents de confidentialité et de tenue de dossiers

Le 29 décembre 2022, le règlement clarifiant les nouvelles exigences en matière de notification et de tenue de registre des incidents de confidentialité en vertu du projet de loi 64 (« Règlement sur les incidents de confidentialité ») est entré en vigueur. Le Québec devient la troisième juridiction au Canada à se doter d’un régime de notification obligatoire des incidents de confidentialité, après la Personal Information Protection Act (« PIPA ») de l’Alberta en 2010 et la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») du gouvernement fédéral en 2018. Ces nouvelles exigences entreront en vigueur au Québec le 22 septembre 2022.

Dans cet article, nous présentons d’abord un résumé des nouvelles exigences légales relatives à la gestion des incidents de confidentialité prévues par le projet de loi 64, suivi d’un résumé du Règlement sur les incidents de confidentialité, qui vise à clarifier les nouvelles exigences en matière de notification et de tenue de registre.

Résumé des exigences légales en matière de gestion des incidents de confidentialité

Incident de confidentialité

Le nouvel article 3.6 définit la notion d’incident de confidentialité comme étant l’accès, l’utilisation ou la communication non autorisée de renseignements personnels, la perte de renseignements personnels ou toute autre atteinte à la protection de renseignements personnels. Il est intéressant de souligner que le Québec est la seule juridiction au Canada à inclure l’utilisation non autorisée de renseignements personnels dans sa définition d’incident de confidentialité.

Evaluation du risque de préjudice sérieux

Tous les incidents de confidentialité devront faire l’objet d’un processus d’évaluation du « risque de préjudice sérieux », afin de déterminer si l’incident en question devra être notifié à la Commission d’accès à l’information (« CAI » ) et aux individus concernés. La notion de « risque de préjudice sérieux » proposée par le législateur québécois se distingue subtilement de celle de « risque réel de préjudice grave » prévue à la LPRPDÉ et la PIPA de l’Alberta, le terme « réel » ayant été omis. De plus, contrairement à la LPRPDÉ, la Loi 64 ne fournit pas de définition ou d’exemples de préjudice sérieux, mais énonce néanmoins les principaux facteurs à considérer pour évaluer le niveau de gravité du risque de préjudice :

  • La sensibilité des renseignements en cause . Les renseignements qui, en raison de leur nature (ex. médicale, biométrique ou autrement intime) ou du contexte de leur utilisation, feront croître le risque de préjudice.
  • Les conséquences appréhendées de leur utilisation . Par exemple, si les renseignements compromis sont susceptibles d’être utilisés pour commettre une fraude ou un vol d’identité.
  • La probabilité qu'ils soient utilisés à des fins préjudiciables . Par exemple, si les renseignements ont été exfiltrés des serveurs de l’organisation ou publiés sur le Dark Web, ils risquent d’être utilisés à de mauvaises fins.

Bien que les critères d’évaluation de la LPRPDÉ et de la PIPA soient en apparence similaires au test formulé par la Loi 64, la CAI pourrait interpréter les obligations de notification de manière plus stricte, en raison notamment de l’omission du terme « réel » dans sa définition de « risque de préjudice sérieux ». Dans tous les cas, le responsable de la PRP devra être consulté pour effectuer cette évaluation (art. 3.7 in fine). Dans la mesure où ce critère d’évaluation est interprété de manière similaire à ce qu’il aurait été en vertu de la LPRPDE et à la PIPA, les décisions relatives à la notification des incidents publiées par le Commissariat à l’information et à la protection de la vie privée de l’Alberta peuvent être pertinentes.

Notification des incidents

Si l’organisation détermine que l’incident présente un risque de préjudice sérieux pour les individus touchés, elle devra aviser la CAI ainsi que tout individu concerné par l’incident, à défaut de quoi la CAI pourra lui ordonner de le faire. Aucun délai n’est prévu pour la notification des incidents, mais celle-ci devra se faire avec « diligence >>, selon l’article 3.5.

À titre comparatif, la LPRPDÉ exige la notification dès que possible au régulateur dans le cas où une atteinte aux mesures de sécurité présente un « risque réel de préjudice grave >>. Si un incident de confidentialité se produit chez un fournisseur de services tiers ou un sous-traitant à qui des renseignements personnels ont été externalisés, certaines conditions relatives à la notification des incidents pourront être prévues contractuellement. Toutefois, puisque les obligations de notification de la Loi 64 s’appliquent à toute organisation, et ce, peu importe le rôle qui leur est attribué dans le traitement des renseignements personnels, un fournisseur de services ou un sous-traitant pourrait être tenu de signaler l’incident puisque l’obligation de signalement s’applique à « toute personne exploitant une entreprise qui a des motifs de croire que s’est produit un incident de confidentialité impliquant des renseignements personnels qu’elle détient ».

Pour une analyse plus détaillée des amendements proposés par le projet de loi 64 du Québec, veuillez consulter notre Guide de conformité sur le projet de loi 64.

Nouveaux règlements clarifiant les nouvelles exigences en matière de notification et de tenue de registre

Le Règlement sur les incidents de confidentialité apporte quelques précisions sur la forme des avis que les organisations doivent envoyer à la CAI et aux personnes concernées afin de remplir leurs obligations de notification, ainsi que sur les nouvelles exigences relatives à la tenue d’un registre des incidents de confidentialité.

Contenu de l'avis à la CAI

Les exigences du Règlement sur les incidents de confidentialité sont semblables à celles de la LPRPDE et de la PIPA de l’Alberta. Selon le Règlement, l’avis à la CAI doit être fait par écrit et doit contenir les renseignements suivants :

  1. Le nom de l’organisation (avec le numéro d’entreprise du Québec) ;
  2. Les coordonnées de la personne à contacter au sein de l’organisation relativement à l’incident ;
  3. Une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description ;
  4. Une description des circonstances de l’incident et, si elle est connue, sa cause ;
  5. La date ou la période où l’incident a eu lieu (ou une approximation si cette dernière n’est pas connue) ;
  6. La date à laquelle l’organisation a pris connaissance de l’incident ;
  7. Le nombre de personnes concernées par l’incident et, parmi celles-ci, le nombre de personnes qui résident au Québec (ou une approximation, si ces nombres ne sont pas connus) ;
  8. Une description des éléments qui amènent l’organisation à conclure qu’il existe un risque qu’un préjudice sérieux soit causé aux personnes concernées ;
  9. Les mesures que l’organisation a prises ou entend prendre afin d’aviser les personnes dont un renseignement personnel est concerné par l’incident ;
  10. Les mesures que l’organisation a prises à la suite de la survenance de l’incident, incluant celles visant à diminuer/atténuer les risques qu’un préjudice soit causé et à éviter que de nouveaux incidents de même nature ne se produisent, de même que la date ou la période où les mesures ont été prises ou le délai d’exécution envisagé; et
  11. Autres organismes de protection de la vie privée avisés de l'incident (le cas échéant)

Contenu de l ’avis aux personnes concernées

Pour l’avis aux personnes concernées, le Règlement sur les incidents de confidentialité prévoit qu’une organisation doit fournir les renseignements suivants :

  1. Une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description ;
  2. Une description des circonstances de l’incident ;
  3. La date ou la période où l’incident a eu lieu (ou une approximation, si cette dernière n’est pas connue) ;
  4. Les mesures que l’organisation a prises ou entend prendre afin de diminuer les risques qu’un préjudice soit causé ;
  5. Les mesures que la personne concernée peut prendre afin de diminuer/atténuer le risque qu’un préjudice lui soit causé ;
  6. Les coordonnées permettant à la personne concernée de se renseigner davantage relativement à l’incident.

L’avis est transmis directement à la personne concernée par l’incident de confidentialité, sauf lorsque :

  1. Le fait de transmettre l’avis est susceptible de causer un préjudice accru à la personne concernée ;
  2. Le fait de transmettre l’avis est susceptible de représenter une difficulté excessive pour l’organisation ;
  3. L’organisation n’a pas les coordonnées de la personne concernée.

Bien qu’il n’y ait actuellement aucune indication sur ce qui est considéré comme une difficulté excessive pour l’organisation, divers facteurs pourraient être pris en compte (par exemple, l’évaluation des coûts pour le eDiscovery, etc.)

S’il est nécessaire d’agir rapidement pour réduire le risque de préjudice sérieux ou pour atténuer un tel préjudice, l’organisation peut procéder à un avis public, à condition qu’un avis direct soit transmis ultérieurement.

Contenu du registre des incidents de confidentialité

Le projet de loi 64 exige que les organisations tiennent un registre des incidents de confidentialité, dont une copie doit être envoyée à la CAI sur demande, conformément à l’article 3.8. Le Règlement sur les incidents de confidentialité prévoit que les organisations doivent tenir un registre des incidents de confidentialité pendant une période minimale de 5 ans, lequel doit contenir les éléments suivants :

  1. Une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description ;
  2. Une description des circonstances de l’incident ;
  3. La date ou la période où l’incident a eu lieu (ou une approximation, si cette dernière n’est pas connue) ;
  4. La date à laquelle l’organisation a pris connaissance de l’incident ;
  5. Le nombre de personnes concernées par l’incident (ou une approximation, s’il n’est pas connu) ;
  6. Une description des éléments qui amènent l’organisation à conclure qu’il existe un risque qu’un préjudice sérieux soit causé aux personnes concernées ;
  7. Si l’incident présente un risque qu’un préjudice sérieux soit causé, les dates de transmission des avis à la Commission d’accès à l’information et aux personnes concernées. Si l’avis est transmis de manière indirecte, les raisons pour lesquelles il l’a été ;
  8. Les mesures que l’organisation a prises à la suite de la survenance de l’incident afin de diminuer les risques qu’un préjudice soit causé.

Le Règlement sur les incidents de confidentialité ne prévoit pas de format pour le registre des incidents de confidentialité. Les organisations peuvent tenir ce registre par tout moyen permettant de conserver les renseignements.

Conclusion

Nous avons préparé des tableaux résumant ces nouvelles exigences au Québec ainsi que des tableaux comparant ces exigences à celles déjà en vigueur dans d’autres juridictions au Canada :

 
 
 
 

 

Le groupe Cybersécurité, respect de la vie privée et protection des renseignements personnels de BLG surveillera de près toute nouvelle directive fournie par la CAI susceptible de clarifier l’interprétation de la notion de « risque de préjudice sérieux » et les exigences du projet de loi 64 en matière d’incidents de confidentialité.

Les auteurs remercient l’étudiante Cléa Julien pour sa contribution à cette publication.


1 Le projet de règlement pourra être adopté à l’expiration d’un délai de 45 jours suivant la publication du projet, soit le 18 août 2022. Le règlement entrera en vigueur 15 jours après sa publication dans la Gazette officielle du Québec.

2 Nombre de personnes qui résident au Québec.


Principaux contacts