Impacts de la Loi 25 en matière d’incidents de confidentialité

Cette loi a pour objectif de mieux protéger les renseignements personnels des citoyens : d’une part en redonnant aux personnes concernées le plein contrôle de leurs renseignements personnels et d’autre part en obligeant les entreprises à gérer de façon responsable les renseignements personnels qu’elles détiennent.

Cela étant dit, abordons maintenant la Loi 25 sous l’angle de cette nouvelle obligation qui s’impose à toutes les entreprises qui recueillent, détiennent, utilisent ou communiquent à des tiers des renseignements personnels. 

Donc dès le 22 septembre prochain, une entreprise confrontée à un incident de confidentialité devra respecter un nouveau régime juridique.

Tout d’abord, il semble primordial de définir la notion d’incident de confidentialité ?

Il est monnaie courante aujourd’hui, et en partie à cause de la révolution numérique dans laquelle nos sociétés évoluent, d’entendre quasiment chaque jour que telle ou telle entreprise a été victime d’une cyberattaque, d’une fuite de données ou a vécu un évènement mettant en cause des renseignements personnels.

Le nouvel article 3.6 de la Loi 25 définit l’incident de confidentialité de manière très large comme étant l’accès non autorisé par la loi à un renseignement personnel, l’utilisation ou la communication non autorisée par la loi d’un renseignement personnel, la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.

Autant dire qu’un grand nombre de situations entre dans cette définition et il appartiendra alors aux entreprises d’apprécier l’importance de l’évènement en considération du critère de notification, à savoir le risque de préjudice sérieux, comme nous le verrons ci-après.

1. Une obligation générale

Si une entreprise a des motifs de croire qu’un tel incident impliquant des renseignements personnels s’est produit alors elle devra prendre des mesures raisonnables pour diminuer les risques aux personnes concernées et éviter qu’un incident de même nature se produise.

Pour répondre à cette première obligation (sans évaluation de la gravité du risque), il est fortement conseillé aux entreprises de mettre en place un programme de sécurité basé sur les standards de l’industrie ainsi qu’un plan d’intervention pour gérer la crise de la manière la plus efficace possible.

2. La notification des incidents de confidentialité en cas de risque de préjudice sérieux

A qui ? La Commission d’accès à l’information (C.A.I.) et les personnes concernées

Quand ? Lorsque l’incident présente un risque de préjudice sérieux

Cette notion de risque de préjudice sérieux est le critère qui devra guider les entreprises pour notifier ou pas un incident de confidentialité. 

La Loi 25 indique les critères pour évaluer le risque de préjudice sérieux :

• La sensibilité du renseignement concerné (d’ordre médical, financier, biométrique etc…)  
• Les conséquences appréhendées de son utilisation (usurpation d’identité, fraude…);
• La probabilité qu’il soit utilisé à des fins préjudiciables (dépendamment de l’origine de l’incident : cyberattaques versus défaillances techniques)

Le responsable de la protection des renseignements doit être également consulté.

Dans quel délai ? avec diligence, ce qui signifie que dès que l’évaluation du risque est terminée et qu’un risque de préjudice sérieux est détecté, l’entreprise doit notifier.

Comment ? par un avis dont le contenu et les modalités sont prévus par le règlement sur les incidents de confidentialité [] qui entrera en vigueur le 22 septembre prochain.

3. La tenue d’un registre des incidents de confidentialité

Enfin, les entreprises devront désormais documenter leurs incidents de confidentialité (même ceux qui ne présentent de risque de préjudice sérieux) dans un registre et une copie de celui-ci devra être mis à la disposition de la Commission d’accès à l’information si elle en fait la demande.

Ce registre devra comporter les renseignements prévus dans le règlement sur les incidents de confidentialité. 

Ces renseignements devront être tenus à jour et conservés pendant une période minimale de cinq ans à compter de la date de connaissance de l’incident par l’entreprise.

Conclusion :

Ces nouvelles obligations ont le mérite de faire réfléchir les entreprises à leur sécurité informatique et à la mise en place de plans de prévention et de gestion des incidents de confidentialité.

C’est l’occasion également de bâtir une culture d’entreprise cybersécuritaire en impliquant l’ensemble de vos employés par des programmes de formation et de sensibilisation.

Et ce sont là de petits défis par rapport aux risques encourus par un incident de confidentialité en termes de :

• Enquête de la C.A.I. en cas de pratiques non conformes;
• Sanctions pouvant être infligées par la C.A.I. (jusqu’à 25 millions de dollars);
• Recours judiciaires;
• Perte de réputation;

etc...

Transformer ces nouvelles obligations en une OPPORTUNITÉ, celle de vous démarquer de vos concurrents en adoptant de bonnes pratiques, tout en minimisant vos risques et en accroissant la confiance de vos clients.