Le projet de règlement sur les incidents de confidentialité du Québec: comparaison avec les exigences fédérales

Le 29 juin 2022, le gouvernement du Québec a présenté le projet de règlement sur les incidents de confidentialité (le « Règlement québécois »)

Le Règlement québécois fait mention des nouvelles exigences en matière de transmission d’avis et de tenue des dossiers advenant la survenance d'un incident de confidentialité. Le règlement doit entrer en vigueur le 22 septembre 2022, soit en même temps que les premières modifications à la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le secteur privé »), faisant suite à l’adoption du projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (la « Loi 64 »).

Le projet de loi 64 a été sanctionné le 22 septembre 2021, marquant ainsi le début de la transition pour le Québec vers la modernisation des règles applicables à la protection des renseignements personnels. À cet effet, nous avons récemment publié un article permettant d’avoir une vue d’ensemble des modifications qui seront apportées au cours des prochaines années, à la suite de l’adoption du projet de loi 64.

Par l’entremise de cet article, nous passerons en revue les exigences s’appliquant désormais au secteur privé québécois en vertu du Règlement québécois, en plus d’offrir une comparaison avec son équivalent fédéral, le Règlement sur les mesures de protection contre les atteintes à la sécurité (le « Règlement fédéral »).

Qu’est-ce qu’un incident de confidentialité ?

Tel que modifié par le projet de loi 64, l'article 3.6 de la Loi sur le secteur privé définit les termes « incident de confidentialité » comme suit :

1. Accès non autorisé par la loi à des renseignements personnels ;
2. Utilisation non autorisée par la loi de renseignements personnels ;
3. Communication non autorisée par la loi de renseignements personnels ; ou
4. Perte de renseignements personnels ou toute autre atteinte à la protection de ces renseignements.

Exigences entrant en vigueur le 22 septembre 2022

Au Canada, sous réserve d’exceptions spécifiques à certains secteurs, la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») s'applique à toutes les organisations du secteur privé, à moins qu'une province n'ait adopté ses propres lois similaires à la LPRPDE sur la protection de la vie privée (tel que l’Alberta, la Colombie-Britannique et le Québec), auquel cas la législation provinciale s'applique. Dans les provinces dont la législation est essentiellement similaire, la LPRPDE continuera de s’appliquer aux renseignements personnels recueillis dans le cadre de transactions interprovinciales et internationales.

Il n’y avait aucune obligation de déclaration ni de notification prévue par la Loi sur le secteur privé jusqu'aux récentes modifications apportées par le projet de loi 64. À compter du 22 septembre 2022, le régime québécois de notification obligatoire pour les incidents de confidentialité dans le secteur privé deviendra le troisième au Canada, avec les régimes fédéral et albertain, en dehors des régimes sectoriels spécifiques. Les organisations assujetties à la Loi sur le secteur privé devront dorénavant se conformer à de nouvelles exigences dans la gestion de tels événements.

Quand est-ce qu’un incident de confidentialité déclenche-t-il des obligations de notification?

En cas d'incident de confidentialité, les organisations devront évaluer le risque de préjudice pour les personnes dont les informations personnelles sont concernées. Si l'incident présente un « risque de préjudice sérieux » (« RPG »), l’organisation doit rapidement notifier la CAI ainsi que toute personne dont les informations personnelles sont concernées par l'incident.

Nous notons que le seuil du RPG peut être distingué du seuil du « risque réel de préjudice grave » (« RRPI ») de la LPRPDE, étant donné la différence de formulation et notamment l'omission du mot « réel ». Bien qu'il soit difficile à ce stade de déterminer précisément si cela visait à établir un seuil de déclaration/notification plus bas, les facteurs à prendre en compte dans l'évaluation du « risque de préjudice sérieux » sont similaires à ceux de la LPRPDE, notamment : la sensibilité des informations concernées, les conséquences anticipées de leur utilisation et la probabilité que ces informations soient utilisées à des fins préjudiciables. Les organisations devraient continuer à surveiller les développements quant à savoir comment la CAI traitera ces différences et si le libellé sera interprété plus strictement que les exigences sous la LPRPDE.

Avis à la Commission d’accès à l’information

L'article 3 du Règlement québécois précise l'obligation de fournir un avis écrit à la Commission d'accès à l'information (« CAI »).

L'avis doit comprendre les éléments suivants :

• Le nom de l’organisation ayant fait l’objet de l’incident de confidentialité;
• Le nom et les coordonnées de la personne à contacter au sein de l’organisation relativement à l’incident;
• Une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
• Une brève description des circonstances de l’incident;
• La date ou la période où l’incident a eu lieu;
• La date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident;
• Le nombre de personnes concernées par l’incident et, parmi celles-ci, le nombre de personnes qui résident au Québec;
• Une description des éléments qui amènent l’organisation à conclure qu’il existe un risque de préjudice sérieux aux personnes concernées;
• Les mesures que l’organisation a prises ou entend prendre afin d’aviser les personnes concernées;
• Les mesures que l’organisation a prises ou entend prendre à la suite de la survenance de l’incident, notamment celles visant à diminuer les risques qu’un préjudice soit causé et celles visant à éviter que de nouveaux incidents de même nature ne se produisent;
• Le cas échéant, la notification de l’incident à un organisme situé à l’extérieur du Québec qui exerce des responsabilités semblables à celles de la CAI.

Si de nouvelles informations concernant l'incident deviennent disponibles après la soumission de l’avis, la section 4 exige que l'organisme communique « rapidement » ces informations supplémentaires à la CAI.

Avis aux personnes concernées

L'obligation suivante consiste à fournir un avis similaire aux personnes affectées par l'incident de confidentialité.

L’article 5 fournit aux organisations les informations que l'avis doit contenir :

• Une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
• Une brève description des circonstances de l’incident;
• La date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période;
• Une brève description des mesures que l’organisation a prises ou entend prendre à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé;
• Les mesures que l’organisation suggère à la personne concernée de prendre afin de diminuer le risque qu’un préjudice lui soit causé ou afin d’atténuer un tel préjudice; et
• Les coordonnées permettant à la personne concernée de se renseigner davantage relativement à l’incident.

L'article 6 précise seulement que les avis sont "envoyés aux personnes concernées par l'incident de confidentialité".

Cependant, dans certains cas, un avis public peut être émis :

• Lorsque le fait de transmettre l’avis est susceptible de causer un préjudice accru à la personne concernée;
• Lorsque le fait de transmettre l’avis est susceptible de représenter une difficulté excessive pour l’organisation;
• Lorsque l’organisation n’a pas les coordonnées de la personne concernée.

Par ailleurs, un avis public peut également être émis lorsqu’il est nécessaire d’agir rapidement pour diminuer le risque qu’un préjudice sérieux soit causé ou afin d’atténuer un tel préjudice. Dans ce cas, l’organisation demeure toutefois tenue de transmettre en plus de l’avis public, un avis à la personne concernée, à moins que l’une des circonstances mentionnées précédemment ne s’applique à sa situation.

Registre des incidents de confidentialité

À présent, les incidents de confidentialité doivent être inscrits dans les registres prévus par la Loi sur le secteur privé. L'article 7 du Règlement québécois précise ce que doit contenir le registre. L'incident doit demeurer enregistré pendant au moins cinq ans après la date ou la période à laquelle l'organisme a pris connaissance de l’incident.

Règlementation fédérale vs québécoise

Nous notons plusieurs similarités entre le Règlement québécois et son équivalent fédéral. Les deux sont structurées de façon similaire, établissant tout d’abord les critères de notification à l’autorité règlementaire en cas d’incident – c'est-à-dire la CAI au niveau québécois et le Commissariat à la protection de la vie privée du Canada (le « CPVP ») au niveau fédéral – suivi des personnes concernées, et enfin par les exigences de la tenue des registres.

Cependant, nous soulignons ci-dessous les sections du Règlement québécois qui diffèrent de celles du règlement fédéral :

Règlement québécois		Règlement fédéral
AVIS À L’AUTORITÉ RÈGLEMENTAIRE
L’avis à la CAI doit inclure « une description des éléments qui amènent l’organisation à conclure qu’il existe un risque qu’un préjudice sérieux soit causé aux personnes concernées, tels que la sensibilité des renseignements personnels concernés, les utilisations malveillantes possibles de ces renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciable » (Article 3 (8)).		Aucun critère comparable n’est disponible.
Dans l’éventualité où de nouvelles informations concernant le même incident de confidentialité surviennent après la transmission de l’avis à la CAI, ces informations doivent être communiquées promptement à compter de cette connaissance (article 4).		Dans l’éventualité où de nouvelles informations concernant le même incident de confidentialité surviennent après la transmission de l’avis au CPVP, ces informations peuvent être communiquées (article 2 (2)).
AVIS AUX PERSONNES CONCERNÉES
L’organisation qui ne peut inclure dans son avis une description des informations personnes concernées par l’incident, doit au moins fournir la raison justifiant l’impossibilité de fournir une telle description (article 5 (1)).		Le contenu de l’avis doit simplement faire mention de la nature de l’information concernée par l’incident, « dans la mesure où cette information est connue » (article 3 (a)).
L’organisation est tenue de spécifier dans son avis, les mesures qu’elle a prises ou entend prendre à la suite de la survenance de l’incident (article 5 (4)).		L’organisation est tenue de spécifier dans son avis, les mesures prises au moment de la notification de l’avis (article 3 (d)).
Les avis sont « transmis à la personne concernée par l’incident de confidentialité » (article 6).		L’avis est donné directement à l’intéressé en personne, par téléphone, par courrier, par courriel ou par tout autre moyen de communication qu’une personne raisonnable estimerait acceptable dans les circonstances (article 4).
TENUE DES REGISTRES
Les renseignements contenus aux registres doivent être conservés pendant une période minimale de 5 ans après la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident (article 8).		Les registres des incidents de confidentialité doivent être conservés pendant au moins 24 mois après la date à laquelle l’organisation a pris connaissance de l’incident (article 6(1)).

Conclusion

D’importants changements concernant la notification des incidents de confidentialité entreront en vigueur cette semaine au Québec, le 22 septembre 2022. Alors que la notification d’un incident pouvait généralement être effectuée sur une base volontaire par les organisations ou lors d’incidents qui impliquaient l’application d’autres législations canadiennes sur la vie privée, à partir du 22 septembre 2022, le cadre réglementaire québécois prévoira des exigences obligatoires de notification des atteintes à la vie privée semblables à celles qui sont en vigueur en Alberta, en vertu de la LPRPDE ou de certaines lois sectorielles spécifiques.

Pour toute question que votre organisation pourrait avoir concernant cet article, la conformité générale en lien avec la nouvelle législation québécoise sur la cybersécurité ou encore en lien avec la LPRPDE, n’hésitez pas à contacter notre groupe de Cybersécurité et protection des données.