Depuis le 22 septembre 2022, les entités du secteur privé exerçant des activités au Québec doivent aviser, avec diligence, la Commission d’accès à l’information (la « CAI ») de toute atteinte à la vie privée (soit un « incident de confidentialité ») qui présente un risque de préjudice sérieux. Elles sont également tenues d’en aviser les particuliers concernés. Cette obligation découle des modifications apportées à la Loi sur la protection des renseignements personnels dans le secteur privé (la « LPRPSP ») par suite du projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels du Québec.
INCIDENT DE CONFIDENTIALITÉ
Aux termes de la LPRPSP, un « incident de confidentialité » s’entend de ce qui suit :
-
l’accès non autorisé par la loi à un renseignement personnel;
-
l’utilisation non autorisée par la loi d’un renseignement personnel;
-
la communication non autorisée par la loi d’un renseignement personnel;
-
la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.
Dans son évaluation de la gravité du risque que pose un incident de confidentialité, l’organisation doit considérer la sensibilité du renseignement concerné, les conséquences appréhendées de l’utilisation de celui-ci et la probabilité qu’il soit utilisé à des fins préjudiciables.
Si un incident de confidentialité entraîne la possibilité qu’un préjudice sérieux soit causé à un particulier dont les renseignements personnels ont été divulgués, l’entité du secteur privé concernée doit alors en aviser rapidement la CAI et tout particulier touché, et ce, conformément aux règlements. La CAI a publié un formulaire d’avis qui précise toute l’information à fournir. Les organisations doivent également tenir un registre de tous les incidents de confidentialité et le transmettre à la CAI sur demande.
NOUVEAUX POUVOIRS D’APPLICATION DE LA LOI
Les modifications apportées à la LPRPSP confèrent à la CAI d’importants pouvoirs d’application de la loi qui entreront en vigueur le 22 septembre 2023. Toute violation grave de la LPRPSP peut constituer une infraction, par suite de laquelle la CAI peut intenter une poursuite pénale et imposer une amende pouvant aller jusqu’à 25 M$ CA ou jusqu’au montant correspondant à 4 % du chiffre d’affaires mondial de l’organisation concernée pour l’exercice financier précédent, si ce dernier montant est plus élevé.
Outre ces amendes, la CAI sera habilitée à imposer des sanctions administratives pécuniaires pouvant atteindre 10 M$ CA ou, si elle est plus élevée, une somme correspondant à 2 % du chiffre d’affaires mondial de l’organisation concernée pour l’exercice financier précédent. Par ailleurs, la CAI aura le pouvoir discrétionnaire d’établir les conditions selon lesquelles une entité du secteur privé devra remédier au préjudice causé par un incident de confidentialité, ce qui peut inclure le paiement d’une somme d’argent. Il est attendu que la CAI émettra d’autres directives sur les amendes et les sanctions administratives pécuniaires cette année.
Pour se conformer à ces nouvelles exigences, les entités du secteur privé doivent prendre les mesures décrites ci-après.
-
Déléguer de façon appropriée la fonction de « responsable de la protection des renseignements personnels » à une personne au sein de l’organisation. Il s’agit d’un rôle clé pour assurer la conformité de l’organisation à la LPRPSP. À la suite d’un incident de confidentialité, une organisation doit consulter son responsable de la protection des renseignements personnels dans le cadre de la réalisation de son évaluation obligatoire des risques.
-
Élaborer une politique d’intervention en cas d’incident (ou, si une telle politique existe déjà, la mettre à jour) permettant d’orienter les interventions requises de l’organisation s’il survient un incident de confidentialité, y compris l’établissement de mesures correctives à prendre pour réduire le risque de préjudice et pour prévenir de nouveaux incidents de même nature.
-
Tester la politique d’intervention au moyen de simulations sur table pour s’assurer que toutes les parties responsables comprennent leurs rôles respectifs en cas d’incident de confidentialité.
-
Mettre en place des mécanismes permettant à l’organisation de satisfaire à ses obligations de déclarer tout incident de confidentialité auprès de la CAI et d’aviser les particuliers concernés.
-
Élaborer des procédures relatives à la tenue du registre des incidents de confidentialité.
-
Former les employés au sujet de leurs obligations de signaler les incidents de confidentialité.
Pour en savoir davantage au sujet de la législation québécoise sur la protection des renseignements personnels, consultez notre Bulletin Blakes d’août 2022 intitulé Protection des renseignements personnels au Québec : votre entreprise est-elle prête pour les nouvelles règles en vigueur en septembre? ou communiquez avec :
Sunny Handa +1-514-982-4008
Ellie Marshall +1-416-863-3053
Natalie LaMarche +1-416-863-2734
Liliane Langevin +1-514-982-5065
ou un autre membre de notre groupe Cybersécurité.
Plus de ressources
Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet. Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.
Pour obtenir l'autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l'adresse communications@blakes.com.
© 2024 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.