Depuis le 22 septembre 2022, la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « Loi ») oblige une entreprise à aviser la Commission d’accès à l’information (ci-après « CAI ») et les personnes concernées lorsque survient un incident de confidentialité présentant un risque de préjudice sérieux.
Le risque de préjudice sérieux n’est pas défini dans la Loi. Par contre, lors de l’évaluation du risque, il faut notamment considérer la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables.[1]
Depuis le 29 décembre 2022, le Règlement sur les incidents de confidentialité (ci-après « le Règlement ») est entré en vigueur et prévoit la forme et le contenu des avis devant être transmis à la CAI et aux personnes concernées.
Forme et contenu de l’avis à la CAI
L’avis à la CAI doit être fait par écrit et contenir les renseignements suivants :
« 1- le nom de l’organisation ayant fait l’objet de l’incident de confidentialité et, le cas échéant, le numéro d’entreprise du Québec […];
2- le nom et les coordonnées de la personne à contacter au sein de l’organisation relativement à l’incident;
3- une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
4- une brève description des circonstances de l’incident et, si elle est connue, sa cause;
5- la date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période;
6- la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident;
7- le nombre de personnes concernées par l’incident et, parmi celles-ci, le nombre de personnes qui résident au Québec ou, s’ils ne sont pas connus, une approximation de ces nombres;
8- une description des éléments qui amènent l’organisation à conclure qu’il existe un risque qu’un préjudice sérieux soit causé aux personnes concernées, tels que la sensibilité des renseignements personnels concernés, les utilisations malveillantes possibles de ces renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables;
9- les mesures que l’organisation a prises ou entend prendre afin d’aviser les personnes dont un renseignement personnel est concerné par l’incident, […], de même que la date où les personnes ont été avisées ou le délai d’exécution envisagé;
10- les mesures que l’organisation a prises ou entend prendre à la suite de la survenance de l’incident, notamment celles visant à diminuer les risques qu’un préjudice soit causé ou à atténuer un tel préjudice et celles visant à éviter que de nouveaux incidents de même nature ne se produisent, de même que la date ou la période où les mesures ont été prises ou le délai d’exécution envisagé;
11- le cas échéant, une mention précisant qu’une personne ou un organisme situé à l’extérieur du Québec et exerçant des responsabilités semblables à celle de la CAI à l’égard de la surveillance de la protection des renseignements personnels a été avisé de l’incident. »[2]
Forme et contenu de l’avis aux personnes concernées
Il est important de transmettre l’avis par écrit aux personnes concernées par l’incident. Ce dernier doit inclure les éléments suivants :
« 1- une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
2- une brève description des circonstances de l’incident;
3- la date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période;
4- une brève description des mesures que l’organisation a prises ou entend prendre à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé;
5- les mesures que l’organisation suggère à la personne concernée de prendre afin de diminuer le risque qu’un préjudice lui soit causé ou afin d’atténuer un tel préjudice;
6- les coordonnées permettant à la personne concernée de se renseigner davantage relativement à l’incident. »[3]
Il est à noter que le règlement prévoit certains cas où un avis public pourra être utilisé plutôt qu’un avis direct à la personne visée, par exemple si vous n’avez pas les coordonnées de la personne concernée.[4] Nous vous invitons à consulter votre conseiller juridique afin de déterminer si ce type d’avis est applicable dans une situation donnée.
Conclusion
Afin de se conformer aux obligations découlant de la Loi et du Règlement, il est important d’instaurer une procédure permettant de documenter les différentes démarches réalisées lors d’un incident de confidentialité qui présente un risque de préjudice sérieux. De cette façon, il sera plus simple de répondre aux questions qui pourront vous être posées autant par la CAI que par les personnes concernées par l’incident.
Note : Ce texte n’est en aucun cas une opinion juridique et ne vise qu’à informer de l’existence de règles générales. Nous invitons toutes les personnes qui ont des questions à communiquer avec leur conseiller.ère juridique et à prendre connaissance du texte complet de la Loi.
Vous pouvez également communiquer avec les Services juridiques de l’APCHQ aux numéros suivants : 438 315-6888 ou 1 800 468-8160.
Pour en connaître davantage au sujet de la protection des renseignements personnels, vous pouvez consulter les articles suivants :
La protection des renseignements personnels : êtes-vous prêt à faire face à vos obligations?
Quels sont les types de renseignements prévus par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels?
Serez-vous prêt à exercer la fonction de responsable de la protection des renseignements personnels?
Quels sont les critères à respecter avant de collecter un renseignement personnel?
Registre des incidents de confidentialité : quels renseignements doit-il contenir?
Dois-je adopter des politiques et des pratiques en matière de protection des renseignements personnels?
Dois-je procéder à une évaluation des facteurs relatifs à la vie privée?
Loi 25 : obligation d’information en matière de renseignements personnels
Loi 25 : consentement et exceptions
Quelles sont les conditions pour communiquer un renseignement personnel sans le consentement de la personne concernée dans le cadre d’un mandat ou contrat?
Loi 25 : la politique de confidentialité
[1] Nous vous invitons à consulter le texte suivant pour plus de détails : La protection des renseignements personnels : êtes-vous prêt à faire face à vos obligations?
[2] Art. 3 du Règlement.
[3] Art. 5 du Règlement.
[4] Art. 6 du Règlement.