18 juillet 2022Calcul en cours...

Québec publie un projet de règlement concernant la déclaration obligatoire des incidents

Auteures

Introduction

Le 29 juin 2022, le gouvernement du Québec a publié un projet de règlement concernant le processus à suivre pour déclarer les atteintes à la confidentialité en vertu de la nouvelle loi sur la protection des renseignements personnels. Le règlement décrit les renseignements qui doivent être envoyés à la Commission d’accès à l’information (la CAI) et aux personnes concernées lorsqu’un incident de confidentialité remplit le critère relatif à la déclaration obligatoire ainsi que la période de conservation minimale des registres de tous les incidents de confidentialité.

Ce que vous devez savoir

  • Si le Règlement est approuvé, le régime québécois différera du régime fédéral en ce qui a trait aux deux obligations suivantes :
    • fournir à la CAI un résumé des facteurs qui établissent un risque réel de préjudice sérieux (cette disposition correspond aux exigences existantes en Alberta);
    • conserver les registres des incidents de confidentialité pendant cinq ans (cette durée est plus longue que la période de deux ans prévue au fédéral).
  • L’obligation de décrire les facteurs selon lesquels l’incident est jugé comme étant assujetti à la déclaration obligatoire peut poser problème quant au maintien du secret professionnel qui protège les consultations juridiques.
  • Puisque le Règlement pourrait entrer en vigueur dès septembre 2022, les entreprises devraient mettre à jour leurs procédures internes pour assurer leur conformité.

Aperçu des mesures proposées

Comparaison avec le règlement fédéral

Même si la LPRPDE prévoit des obligations semblables en matière de déclaration des incidents, certaines dispositions du projet de règlement québécois sont plus strictes que celles du régime fédéral :

Projet de règlement québécois

Règlement fédéral

Obligation : Contenu du rapport réglementaire
  • une brève description des circonstances de l’incident;
  • la date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période;
  • une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
  • le nombre de personnes concernées par l’incident et, parmi celles-ci, le nombre de personnes qui résident au Québec ou, s’ils ne sont pas connus, une approximation de ces nombres;
  • les mesures que l’organisation a prises ou entend prendre pour corriger l’incident;
  • les mesures que l’organisation a prises ou entend prendre pour aviser les personnes concernées;
  • les coordonnées de la personne-ressource de l’organisation;
  • la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident;
  • une description des éléments qui amènent l’organisation à conclure qu’il existe un risque réel de préjudice sérieux, tels que la sensibilité des renseignements, les utilisations malveillantes possibles de ces renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables;
  • si d’autres organismes de protection de la vie privée ont été avisés de l’incident.
  • une description des circonstances de l’atteinte;
  • la date ou la période où il y a eu atteinte ou, si elle n’est pas connue, une approximation de la période;
  • la nature des renseignements personnels visés, pour autant qu’elle soit connue;
  • le nombre de personnes visées par l’atteinte ou, s’il n’est pas connu, une approximation de ce nombre;
  • une description des mesures que l’organisation a prises afin de réduire le risque de préjudice à l’endroit des personnes concernées qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice;
  • une description des mesures que l’organisation a prises ou qu’elle entend prendre afin d’aviser les personnes concernées de l’atteinte;
  • les coordonnées de la personne-ressource de l’organisation;

Obligation : Contenu de l’avis aux personnes concernées
  • une brève description des circonstances de l’incident;
  • la date ou la période (ou une approximation de cette période) où l’incident a eu lieu;
  • une brève description des renseignements personnels visés ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description;
  • une description des mesures prises afin de réduire le risque de préjudice;
  • les mesures suggérées que la personne peut prendre afin de diminuer le risque de préjudice ou d’atténuer un tel préjudice;
  • les coordonnées permettant à la personne de se renseigner davantage.
  • une description des circonstances de l’atteinte;
  • la date ou la période où il y a eu atteinte (ou une approximation de la période);
  • la nature des renseignements personnels visés, pour autant qu’elle soit connue;
  • une description des mesures que l’organisation a prises afin de réduire le risque de préjudice;
  • les mesures suggérées que la personne peut prendre afin de diminuer le risque de préjudice ou d’atténuer un tel préjudice;
  • les coordonnées permettant à la personne de se renseigner davantage.

Obligation : Conservation des registres

Cinq ans après la date à laquelle l’organisation a pris connaissance de l’incident.

Deux ans après la date à laquelle l’atteinte a eu lieu.
Secret professionnel et considérations transactionnelles

L’une des particularités du projet de règlement est que celui-ci oblige les organisations à décrire les éléments les ayant amenés à conclure qu’un incident remplit le critère de « risque de préjudice sérieux » relatif à la déclaration obligatoire. Le régime de l’Alberta prévoit une obligation semblable, alors que ce n’est pas le cas du régime fédéral. Cela peut poser des défis stratégiques pour les organisations qui, par prudence, souhaitent déclarer des incidents qui ne répondent pas clairement à ce critère, tout en réduisant les risques de litige et d’atteinte à la réputation. Les entreprises devraient rédiger leurs rapports d’incident en veillant à ce qu’ils satisfassent à cette exigence sans renoncer au secret professionnel qui protège les consultations juridiques sur la base desquelles le rapport a été produit et sans créer des admissions qui pourraient être utilisées contre elles dans le cadre de litiges liés à l’incident.

De même, les entreprises devraient tenir compte du secret professionnel de l’avocat lorsqu’elles établissent des registres internes des incidents de confidentialité et conserver les documents liés à la consultation juridique dans un dossier distinct, séparément des résumés factuels de l’incident. Une entreprise qui est en train de conclure une opération devrait s’attendre à devoir fournir ses dossiers relatifs aux atteintes à la sécurité des données dans le cadre du contrôle diligent, d’où l’importance de s’assurer qu’ils ne contiennent pas d’évaluations de risque ou des consultations juridiques protégées par le secret professionnel.

Préparation

Le gouvernement du Québec a proposé que le règlement entre en vigueur le 22 septembre 2022 pour le secteur privé. Les organisations devraient revoir leurs politiques d’intervention en cas d’incident, leurs modèles de rapport réglementaire, d’avis aux personnes concernées et de registre d’incident, les périodes de conservation des registres d’incident et les protocoles relatifs au secret professionnel pour s’assurer qu’ils sont conformes aux exigences québécoises.

Si vous souhaitez discuter ces enjeux et ces questions, veuillez contacter les auteurs.

Cette publication se veut une discussion générale concernant certains développements juridiques ou de nature connexe et ne doit pas être interprétée comme étant un conseil juridique. Si vous avez besoin de conseils juridiques, c'est avec plaisir que nous discuterons les questions soulevées dans cette communication avec vous, dans le cadre de votre situation particulière.

Pour obtenir la permission de reproduire l’une de nos publications, veuillez communiquer avec Janelle Weed.

© Torys, 2024.

Tous droits réservés.
 

Catégories

LinkedInPDFEmail
Copy URLOuvre un nouvel onglet

Inscrivez-vous pour recevoir les dernières nouvelles

Restez à l’affût des nouvelles d’intérêt, des commentaires, des mises à jour et des publications de Torys.

Inscrivez-vous maintenant
LinkedIn