Nouvelles exigences relatives à la déclaration des incidents de confidentialité en vigueur au Québec

Sunny Handa, Natalie LaMarche, Liliane Langevin, Ellie Marshall
Blake, Cassels & Graydon LLP
Contact
LinkedIn
Facebook
X
Send
Embed

Depuis le 22 septembre 2022, les entités du secteur privé exerçant des activités au Québec doivent aviser, avec diligence, la Commission d’accès à l’information (la « CAI ») de toute atteinte à la vie privée (soit un « incident de confidentialité ») qui présente un risque de préjudice sérieux. Elles sont également tenues d’en aviser les particuliers concernés. Cette obligation découle des modifications apportées à la Loi sur la protection des renseignements personnels dans le secteur privé (la « LPRPSP ») par suite du projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels du Québec.

INCIDENT DE CONFIDENTIALITÉ

Aux termes de la LPRPSP, un « incident de confidentialité » s’entend de ce qui suit :

  • l’accès non autorisé par la loi à un renseignement personnel;

  • l’utilisation non autorisée par la loi d’un renseignement personnel;

  • la communication non autorisée par la loi d’un renseignement personnel;

  • la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement.

Dans son évaluation de la gravité du risque que pose un incident de confidentialité, l’organisation doit considérer la sensibilité du renseignement concerné, les conséquences appréhendées de l’utilisation de celui-ci et la probabilité qu’il soit utilisé à des fins préjudiciables.

Si un incident de confidentialité entraîne la possibilité qu’un préjudice sérieux soit causé à un particulier dont les renseignements personnels ont été divulgués, l’entité du secteur privé concernée doit alors en aviser rapidement la CAI et tout particulier touché, et ce, conformément aux règlements. La CAI a publié un formulaire d’avis qui précise toute l’information à fournir. Les organisations doivent également tenir un registre de tous les incidents de confidentialité et le transmettre à la CAI sur demande.

NOUVEAUX POUVOIRS D’APPLICATION DE LA LOI

Les modifications apportées à la LPRPSP confèrent à la CAI d’importants pouvoirs d’application de la loi qui entreront en vigueur le 22 septembre 2023. Toute violation grave de la LPRPSP peut constituer une infraction, par suite de laquelle la CAI peut intenter une poursuite pénale et imposer une amende pouvant aller jusqu’à 25 M$ CA ou jusqu’au montant correspondant à 4 % du chiffre d’affaires mondial de l’organisation concernée pour l’exercice financier précédent, si ce dernier montant est plus élevé.

Outre ces amendes, la CAI sera habilitée à imposer des sanctions administratives pécuniaires pouvant atteindre 10 M$ CA ou, si elle est plus élevée, une somme correspondant à 2 % du chiffre d’affaires mondial de l’organisation concernée pour l’exercice financier précédent. Par ailleurs, la CAI aura le pouvoir discrétionnaire d’établir les conditions selon lesquelles une entité du secteur privé devra remédier au préjudice causé par un incident de confidentialité, ce qui peut inclure le paiement d’une somme d’argent. Il est attendu que la CAI émettra d’autres directives sur les amendes et les sanctions administratives pécuniaires cette année.

Pour se conformer à ces nouvelles exigences, les entités du secteur privé doivent prendre les mesures décrites ci-après.

  • Déléguer de façon appropriée la fonction de « responsable de la protection des renseignements personnels » à une personne au sein de l’organisation. Il s’agit d’un rôle clé pour assurer la conformité de l’organisation à la LPRPSP. À la suite d’un incident de confidentialité, une organisation doit consulter son responsable de la protection des renseignements personnels dans le cadre de la réalisation de son évaluation obligatoire des risques.

  • Élaborer une politique d’intervention en cas d’incident (ou, si une telle politique existe déjà, la mettre à jour) permettant d’orienter les interventions requises de l’organisation s’il survient un incident de confidentialité, y compris l’établissement de mesures correctives à prendre pour réduire le risque de préjudice et pour prévenir de nouveaux incidents de même nature.

  • Tester la politique d’intervention au moyen de simulations sur table pour s’assurer que toutes les parties responsables comprennent leurs rôles respectifs en cas d’incident de confidentialité.

  • Mettre en place des mécanismes permettant à l’organisation de satisfaire à ses obligations de déclarer tout incident de confidentialité auprès de la CAI et d’aviser les particuliers concernés.

  • Élaborer des procédures relatives à la tenue du registre des incidents de confidentialité.

  • Former les employés au sujet de leurs obligations de signaler les incidents de confidentialité.

Send Print Report

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.

© Blake, Cassels & Graydon LLP | Attorney Advertising

Written by:

Blake, Cassels & Graydon LLP
Blake, Cassels & Graydon LLP
Contact
more
less

Blake, Cassels & Graydon LLP on:

Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
Sign Up Log in
*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
- hide
- hide