En raison de la grève de Postes Canada, il y aura un délai dans la livraison des livres.

Devenez membre gratuitement Se connecter

JavaScript n'est pas actif sur votre navigateur.

Afin de pouvoir visualiser le contenu de cette page, veuillez l'activer en suivant ces étape.

Données personnelles : le Registre québécois des incidents devra être conservé cinq ans

Visibilité360, version PDF à partager

par Denis Méthot | 4 octobre 2022 10:58

Photo : Freepik

Le registre québécois des incidents de confidentialité en matière de renseignements personnels prévu dans la Loi 25, autrefois projet de loi 64, devra être mis à jour. Il devra également être conservé par les organisations et les entreprises privées durant une période minimale de cinq ans après la date (ou la période au cours de laquelle elles ont pris connaissance de ces faits), indique la Gazette officielle du Québec du 29 juin dernier. La durée de sa tenue n’a pas été revue depuis.

Cette obligation de cinq ans va beaucoup plus loin que les dispositions fédérales sur le même sujet et qui sont moins exigeantes, commente le cabinet d’avocats Fasken. Le cabinet suit le dossier de cette loi à la loupe et a même créé un Centre de ressources dédié au PL64. Le Règlement sur les atteintes de sécurité adoptées par le gouvernement fédéral avait établi une période de conservation de 24 mois pour ces informations.

Ce délai de cinq ans représente l’une des principales précisions apportées à la Loi modernisant les dispositions législatives en matière de protection des renseignements personnels qui est entrée en force en septembre 2021. Un an plus tard, plusieurs de ses dispositions sont en vigueur et plusieurs autres importantes le seront d’ici septembre 2023.

Les Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels ne prévoient aucune obligation légale de signalement de fuites de renseignements personnels. Cette décision était laissée à la discrétion des entreprises privées et des organismes publics qui y étaient assujettis. En cette matière, le Québec accusait beaucoup de retard par rapport à d’autres législations canadiennes ou nord-américaines. Le projet de loi 64, qui s’est transformé en Loi 25, a établi des règles très serrées, voire même très sévères, autant pour les organismes publics que les entreprises privées.

Un incident de confidentialité

La Loi 25 définit un incident de confidentialité comme étant un accès, une utilisation ou une communication non autorisée par la loi d’un renseignement personnel ou la perte d’un renseignement personnel ou toute autre atteinte à la protection. Ce genre d’incident peut être causé par des intrusions par un tiers dans le système informatique d’une entreprise, une attaque par rançongiciel, une perte de données provoquée par un virus ou par une faille informatique, une extraction de données par un employé ou une personne non autorisée comme la fuite massive qui s’est produite chez Desjardins, etc.

En vertu de la Loi 25, les organisations ou entreprises ont maintenant l’obligation d’aviser avec diligence la Commission d’accès à l’information (CAI) ou les personnes concernées par l’incident s’il y a risque de préjudice sérieux. Toutefois, relève Fasken, une personne concernée par un incident n’a pas à être avisée tant que cette divulgation serait susceptible d’entraver une enquête faite par une personne ou par un organisme chargé de prévenir, détecter ou réprimer le crime ou les infractions.

Le contenu du registre

Le registre des incidents de confidentialité sera extrêmement détaillé et devra comporter pas moins de huit aspects, précise-t-on dans la Gazette officielle :

Une brève description des circonstances de l’incident et des renseignements personnels visés ou la raison justifiant l’impossibilité de la fournir ;
La date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période ;
La date ou la période au cours de laquelle l’organisation en a pris connaissance ;

Le nombre de personnes concernées et s’il n’est pas connu, une approximation de ce nombre ;
Une description des éléments qui amènent l’organisation à conclure qu’il existe, ou non, un risque de préjudice sérieux à l’égard des personnes concernées, tels que la sensibilité des renseignements personnels, leurs utilisations à des fins malveillantes, les conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables ;
Si l’incident présente un risque de préjudice sérieux, les dates de transmission des avis à la CAI d’accès et aux personnes concernées, de même qu’une mention indiquant si des avis publics ont été transmis par l’organisation ;
Une brève description des mesures prises par l’entreprise à la suite de l’incident afin de diminuer les risques qu’un préjudice soit causé.

Désignation d’une personne responsable

Depuis le 22 septembre 2022, entreprises et organismes sont tenus d’avoir désigné un responsable de la protection des renseignements personnels et de publier son titre et ses coordonnées sur le site de l’entreprise.

Si la plus haute autorité d’une compagnie ne veut pas exercer cette fonction, elle doit nommer une personne possédant les compétences requises et elle devra avoir un pouvoir décisionnel important pour lui permettre d’assumer efficacement ce rôle. L’entreprise doit aussi lui fournir les ressources humaines, techniques et financières pour assurer la réussite de la mise en conformité.

L’inventaire des renseignements personnels détenus par l’entreprise ou pour son compte par un tiers pour évaluer leur sensibilité aurait aussi dû être complété le 22 septembre. Depuis cette date, tout incident de confidentialité impliquant un renseignement personnel présentant un risque sérieux de préjudice doit être divulgué à la CAI.

Lourdes pénalités financières

Les organismes et entreprises prises en défaut, qui ne déclarent pas un incident de confidentialité, s’exposeront en 2023 à de lourdes pénalités financières administratives et pénales. La sanction administrative est discrétionnaire et pourrait atteindre un maximum de 50 000 $ pour une personne physique et de 10 millions de dollars ou un montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice financier précédent.

Au plan pénal pour le secteur privé, la Loi prévoit une amende de 5 000 $ à 50 000 $ pour une personne physique et de 15 000 $ à 25 millions de dollars ou 4 % de son chiffre d’affaires mondial si cette somme est plus élevée.

Les plus populaires en Entrepreneuriat

L’indice de confiance des petites et moyennes entreprises chute à un creux historique