Incidents de confidentialité : Quelles sont vos obligations?

Art. 3.5, 3.6, 3.7, 3.8, LPRPSP

Ce que la loi exige

La Loi sur la protection des renseignements personnels dans le secteur privé impose des obligations strictes en cas d'incident de confidentialité. En 2023-2024, la Commission d'accès à l'information (CAI) a reçu 444 déclarations d'incidents — une augmentation de 469 % depuis l'entrée en vigueur de l'obligation de déclaration en septembre 2022 (CAI, Rapport annuel 2023-2024).

Obligation 1 — Registre des incidents (Art. 3.5) : Vous devez tenir un registre de tous les incidents de confidentialité, qu'ils présentent ou non un risque sérieux. Ce registre doit être conservé pendant au moins 5 ans et être disponible pour la CAI sur demande.

Obligation 2 — Évaluation du risque (Art. 3.6) : Pour chaque incident, vous devez évaluer s'il présente un risque de préjudice sérieux pour les personnes concernées. Cette évaluation considère la sensibilité des renseignements, les conséquences potentielles et la probabilité d'utilisation malveillante.

Obligation 3 — Déclaration à la CAI (Art. 3.7) : Si l'incident présente un risque de préjudice sérieux, vous devez aviser la CAI « avec diligence ». Cette déclaration se fait via un formulaire en ligne sur le site de la CAI.

Obligation 4 — Avis aux personnes (Art. 3.7) : Les personnes dont les renseignements sont touchés par un incident présentant un risque sérieux doivent également être avisées, afin qu'elles puissent prendre des mesures pour se protéger.

Texte de référence

Une personne qui exploite une entreprise et qui a des motifs de croire que s'est produit un incident de confidentialité impliquant un renseignement personnel qu'elle détient doit prendre les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.

Si l'incident présente un risque qu'un préjudice sérieux soit causé, elle doit, avec diligence, aviser la Commission d'accès à l'information instituée par l'article 103 de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1). Elle doit également aviser toute personne dont un renseignement personnel est concerné par l'incident, à défaut de quoi la Commission peut lui ordonner de le faire. Elle peut également aviser toute personne ou tout organisme susceptible de diminuer ce risque, en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée. Dans ce dernier cas, le responsable de la protection des renseignements personnels doit enregistrer la communication.

Malgré le deuxième alinéa, une personne dont un renseignement personnel est concerné par l'incident n'a pas à être avisée tant que cela serait susceptible d'entraver une enquête faite par une personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois.

Un règlement du gouvernement peut déterminer le contenu et les modalités des avis prévus au présent article.

— Art. 3.5, Loi sur la protection des renseignements personnels dans le secteur privé

Ce que vous devez faire

Un incident de confidentialité peut survenir de plusieurs façons : cyberattaque (25 %), rançongiciel (16 %), communication accidentelle (10 %), vol d'équipement, erreur d'un employé (CAI, 2023-2024). Voici comment réagir :

  1. Contenez l'incident immédiatement. Révoquez les accès compromis, changez les mots de passe, isolez les systèmes affectés. Chaque minute compte pour limiter les dégâts.
  2. Documentez ce qui s'est passé. Quand l'incident a-t-il été découvert? Quels renseignements sont touchés? Combien de personnes sont concernées? Comment l'incident s'est-il produit?
  3. Évaluez le risque de préjudice sérieux. Posez-vous ces questions : Les renseignements sont-ils sensibles (NAS, données bancaires, santé)? Peuvent-ils être utilisés pour frauder ou voler l'identité? Combien de personnes sont touchées?
  4. Inscrivez l'incident au registre. Même si le risque n'est pas sérieux, l'incident doit être consigné. Le registre est obligatoire depuis septembre 2022.
  5. Si risque sérieux : déclarez à la CAI. Utilisez le formulaire en ligne de la CAI. Fournissez une description de l'incident, les types de renseignements concernés, le nombre de personnes touchées et les mesures prises.
  6. Si risque sérieux : avisez les personnes. L'avis doit permettre aux personnes de prendre des mesures de protection. Incluez : ce qui s'est passé, quels renseignements sont touchés, ce qu'elles peuvent faire (surveiller leurs comptes, etc.), qui contacter pour plus d'information.

Exemple : Courriel au mauvais destinataire. Une employée envoie par erreur une liste de clients avec leurs numéros de téléphone à un fournisseur. L'entreprise inscrit l'incident au registre, évalue que le risque n'est pas sérieux (noms et téléphones seulement, fournisseur de confiance qui a supprimé le courriel), et ne déclare pas à la CAI.

Exemple : Rançongiciel. Un cabinet comptable est victime d'un rançongiciel. Les données de 200 clients sont potentiellement compromises, incluant des NAS et des données financières. Le cabinet isole les systèmes, inscrit l'incident au registre, évalue le risque comme sérieux, déclare à la CAI dans les 48 heures et avise tous les clients concernés par courriel et téléphone.

Erreurs courantes

  • Ne pas avoir de registre. Le registre est obligatoire depuis septembre 2022. Son absence est un manquement à la loi, même si aucun incident ne s'est produit.
  • Minimiser les incidents. Un courriel envoyé au mauvais destinataire est un incident. Un employé qui consulte un dossier sans autorisation est un incident. Tous doivent être documentés.
  • Tarder à réagir. La déclaration à la CAI doit être faite « avec diligence ». Attendre des semaines pour évaluer le risque n'est pas acceptable. Visez 72 heures maximum.
  • Ne pas aviser les personnes concernées. Si le risque est sérieux, les personnes ont le droit de savoir pour pouvoir se protéger. Ne pas les aviser est un manquement à la loi.
  • Confondre incident et brèche. Un incident n'est pas nécessairement une cyberattaque. La perte d'une clé USB contenant des dossiers clients est un incident. L'envoi d'un relevé au mauvais client est un incident.
  • Ne pas former les employés. Vos employés doivent savoir reconnaître un incident et à qui le signaler. Sans procédure claire, des incidents passent inaperçus.

Questions fréquentes

Qu'est-ce qu'un incident de confidentialité?

Un incident de confidentialité est tout accès, utilisation ou communication non autorisé de renseignements personnels, ainsi que leur perte ou toute autre atteinte à leur protection. Exemples : courriel envoyé au mauvais destinataire, vol d'ordinateur portable, cyberattaque, employé qui consulte des dossiers sans autorisation.

Sous quel délai dois-je aviser la CAI?

Vous devez aviser la Commission d'accès à l'information (CAI) « avec diligence » si l'incident présente un risque de préjudice sérieux. La Loi n'impose pas de délai précis en heures, mais l'avis doit être fait rapidement après l'évaluation du risque, idéalement dans les 72 heures suivant la découverte.

Comment savoir si un incident présente un risque sérieux?

Évaluez la sensibilité des renseignements (données de santé, financières = plus sensibles), la probabilité d'utilisation malveillante, et les conséquences potentielles pour les personnes. Un courriel contenant des NAS envoyé au mauvais destinataire = risque sérieux. Un prénom envoyé par erreur = généralement pas de risque sérieux.

Dois-je tenir un registre même pour les incidents mineurs?

Oui. Tous les incidents doivent être consignés au registre, qu'ils présentent ou non un risque sérieux. Le registre doit être conservé pendant au moins 5 ans après l'incident.

Quelle est l'amende pour ne pas déclarer un incident?

Pour les personnes morales, les sanctions administratives peuvent atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial. Les sanctions pénales peuvent aller jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial (LPRPSP, Art. 90.1, 91).

Un courriel envoyé au mauvais destinataire est-il un incident?

Oui, c'est un incident de confidentialité (communication non autorisée). Vous devez l'inscrire au registre et évaluer s'il présente un risque sérieux. Si le courriel contenait des renseignements sensibles, vous devrez probablement aviser la CAI et les personnes concernées.

Dois-je aviser les personnes touchées même si je ne connais pas leur identité?

Si vous ne pouvez pas aviser directement les personnes concernées, vous devez diffuser un avis public par un moyen susceptible de les joindre (ex : avis sur votre site web, communiqué de presse).

Combien de temps dois-je conserver le registre des incidents?

Le registre doit être conservé pendant au moins 5 ans. La CAI peut demander à le consulter à tout moment dans le cadre d'une enquête ou d'une vérification.

Prochaine étape

Besoin de signaler un incident? Voir Comment signaler un incident à la CAI pour une checklist immédiate.

La gestion des incidents fait partie d'un programme de conformité plus large. Assurez-vous d'avoir également désigné un RPRP et mis en place les mesures de sécurité appropriées.

Ressources utiles :

Sujets connexes