Digital Brain
digital brain
digital brain

2e partie | Le droit à la vie privée 101 – Obligations en vertu de la nouvelle loi 25 au Québec : Créez votre registre des incidents de confidentialité et soyez prêt à les signaler en toute conformité

Sep 15, 2022 Balados Lecture de 5 min

Cette série de balados conçue pour les entreprises du secteur privé faisant affaire au Québec porte sur les exigences de la loi 25 qui entrera en vigueur le 22 septembre. Candice Hévin et Marie-Eve Jean, avocates au sein de notre groupe de la protection de la vie privée et des données, animent des discussions sur les changements au régime du secteur privé, soit les modifications à la Loi sur la protection des renseignements personnels dans le secteur privé.

Dans cet épisode, découvrez pourquoi votre entreprise doit concevoir, mettre en place et tenir à jour un registre des bris de confidentialité et quelles sont vos obligations de divulgation des incidents de violations.

Le contenu de ce balado ne fournit qu’un aperçu du sujet et ne serait en aucun cas interprété comme des conseils juridiques. L’auditeur ne doit pas se fonder uniquement sur ce balado pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

Transcription

Marie-Eve Jean : Bonjour et bienvenue à ce deuxième épisode de Cours 101 sur le droit à la vie privée, particulièrement, vos obligations sous la Loi 25. Il s’agit d’une série de balados qui vous aidera à vous préparer et vous conformer à la nouvelle législation du Québec en matière de protection de la vie privée et des renseignements personnels.

Candice Hévin : Mon nom est Candice Hévin.

Marie-Eve Jean : Et je suis Marie-Eve Jean.

Candice Hévin : Nous sommes toutes les deux avocates chez McMillan et nous travaillons ensemble afin d’aider les entreprises qui opèrent au Québec à se conformer avec la législation québecoise en matière de protection de la vie privée et des renseignements personnels.

Marie-Eve Jean : Pour vous donner un peu de contexte, le Québec a adopté une nouvelle loi le 22 septembre 2021. Le projet de loi 64, vise à moderniser le régime de protection de la vie privée et des renseignements personnels dans les secteurs public et privé. Cette série de balados porte sur les changements à la législation du secteur privé, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels que nous référerons ici par la Loi 25.

La Loi 25 introduit de nouvelles obligations pour les organisations qui font affaires au Québec.

Candice Hévin : Bien que la majorité des nouvelles exigences entrent en vigueur le 22 septembre 2023, certaines exigences clés entreront en vigueur cet automne, le 22 septembre. Quelques exigences prendront également effet à partir du 22 septembre 2024.

Dans notre premier épisode la semaine dernière, nous avons parlé des mécanismes afin d’assurer la conformité et de votre obligation de nommer un responsable des renseignements personnels avant le 22 septembre 2022.

Marie-Eve Jean : Dans cet épisode, nous regarderons de près vos obligations en ce qui a trait aux incidents de confidentialité. Les dispositions législatives à cet effet prendront aussi effet à partir du 22 septembre 2022.

Candice Hévin : Sous la Loi 25, dès que vous avez une raison de croire qu’un incident de confidentialité impliquant des RP que votre entreprise détient s’est produit, vous devez immédiatement prendre des mesures raisonnables pour réduire tout risque de préjudice et prévenir la survenance d’incidents similaires. La loi 25 donne une définition d’incident de confidentialité, soit l’accès, l’utilisation ou la communication d’un RP non autorisé par la loi, ainsi que la perte ou toute autre atteinte à la protection d’un tel renseignement.

Marie-Eve Jean : Il faut noter que cette définition est plus stricte et entraîne des obligations plus larges que dans les autres juridictions canadiennes.

Si l’incident de confidentialité présente un risque de préjudice sérieux, vous devez en informer la Commission d’accès à l’information et toutes les personnes dont la vie privée serait concernée par l’incident, et ce, dans les meilleurs délais.

Candice Hévin : Vous pouvez aussi notifier tout personne tierce qui serait susceptible de réduire le risque de préjudice, à moins que cela ne risque d’entraver une enquête policière ou réglementaire. La notification de ces tiers peut se faire sans le consentement des personnes concernées, mais en retour la divulgation devra être absolument limitée aux RP qui sont nécessaires.

Marie-Eve Jean : Bon, nous avons établi que vous avez des obligations supplémentaires si l’incident de confidentialité présente un risque de blessure sérieux, mais vous vous demandez probablement à ce stade comment déterminer s’il y a un risque de blessure sérieux. Oui, les facteurs à prendre en considération pour évaluer s’il existe un « risque de préjudice sérieux » sont en fait semblables à ceux qui sont pris en considération pour déterminer s’il existe un « risque réel de préjudice important » en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Vous devrez évaluer :

  • la sensibilité des renseignements concernés,
  • les conséquences anticipées de leur utilisation, et
  • la probabilité que le renseignements personnels soit utilisé à des fins préjudiciables.

Candice Hévin : Une exigence très importante de la Loi 25 est que les entreprises doivent mettre en place et maintenir un registre des incidents de confidentialité où chaque incident de confidentialité devra être inscrit. Ce registre doit être fourni à la Commission d’accès à l’information sur demande.

Alors là, vous allez vous demander si pour gagner du temps et pour que ce soit plus pratique, vous pouvez éviter d’avoir des registres distincts, celui requit en vertu de la LPRPDE et celui en vertu de la Loi 25.

Vous vous poserez cette question si votre entreprise exerce ses activités au Québec et dans d’autres provinces. Si votre entreprise n’opère qu’au Québec, la question ne se pose pas.

Marie-Eve Jean : Si votre entreprise exerce ses activités dans plusieurs provinces, y compris le Québec, nous vous recommandons de tenir deux registres distincts.

La raison est simple. Si vous n’avez qu’un seul registre qui comprend les détails de toutes les atteintes et de tous les incidents survenus au Canada et au Québec, vous risquez de divulguer toutes ces informations, en particulier les informations concernant les atteintes survenues à l’extérieur du Québec, à la Commission d’accès à l’information. Ce n’est pas nécessaire et il est préférable d’éviter ce type de situation en tenant deux registres distincts.

Candice Hévin : Le législateur québécois a finalement fait ses premiers pas pour délimiter les obligations des organisations en vertu de la Loi 25 en publiant et adoptant récemment son Règlement sur les incidents de confidentialité. Ce règlement entre en vigueur, avec ses obligations corollaires, le 22 septembre 2022.

Marie-Eve Jean : Le Règlement précise entre autre :

i) Le contenu de l’avis qui doit être transmis à la Commission d’accès à l’information lors du signalement d’un incident de confidentialité qui présente un risque de préjudice sérieux;
ii) Le contenu de l’avis qui doit être envoyé aux personnes concernées lors du signalement d’un incident de confidentialité présentant un risque de préjudice sérieux;
iii) Les circonstances dans lesquelles vous devrez informer les personnes concernées par le biais d’un avis public;
iv) Le contenu de votre registre des incidents de confidentialité ; et,
v) La période pendant laquelle vous devez conserver et mettre à jour les informations contenues dans le registre, soit une période minimale de 5 ans après la date à laquelle votre entreprise a pris connaissance de l’incident.

Candice Hévin : Fournir plus de détails ici prendrait trop de temps, mais n’oubliez pas de consulter notre bulletin intitulé “Premier projet de règlement, à vos marques, prêts, partez !” qui contient tous les détails ou contactez-nous pour obtenir plus d’informations sur le règlement et les incidents de confidentialité dans leur ensemble.

Donc voilà, cela clos notre 2ème épisode. Nous avons plusieurs autres astuces à partager avec vous quant aux incidents de confidentialité donc n’hésitez pas à communiquer avec nous. Nous avons aussi beaucoup d’expérience en ce qui concerne le développement de registres des incidents de confidentialité et nous serions heureuses de vous assister à développer le vôtre.

Marie-Eve Jean : Ne manquez pas le prochain épisode, où nous discuterons de vos obligations en ce qui a trait aux données biométriques. Vous écoutez Marie-Eve Jean.

Candice Hévin : Et Candice Hévin.

Marie-Eve Jean : De McMillan LLP. Ce fut un plaisir d’enregistrer pour vous ! On se retrouve la semaine prochaine.

Perspectives (3 Posts)

Featured Insight

Loi 25 – Premier projet de règlement, à vos marques, prêts, partez!

Premier projet de règlement dans le cadre de la Loi 25 en matière de protection des renseignements personnels et incidents de confidentialité.

Lire plus
18 Juil, 2022
Featured Insight

Projet de loi no 64 : aide-mémoire à l’intention des entreprises

Le Québec modernise ses lois sur la protection des renseignements personnels. Cet aide-mémoire illustre les priorités et les échéances pour les entreprises.

Lire plus
7 Déc, 2021
Featured Insight

Adoption du projet de loi no 64 : modernisation du régime de protection de la vie privée

Une analyse en profondeur de la modernisation de 2021 du régime de protection de la vie privée du Québec.

Lire plus
25 Oct, 2021