Insights Header image
Insights Header image
Insights Header image

Nouvelles exigences de conformité pour les institutions financières du Québec : survol du Règlement sur la gestion et le signalement des incidents de sécurité de l’information de certaines institutions financières et des agents d’évaluation du crédit

15 janvier 2025 Bulletin sur la protection de la vie privée et des données Lecture de 5 min

Le 23 octobre 2024, le gouvernement du Québec a publié le Règlement sur la gestion et le signalement des incidents de sécurité de l’information de certaines institutions financières et des agents d’évaluation du crédit (le « Règlement ») dans la Gazette officielle du Québec. Les obligations énoncées dans le Règlement entreront en vigueur le 23 avril 2025.

D’une manière générale, le règlement établit trois ensembles d’obligations principales pour les Institutions financières, à savoir i) établir et mettre en œuvre une politique de gestion des incidents de sécurité de l’information, ii) signaler les incidents de sécurité de l’information;

iii) tenir un registre des incidents de sécurité de l’information.

Le présent bulletin fait un survol des principales obligations prévues par le Règlement qui touchent les Institutions financières.

A.      Organisations touchées

Le Règlement s’applique aux institutions financières suivantes (les « Institutions financières ») :

  • un assureur autorisé en vertu de la Loi sur les assureurs et une fédération de sociétés mutuelles visée par cette loi;
  • une fédération et une caisse qui n’est pas membre d’une fédération visées à la Loi sur les coopératives de services financiers;
  • une institution de dépôts autorisée en vertu de la Loi sur les institutions de dépôts et la protection des dépôts;
  • une société de fiducie autorisée en vertu de la Loi sur les sociétés de fiducie et les sociétés d’épargne;
  • un agent d’évaluation du crédit désigné en vertu de la Loi sur les agents d’évaluation du crédit.

B.       Champ d’application du Règlement

Le Règlement définit un « incident de sécurité de l’information » comme une atteinte à la disponibilité, à l’intégrité ou à la confidentialité des systèmes d’information ou aux informations qu’ils contiennent.

Cette définition est à distinguer de celle d’un « incident de confidentialité », prévue par la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le secteur privé ») applicable aux organisations du secteur privé, soit 1) l’accès non autorisé par la loi à un renseignement personnel; 2) l’utilisation non autorisée par la loi d’un renseignement personnel; 3) la communication non autorisée par la loi d’un renseignement personnel; 4) la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement[1].

Alors que la Loi sur le secteur privé fait référence à l’accès, l’utilisation ou la communication non autorisés à un renseignement personnel ou à sa perte, le Règlement fait référence à une « atteinte » à la « disponibilité », l’« intégrité » ou la « confidentialité » des « systèmes d’information » et aux « informations » qu’ils contiennent. Par conséquent, le Règlement peut s’appliquer aux atteintes aux systèmes d’information ainsi qu’à toute information détenue par une Institution financière, y compris les renseignements personnels.

C.      Politique de gestion des incidents de sécurité de l’information

Une obligation importante imposée aux institutions touchées est d’établir, de mettre en œuvre et de tenir à jour une politique de gestion des incidents de sécurité de l’information. Cette politique doit comprendre des procédures et des mécanismes permettant de détecter, d’évaluer et de répondre aux incidents de sécurité de l’information pouvant survenir au sein de l’Institution financière, une procédure de signalement des incidents de sécurité de l’information aux dirigeants ou aux gestionnaires (les « Dirigeants ») selon le cas, et une procédure de signalement des incidents de sécurité de l’information à toute autre partie prenante, notamment aux clients, aux tiers à qui l’Institution financière a confié l’exercice de toute partie d’une activité, aux consommateurs, à l’Autorité des marchés financiers (l’« AMF ») de même qu’aux autres organismes de réglementation.

Conformément au Règlement, une Institution financière doit formellement désigner, par écrit, un de ses Dirigeants responsable de surveiller la gestion et le signalement des incidents de sécurité de l’information.

D.       Obligations en matière de signalement

Le Règlement impose également diverses obligations de signalement aux Institutions financières.

i. Risque de répercussions négatives et prévention de la criminalité

Une Institution financière doit aviser l’AMF de tout incident de sécurité de l’information qui risque d’occasionner des répercussions négatives et qui a été signalé à son Dirigeant au plus tard vingt-quatre heures après son signalement. Le Dirigeant doit aussi aviser l’AMF, dans ce même délai, de tout incident de sécurité de l’information qui fait l’objet d’un avis à un organisme de réglementation, à une personne ou à un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois, ou, contractuellement, est chargé de dédommager le préjudice qui aurait pu être causé par cet incident.

ii. Signalements à la Commission d’accès à l’information

Si une Institution financière a des motifs de croire qu’un incident de confidentialité impliquant un renseignement personnel s’est produit et présente un « risque qu’un préjudice sérieux soit causé » aux personnes concernées en vertu de la Loi sur le secteur privé, elle doit non seulement en aviser la Commission d’accès à l’information du Québec (« CAI ») comme l’exige la Loi sur le secteur privé, mais également, en vertu du Règlement, en aviser l’AMF au même moment.

iii. Obligations de signalement continu

Une fois qu’un avis d’incident relatif à la sécurité de l’information est donné à l’AMF par l’Institution financière en vertu du Règlement, l’Institution financière doit continuer d’aviser l’AMF de tout fait nouveau concernant la situation tous les trois jours par la suite. Elle doit également continuer de lui fournir des mises à jour tous les trois jours jusqu’à ce qu’elle soit en mesure de confirmer à l’AMF que l’incident a été maîtrisé et que les activités ont repris leur cours normal.

Ensuite, dans les trente jours suivant la confirmation que l’incident a été maîtrisé et que les activités ont repris leur cours normal, l’Institution financière doit transmettre à l’AMF un rapport obligatoire portant sur les éléments suivants :

  • l’identification de la source et du type d’incident de sécurité de l’information;
  • l’appréciation de l’Institution financière quant à la récurrence potentielle de l’incident;
  • les moyens pris par l’institution financière pour réduire la probabilité que de nouveaux incidents de même nature se produisent.

iv. Registre des incidents de sécurité de l’information

Le Règlement oblige les Institutions financières à tenir à jour un registre des incidents de sécurité de l’information qui comprend, pour chaque incident, les renseignements suivants :

  • la date, l’heure et la localisation de l’incident;
  • la nature de l’incident;
  • une description détaillée de l’incident;
  • les préjudices engendrés par l’incident;
  • les tiers concernés par l’incident;
  • les actions prises;
  • l’acceptation ou non du risque résiduel et les justificatifs afférents;
  • les actions prévues;
  • la date de la clôture de l’incident.

Le Règlement oblige également les Institutions financières à conserver les renseignements consignés au registre de manière sécurisée et confidentielle, afin d’en maintenir l’intégrité pour une période minimale de cinq ans à compter de la date du rapport détaillé fourni à l’AMF en vertu du Règlement.

E. Sanctions administratives pécuniaires

Le Règlement prévoit des sanctions administratives si les Institutions financières manquent à leurs obligations.

Plus précisément, les Institutions financières peuvent être pénalisées pour ne pas avoir i) désigné un responsable pour surveiller la gestion et le signalement des incidents de sécurité de l’information, ii) avisé l’AMF d’un incident de sécurité de l’information dans les délais requis, iii) avisé l’AMF dans les cas où elle était tenue d’aviser la CAI, iv) fourni les rapports subséquents sur les incidents. Ces pénalités peuvent aller de 250 dollars pour les particuliers à 1 000 dollars pour les Institutions financières.

Les Institutions financières peuvent également être soumises à des sanctions administratives plus lourdes si elles : i) n’établissent pas ou ne mettent pas en œuvre la politique requise; ii) ne tiennent pas à jour leur registre des incidents de sécurité de l’information; iii) ne conservent pas les renseignements au registre pour une période minimale de cinq ans. Ces sanctions peuvent aller de 500 $ pour les particuliers à 2 500 $ pour les Institutions financières.

F. À retenir

Le Règlement impose aux Institutions financières des obligations plus strictes en matière de gestion et de signalement des incidents de sécurité de l’information. À l’avenir, les Institutions financières devront non seulement se conformer aux obligations énoncées dans le Règlement, mais aussi être attentives à leurs obligations de signalement à travers divers cadres réglementaires.

Pour une analyse détaillée de l’effet du Règlement sur vos activités, ou pour obtenir de plus amples informations et de l’aide pour mettre en œuvre et tenir à jour votre politique et vos procédures de gestion des incidents de sécurité de l’information, veuillez contacter le groupe Protection de la vie privée et des données de McMillan. Nous nous engageons à vous fournir des conseils personnalisés pour assurer la conformité et l’efficacité de vos stratégies de protection des données dans le paysage réglementaire complexe du Québec.

[1] Article 3.6, Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c. P-39.1.

Par Amir Kashdaran, Mitch Koczerginski et Meena Shanmuganathan (stagiaire en droit)

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2025

Perspectives (5 Posts)Voir Plus

Featured Insight

Préparez-vous (double mise à jour)! Le Canada introduit une feuille de route proposée visant à prolonger la durée de vie des plastiques contenus dans les produits électroniques et une norme de recyclage des plastiques

Préparez-vous (double mise à jour)! Le Canada introduit une feuille de route proposée visant à prolonger la durée de vie des plastiques contenus dans les produits électroniques et une norme de recyclage des plastiques.

Lire plus
6 Fév, 2025
Featured Insight

Plus de questions que de réponses : analyse des éliminations volontaires des contrôles de propriété

Un récent communiqué de presse du Bureau de la concurrence sur le fait qu’une épicerie accepte d’éliminer une clause d’exclusivité/restrictive soulève plus de questions que de réponses.

Lire plus
4 Fév, 2025
Featured Insight

Préparation aux éventuels tarifs américains : dates clés et réflexion stratégique

Pour se prémunir contre les éventuels tarifs américains, les entreprises doivent sans délai se doter d’une stratégie d’atténuation.

Lire plus
31 Jan, 2025
Featured Insight

Des règles sur les renseignements de rappel en ligne – Transports Canada publie un nouveau règlement en matière de contenu

Transports Canada annonce que les entreprises devront désormais mettre en ligne les renseignements sur les rappels de véhicules et d’équipements automobiles.

Lire plus
30 Jan, 2025
Featured Insight

Imbroglio autour des gains en capital : gérer les options de déclaration des avantages liés à l’option d’achat d’actions des employés

Le présent bulletin aborde les modifications fiscales proposées qui entraîneraient des obligations de retenue d’impôt supplémentaires en matière d’avantages liés à l’option d’achat d’actions.

Lire plus
30 Jan, 2025