Introduction

La Loi modernisant les dispositions législatives en matière de protection des renseignements personnels (le « projet de loi 64 »)1 a reçu la sanction royale le 22 septembre 2021, introduisant de nouvelles obligations pour les entreprises du secteur privé, au Québec, et ce échelonnées sur trois ans. Dans le cadre d'une série de blogues concernant les mesures préventives que les entreprises devront prendre afin de s'assurer de la conformité, de rencontrer les nouvelles obligations incombant aux entreprises en cas d'incident de cybersécurité qui sont parmi les préoccupations les plus pressantes du secteur privé.

Le projet de loi 64 a été présenté dans le but d'ajouter d'importantes protections additionnelles concernant les renseignements personnels des citoyens qui sont détenus par des entreprises privées. Les dispositions discutées dans ce blogue, modifiant la Loi sur le secteur privé, devraient entrer en vigueur en deux temps, soit le 22 septembre 2022 et le 22 septembre 2023, ce qui en fait des obligations prioritaires auquel les entreprises doivent se préparer dès maintenant.

Les nouvelles exigences de déclaration des cyberincidents, du projet de loi 64, pour le secteur privé peuvent sembler familières aux entreprises qui se conforment déjà à des exigences analogues en vertu de la Loi fédérale canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ), la Personal Information Protection Act (PIPA) de l'Alberta et le Règlement Général sur la Protection des Données (RGPD). Cependant, même pour de telles entreprises, il est important de comprendre que le projet de loi 64 introduit d'importantes nouvelles exigences, pour les entreprises opérant au Québec. Voici comment ces nouvelles obligations diffèrent des obligations canadiennes existantes de déclaration des cyberincidents :

  • Différent champ d'application : le projet de loi 64 introduit une nouvelle définition d'un « incident de confidentialité » par rapport à la norme existante d'« atteinte aux mesures de sécurité » contenue dans la LPRPDE et la PIPA;
  • Différences dans les normes de notification en cas d'incident : la nouvelle norme de « risque de préjudice sérieux » du projet de loi 64 diffère de la norme établie de « risque réel de préjudice grave » qui s'applique à la LPRPDE et de la PIPA ;
  • Exigences d'enregistrement des incidents : le projet de loi 64 exige aussi la présence d'un registre de tous les incidents de confidentialité, quel que soit le risque de préjudice, conformément aux exigences fédérales en matière de tenue de dossiers de la LPRPDE;
  • Obligations uniques d'atténuation et de remédiation des risques : le projet de loi 64 exige que les entreprises mettent en place de nouvelles procédures d'atténuation et de remédiation des risques pour prévenir de futurs incidents de confidentialité ; et
  • Pénalités considérablement plus élevées en cas de non-conformité : le projet de loi 64 comportant des pénalités pouvant atteindre 25 000 000 $ ou jusqu'à 4 % du chiffre d'affaires mondial de l'exercice financier précédent en cas de non-conformité.

Champ d'application

Le projet de loi 64 introduit une définition révisée de la notion d'« incident de confidentialité », c'est-à-dire l'accès, l'utilisation ou la communication, non autorisés par la loi, des renseignements personnels; ou une perte ou toute autre atteinte concernant la protection de ces informations.2 Cette nouvelle définition s'accompagne d'une définition élargie des renseignements personnels. Le projet de loi 64 ajoute que les renseignements personnels comprennent tous renseignements relatifs à une personne physique qui peuvent permettre de directement ou indirectement l'identifier.3

Par comparaison, la LPRPDE et la PIPA de l'Alberta définissent une atteinte aux mesures de sécurité comme une perte, un accès non autorisé ou une divulgation non autorisée de renseignements personnels résultant d'une atteinte des mesures de sécurité.4 Le RGPD partage une définition similaire de la violation des données personnelles à la définition fédérale canadienne, en ce sens qu'elle signifie la destruction accidentelle ou illégale, la perte, l'altération, la divulgation ou l'accès aux données personnelles détenues par une entreprise.5

La définition du projet de loi 64 comprend, de son côté, l'accès, l'utilisation, la communication et la perte de renseignements personnels, non autorisés par la loi. En pratique, les définitions du projet de loi 64 couvrent les situations courantes dans lesquelles un incident de confidentialité peut survenir, mais inclut également la catégorie élargie et potentiellement indéterminée comportant « toute autre violation » dans la protection des renseignements personnels qui pourrait s'étendre à des activités au-delà de ce que la LPRPDE ou la PIPA peuvent définir comme une violation et s'aligner plus étroitement sur l'interprétation du RGPD. Le résultat est que les entreprises peuvent être tenues de surveiller un éventail plus large de risques de cybersécurité déclenchant ainsi les obligations de déclaration et de tenue de registre du projet de loi 64 par rapport aux régimes canadiens de protection de la vie privée existante.

Exigences d'avis en cas d'incident

Les entreprises qui traitent des renseignements personnels provenant du Québec sont désormais tenues d'aviser les individus touchés par un incident de confidentialité lorsque l'incident présente un « risque de préjudice sérieux ».6 La norme imposée par le projet de loi 64, afin d'aviser les personnes concernées, est évaluée à l'aide de facteurs similaires à la norme établie de « risque réel de préjudice grave » employée par la LPRPDE et la PIPA de l'Alberta. Les « risques de préjudice sérieux », comme les « risques réels de préjudice grave », nécessitent des évaluations contextuelles qui tiennent compte de la sensibilité des informations concernées et de la probabilité que ces informations soient utilisées à mauvais escient.7

Contrairement à la norme de « risque réel de préjudice grave » de la LPRPDE et de la PIPA, la norme du « risque de préjudice sérieux » n'a pas de définition claire dans le projet de loi 64. De plus, il n'est pas encore clair si la norme imposée d'un simple « risque » (par opposition à un « risque réel ») constitue une distinction qui n'implique aucune différence. Il est possible que ces deux normes soient appliquées par la nouvelle Commission d'accès à l'information (le « CAI ») de manière similaire étant donné que leurs critères s'alignent étroitement, mais les entreprises doivent être attentives aux développements règlementaires pour voir si le libellé, dans le projet de loi 64, est interprété d'une manière plus stricte que les exigences de la LPRPDE et de la PIPA.

En ce qui concerne les délais pour aviser les personnes concernées lors d'un incident comportant un « risque de préjudice sérieux », le projet de loi 64 s'aligne plus étroitement avec les exigences existantes en matière d'avis en temps opportun dans les régimes canadiens de protection de la vie privée. Si l'incident présente un risque de préjudice sérieux, les entreprises doivent aviser, avec diligence, la CAI ainsi que toute personne dont les informations personnelles sont concernées.8 Le non-respect de cette obligation peut entrainer une ordonnance de divulgation obligatoire par la CAI aux parties concernées, des sanctions administratives pécuniaires ainsi que des sanctions légales.9

La LPRPDE et la PIPA exigent une notification, dès que possible au commissaire à la protection de la vie privée dans le cas où une violation des mesures de sécurité présente un « risque réel de préjudice grave ».10 À titre de comparaison, le RGPD exige la notification d'une violation de données à l'autorité de contrôle du pays au plus tard 72 heures après la violation lorsqu'elle entraine un risque pour les droits et libertés des personnes physiques.11

Exigences d'enregistrement des incidents

Le projet de loi 64 impose aussi de nouvelles exigences d'enregistrement pour les entreprises qui subissent un incident de confidentialité. Les entreprises qui traitent des renseignements personnels des citoyens au Québec devront dorénavant tenir un registre de tout incident de confidentialité affectant les renseignements personnels de leurs clients, qu'ils présentent un « risque de préjudice sérieux » ou non. Ils devront aussi transmettre ce registre à la CAI sur demande.12

Cette exigence d'enregistrement obligatoire de tout incident de confidentialité, pour examen ultérieur, par les autorités règlementaires, rends les obligations de tenue de dossiers du secteur privé du Québec, conformes aux obligations fédérales canadiennes et européennes concernant la tenue d'un registre des atteintes à la sécurité des données. La LPRPDE exige que les organisations conservent des dossiers concernant chaque violation des mesures de sécurité impliquant des informations sous leur contrôle, qu'elles présentent ou non un « risque réel de préjudice grave », et qu'elles fournissent ce registre au Commissaire à la protection de la vie privée sur demande.13 Le RGPD maintient des exigences similaires, exigeant que les contrôleurs documentent toute violation de données personnelles, leurs effets et les mesures correctives prises.14 La PIPA de l'Alberta n'exige pas d'obligation de tenue de registre aussi détaillée pour le secteur privé.

Atténuation des risques et exigences de remédiation

Le projet de loi 64 impose un éventail plus large d'exigences d'atténuation et de remédiation des risques par rapport aux régimes canadiens de protection de la vie privée existants, ce qui entraine des différences notables à prendre en compte pour une conformité efficace.

Le projet de loi 64 exige que toute personne ayant des motifs de croire qu'un incident de confidentialité s'est produit, doive prendre des mesures raisonnables pour réduire le risque de préjudice et prévenir les nouveaux incidents.15 À l'instar des nouvelles exigences d'enregistrement des incidents, le projet de loi 64 introduit des obligations d'atténuation et de remédiation des risques, que l'incident de confidentialité entraine ou non un « risque de préjudice sérieux » et applique l'obligation à toute personne ayant des motifs de croire qu'un incident de confidentialité a eu lieu. Par conséquent, le projet de loi 64 impose aux entreprises des obligations plus strictes que la LPRPDE et la PIPA.

Couplées aux exigences de tenue de registres, mentionnées ci-dessus, les exigences du projet de loi 64 ressemblent davantage aux exigences du RGPD, en matière de mesures correctives, et peuvent même dépasser celles du RGPD concernant les mesures d'atténuation des risques subséquents. Le RGPD exige que les entreprises conservent un registre des violations de données ainsi que les mesures correctives prises. Le projet de loi 64 exige que des mesures raisonnables soient prises pour réduire le risque de préjudice lors d'une violation de la confidentialité et que des mesures raisonnables soient prises pour réduire les risques subséquents.16

Des pénalités nettement plus importantes

Parmi les changements les plus importants du projet de loi 64, il y a une augmentation considérable du montant des pénalités en cas de réponse inadéquate aux cyberincidents par rapport aux autres lois canadiennes. Le projet de loi 64 prévoit deux régimes potentiels de non-conformité, une sanction administrative pécuniaire et une sanction pénale.

Des sanctions administratives pécuniaires peuvent être imposées par la CAI en cas de manquement à l'obligation informationnelle, de collecte et de communication de renseignements personnels en contravention de la loi, de manquement à l'obligation d'avis en cas d'incident, et le manquement à l'obligation de mettre en place des mesures de sécurité suffisantes pour protéger les renseignements personnels.17 Les entreprises qui contreviennent aux dispositions du projet de loi 64 peuvent conclure un engagement avec la CAI et ainsi éviter une sanction administrative pécuniaire.18 Si un engagement avec la CAI n'est pas pris, la sanction maximale qui est de $10,000,000 ou 2% du chiffre d'affaires mondial de l'exercice financier de l'année précèdent, selon le montant plus élevé.19

Selon la gravité, le nombre de personnes impliquées et l'impact de la non-conformité, la CAI peut appliquer une pénalité pénale d'un maximum de 25 000 000 $ ou de 4 % du chiffre d'affaires mondial de l'exercice précédent, selon le plus élevé des deux20. Les pénalités pour non-conformité au projet de loi 64 pourraient être les plus couteuses au Canada, puisque la LPRPDE et la PIPA imposent des pénalités pouvant aller jusqu'à 100 000 $ par évènement.21 Les amendes pour non-conformité, au projet de loi 64, se rapprochent désormais davantage à celles pour non-conformité au RGPD.22

Avec l'entrée en vigueur de pénalités accrues, en cas de non-conformité, en date du 22 septembre 2023, les entreprises devraient envisager rapidement de mettre en place les mesures suivantes afin de s'assurer de leur conformité face à ces nouvelles obligations du projet de loi 64.

Mesures concrètes à prendre en compte être conforme

  1. Mettez en place un registre des violations

Le projet de loi 64 exige que les entreprises tiennent un registre des incidents de confidentialité qui ont un impact sur les données de leurs clients, qu'ils présentent ou non un risque de préjudice sérieux. Les entreprises conformes au RGPD sont peut-être familières avec des exigences similaires en matière de registre mis en place pour les atteintes aux données, mais la conformité à la LPRPDE n'exige de signaler que les incidents causant un risque réel de préjudice grave. Dans le cadre du respect de l'obligation du projet de loi 64, de prévenir de nouveaux incidents de même nature, les entreprises devraient envisager de mettre à jour leurs politiques et pratiques de déclaration interne pour enregistrer des informations plus détaillées concernant les incidents de confidentialité, les mesures correctives à prendre pour réduire le risque de préjudice, et les mesures prises pour atténuer les risques existants.

  1. Développez une méthode pour déterminer la gravité des incidents de confidentialité

Les incidents de confidentialité présentant des risques de préjudice sérieux doivent être signalés rapidement à la CAI et doivent être notifiés aux personnes concernées dès que possible. Pour savoir quand une entreprise doit commencer le processus d'avis, une surveillance active des informations personnelles détenues par l'entreprise et des processus d'évaluation de la gravité d'un incident sont nécessaires. Bien que la LPRPDE, la PIPA et le RGPD utilisent des critères similaires pour évaluer le risque de préjudice, les entreprises doivent adapter leurs évaluations d'impact sur la vie privée aux facteurs énumérés dans le projet de loi 64 pour démontrer leur conformité à la loi en cas de cyberincident.

  1. Mettez à jour votre documentation existante concernant les rapports d'incident

Comme mentionné ci-dessus, le projet de loi 64 comporte des exigences de divulgation variées qui peuvent nécessiter une nouvelle documentation de notification qui prend en compte des critères spécifiques à évaluer lors d'un incident de confidentialité. Les entreprises seront tenues d'informer le CAI, et les personnes concernées, d'incidents impliquant un risque réel de préjudice grave dès que possible, et la présence de documents prérédigés pourrait aider à informer efficacement les parties concernées. La CAI peut définir le contenu et la forme d'une notification obligatoire d'un avis lors d'un incident de confidentialité par voie règlementaire, ce qui peut nécessiter de mettre à jour la documentation existante.

Conclusion

Le projet de loi 64 inclut des ajouts importants concernant les exigences d'avis en cas d'incident que devraient connaitre les entreprises qui traitent des renseignements personnels au Québec. Étant donné que les articles concernant la notification des violations et la maintenance d'un registre doivent entrer en vigueur le 22 septembre 2022, incluant des pénalités concernant la non-conformité entrants en vigueur le 22 septembre 2023, les entreprises devraient déjà envisager la planification de la manière d'aligner leurs pratiques internes de confidentialité et de sécurité des données avec les nouvelles exigences du projet de loi 64.

Restez à l'écoute pour d'autres publications de McCarthy Tétrault sur le sujet.

Pour savoir comment le groupe Cyber/Données peut vous aider à naviguer les nombreuses exigences de cyberstratégies et de confidentialité des données, et vous préparer aux nouvelles exigences en matière de cybersécurité, veuillez contacter les coresponsables nationaux Charles Morgan et Daniel Glover pour plus d'informations.

Footnotes

1Loi modernisant les dispositions législatives en matière de protection des renseignements personnels, CQRL, c P-39.1 [le « Projet de Loi 64 »].

2 Projet de loi 64, section 3.6.

3 Projet de loi 64, section 2.

4Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, ch. 5, section 2(1) [la « LRPDRE »] ; Personal Information Protection Act, SA 2003, c P-65, section 34.1 [« PIPA  »].

5 Règlement (UE) 2016/679, règlement général sur la protection des données article 4(12) [le « RGPD »

6 Projet de loi 64, section 3.5 al 2.

7 LRPDRE section 10(7-8), Projet de loi section 3.6.

8 Projet de loi 64, section 3.5 al 2.

9 Projet de loi 64, sections 3.5 al 2, 90.12, 91.

10 LRPDRE section 10.1, PIPA section 34.1(1).

11 RDPG, Article 33.

12 Projet de loi 64, section 3.8.

13 LPRPDE section 10.1, 10.3(1-2).

14 RDPG Article 33(5).

15 Projet de loi 64, section 3.5 al 1.

16 Projet de loi 64, section 3.5.

17 Projet de loi 64, section 90.1 (1 - 3.1)

18 Projet de loi 64, section 90.1 al 3.

19 Projet de loi 64, section 90.12.

20 Projet de loi 64, section 90.2.

21 LRPRDE section 28, PIPA section 59(2)(a-b).

22 RGPD, Article 83(4-5).

To view the original article click here

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.