(Photo: Sigmund pour Unsplash)
Un texte de Me Antoine Guilmain, LL.D., cochef du groupe cybersécurité et protection des données, Gowling WLG
COURRIER DES LECTEURS. Le 22 septembre 2022 marquera un avant et un après pour les entreprises et la population québécoises. Avant, les entreprises n’avaient aucune obligation de signalement auprès du public par suite d’un incident de sécurité visant des renseignements personnels. Désormais, les entreprises doivent aviser la Commission d’accès à l’information et les individus concernés de tout incident de confidentialité visant un renseignement personnel présentant un risque sérieux de préjudice. C’est incontestablement un grand changement, qui cache aussi de grandes nuances…
À (re)lire: Cybersécurité: un guide pour vous conformer à la loi 25
À l’instar du modèle fédéral et albertain, la Loi 25, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a notamment été adoptée pour encadrer le traitement des incidents affectant la confidentialité des renseignements personnels par les entreprises et les organismes publics. Cette résolution est d’ailleurs si marquée, pour ne pas dire criante au regard de l’actualité récente, que ce nouveau régime relatif au signalement (ou notification) des incidents de confidentialité se devait d’entrer en vigueur le plus tôt possible, soit dès septembre 2022, contrairement à d’autres dispositions applicables en 2023 ou même 2024.
Dorénavant, les entreprises ne pourront donc plus passer sous silence les incidents de confidentialité visant des renseignements personnels au Québec. Cette affirmation ne veut toutefois pas dire que tous les incidents feront l’objet d’un signalement, autrement dit, ni jamais ni toujours. Oui, mais alors, où situer le curseur? Le jamais ne risque-t-il pas de l’emporter sur le toujours? Rien de tel qu’une bonne règle de trois pour s’y retrouver.
Incident de confidentialité, c’est quoi au juste?
Commençons par la règle no 1: tous les incidents de sécurité ne sont pas des incidents de confidentialité. Plus exactement, si tous les incidents de confidentialité entrent dans la grande catégorie des incidents de sécurité, il faut deux ingrédients additionnels pour parler d’un incident de confidentialité pouvant donc faire l’objet d’un signalement requis par la loi.
D’une part, l’incident doit impliquer des renseignements personnels, soit tout renseignement concernant une personne physique et permettant de l’identifier. Si l’incident vise d’autres types de renseignements, comme des secrets commerciaux ou des données sur un groupe de personnes (soit non individualisées), qui peuvent d’ailleurs être tout aussi confidentiels ou sensibles, ce sera sûrement un incident de sécurité, mais pas un incident de confidentialité au sens de la loi.
D’autre part, l’incident doit aller de pair avec une perte, une atteinte, ou encore un accès, une utilisation, une communication non autorisée de renseignements personnels. Ce constat, qui peut sonner comme l’évidence même, n’est pourtant pas si simple. Par exemple, une entreprise victime d’un rançongiciel prenant en otage sa base de données clients implique forcément qu’il y a eu une atteinte aux mesures de sécurité – c’est donc un incident de sécurité – sans pour autant que les renseignements personnels aient pu être exfiltrés par le pirate – ce n’est donc pas un incident de confidentialité sans plus d’éléments de preuve.
Risque de préjudice sérieux, qu’est-ce que ça change?
Poursuivons avec la règle no 2: tous les incidents de confidentialité ne présentent pas toujours un risque de préjudice sérieux. On comprend facilement qu’une perte de votre seul nom de famille sur un site de vente en ligne n’aura pas la même gravité qu’un accès non autorisé à tout votre dossier médical détenu par votre médecin ; le signalement ne sera pas requis dans le premier cas, mais requis dans le second en toute vraisemblance. Il doit donc toujours y avoir un processus d’évaluation du «risque de préjudice sérieux» pour déterminer si l’incident en cause doit être notifié à la Commission d’accès à l’information et aux individus concernés.
Vient maintenant la question qui nous brûle les lèvres: où peut-on trouver une définition précise ou des exemples exhaustifs de ce fameux « risque de préjudice sérieux » ? Pas de réponse facile, ce serait trop simple, plutôt des facteurs importants à considérer, soit : la sensibilité des renseignements en cause (par leur nature, par exemple des données biométriques, ou par le contexte d’utilisation, site pour enfants), les conséquences appréhendées de leur utilisation (potentiel de fraude ou de vol d’identité, notamment), ou encore la vraisemblance que l’information sera utilisée pour des fins malveillantes (accessible sur le Dark Web, à titre d’exemple). En pratique, ce processus d’évaluation implique de nombreux intervenants, y compris des experts informatiques et des avocats, et peut s’échelonner sur plusieurs semaines voire plusieurs mois.
Contenu du signalement, on fait ça comment?
Concluons avec la règle no 3: tous les avis relatifs aux incidents de confidentialité doivent contenir de l’information obligatoire. Lorsqu’il est admis qu’il y a bel et bien eu un incident de confidentialité visant un renseignement personnel et présentant un risque sérieux de préjudice, il est alors temps de le signaler avec diligence à la Commission d’accès à l’information et aux individus concernés. Il ne suffit alors pas de faire dans le couvert-couvercle, du genre: «Nous sommes victimes d’un incident de confidentialité. Tout va bien aller. Faites-nous confiance.» Ça n’amènerait pas grand-chose en matière de signalement.
Le gouvernement a donc récemment proposé un projet de règlement visant à mieux informer le citoyen quant aux circonstances entourant l’incident, mais aussi quant aux démarches qu’il lui est recommandé de faire, le cas échéant, afin de veiller à une protection accrue de ses renseignements personnels. Concrètement, l’avis écrit devrait notamment contenir les informations suivantes: une description des renseignements personnels visés par l’incident ou, si cette information n’est pas connue, la raison justifiant l’impossibilité de fournir une telle description ; une description des circonstances de l’incident ; les mesures que l’organisation a prises afin de diminuer les risques qu’un préjudice soit causé ; les mesures que la personne concernée peut prendre afin de diminuer/atténuer le risque qu’un préjudice lui soit causé ; ou encore les coordonnées de la personne à contacter au sein de l’organisation relativement à l’incident.
Informer plus, informer mieux: c’est donc là tout l’objectif du nouveau régime québécois de signalement des incidents de confidentialité. Qu’il nous suffise de citer les chiffres des sanctions pénales en cas de non-respect (25 000 000$ ou 4% du chiffre d’affaires mondial) pour convaincre les derniers réticents. À bon entendeur…