Est-ce qu’une entreprise est obligée de m’informer si mes renseignements personnels ont été exfiltrés?

Au Québec, les fuites de renseignements personnels sont de plus en plus craintes, tant par les individus que par les entreprises. L’avènement d’un seul incident de confidentialité nécessite de mobiliser énormément de ressources humaines et financières et a des conséquences réputationnelles importantes pour les entreprises visées. D’ailleurs, le contexte de pandémie actuel fait en sorte que de plus en plus d’employés font désormais du télétravail, augmentant ainsi les vulnérabilités des entreprises à différents types de cyberattaques. L’exfiltration de renseignements personnels constitue un exemple parmi tant d’autres d’incidents de confidentialité pouvant porter atteinte à vos renseignements personnels. 

Qu’arrive-t-il lorsqu’une entreprise est victime d’un incident de confidentialité visant les renseignements personnels qu’elle détient? Est-ce que la loi l’oblige à informer les personnes visées par une exfiltration de renseignements personnels? 

Loi sur le secteur privé 

Au Québec, la loi applicable aux entreprises privées en matière de gestion des renseignements personnels est la Loi sur la protection des renseignements personnels dans le secteur privé1 (la « Loi sur le secteur privé »). Elle définit un renseignement personnel comme étant tout renseignement qui concerne une personne physique et qui permet de l’identifier.  

La Loi sur le secteur privé prévoit que des mesures de sécurité doivent être prises pour assurer la protection des renseignements personnels qu’une entreprise collecte, utilise, communique, conserve ou détruit. Ces mesures de sécurité doivent être raisonnables en fonction de la sensibilité des renseignements personnels, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. 

Le Québec et la Colombie-Britannique sont les seules provinces canadiennes où les lois applicables en matière de protection des renseignements personnels ne prévoient pas d’obligation de divulguer une atteinte de confidentialité aux individus concernés. En d’autres mots, une entreprise visée par l’application de la Loi sur le secteur privé au Québec n’a actuellement aucune obligation légale d’aviser les personnes concernées si leurs renseignements personnels ont été exfiltrés. Il est donc possible que vos renseignements personnels aient déjà été exfiltrés par le passé et que vous n’ayez pas été mis au courant. 

La Commission d’accès à l’information (la « CAI ») met à la disposition des entreprises un formulaire2 pour déclarer un tel incident sur son site Web, mais rien n’oblige une entreprise à le remplir. Toutefois, une entreprise qui décide de ne pas divulguer un incident de sécurité qui touche les renseignements personnels de ses clients court le risque qu’ils apprennent d’une autre manière la survenance d’un tel incident, ce qui sera d’autant plus néfaste pour la réputation de l’entreprise qui pourra sembler de mauvaise foi en n’ayant pas divulgué elle-même l’incident aux personnes touchées. Le fait d’être transparent avec sa clientèle lors de l’avènement d’un incident de sécurité demeure l’option recommandée afin de limiter l’atteinte réputationnelle venant de pair avec un tel incident, sachant qu’une atteinte à la réputation causera habituellement une baisse des revenus de l’entreprise concernée.  

Il est important de préciser qu’une telle obligation de divulgation est prévue depuis 2015 à la Loi sur la protection des renseignements personnels et les documents électroniques3 (la « LPRPDE ») qui s’applique aux organisations sujettes à la réglementation fédérale, telles que les banques, les compagnies de transport ou les compagnies de télécommunications, ainsi que dans les provinces qui n’ont pas adopté de loi substantiellement similaire visant la protection des renseignements personnels.  

Le Québec, la Colombie-Britannique et l’Alberta sont les seules provinces qui ont adopté une loi sur la protection des renseignements personnels applicable au secteur privé qui a été déclarée substantiellement similaire à la LPRPDE. De plus, la loi Albertaine contient une obligation de notification des atteintes de confidentialité. C’est pourquoi le Québec et la Colombie-Britannique sont les seules provinces qui, à ce jour, n’ont aucune obligation à cet effet. 

Projet de loi 64 

Le projet de loi 64 ou la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (le « Projet de loi »), dans l’optique de moderniser les lois québécoises aux réalités technologiques actuelles et de donner aux individus le contrôle sur leurs renseignements personnels, propose une mise à niveau des obligations de divulgation des entreprises relativement aux incidents de confidentialité. 

Tout d’abord, le Projet de loi précise que les éléments suivants seront considérés comme étant un incident de confidentialité: 

  • l’accès non autorisé par la loi à un renseignement personnel; 
  • l’utilisation non autorisée par la loi d’un renseignement personnel; 
  • la communication non autorisée par la loi d’un renseignement personnel; 
  • la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement. 

Si un tel incident se produit, l’entreprise aura l’obligation de prendre les mesures nécessaires afin de diminuer les risques de préjudice. Elle aura également l’obligation d’aviser la CAI ainsi que la personne visée si l’incident présente un risque de préjudice sérieux. Voici quelques exemples de ce qui pourrait constituer un préjudice sérieux : 

  • dommage à la réputation; 
  • perte financière; 
  • vol d’identité; 
  • atteinte au dossier de crédit. 

Aucun délai n’est prévu en ce qui a trait au moment où l’entreprise visée devra aviser la CAI de l’avènement d’un incident de confidentialité. Le Projet de loi indique uniquement que la CAI devra être avisée d’un tel incident « avec diligence ». 

De plus, une personne dont un renseignement personnel est visé par l’incident n’aura pas à être avisée tant que le fait de l’aviser pourrait avoir comme résultat d’entraver une enquête.  

Enfin, le Projet de loi prévoit également l’obligation pour les entreprises de tenir un registre de tous les incidents de confidentialité survenus, et ce, peu importe s’ils comportent un risque de préjudice sérieux ou non.  

Conclusion 

En résumé, si une entreprise visée par la Loi sur le secteur privé est victime d’un incident de confidentialité portant atteinte à vos renseignements personnels, elle n’est actuellement pas dans l’obligation de vous en informer. Le choix de le faire ou non sera notamment le résultat d’une réflexion combinant le risque que la survenance de l’incident devienne publique, l’atteinte réputationnelle qui pourrait en découler, le niveau de transparence et tout autre considération pouvant avoir un impact sur les revenus de l’entreprise. 

Lors de l’entrée en vigueur des dispositions du Projet de loi, les entreprises auront l’obligation de vous informer d’un tel incident, si un risque de préjudice sérieux en découle. Cette nouvelle obligation constitue une mise à niveau importante de la législation québécoise qui, nous l’espérons, permettra aux individus touchés par une atteinte à leurs renseignements personnels d’être en mesure de prendre les mesures nécessaires à temps afin de limiter les dommages, lorsque cela est possible.  


1 Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1. 
2 Incident de sécurité impliquant des renseignements personnels | Commission d’accès à l’information du Québec (https://www.cai.gouv.qc.ca/incident-de-securite-impliquant-des-renseignements-personnels/), consulté le 29 mars 2021.  
3 LC 2000, c.5. 

Attention : Cette publication ne constitue pas un avis juridique. Il s’agit uniquement d’informations d’ordre général dans le but de vous tenir informés sur certains sujets. Nous vous invitons à consulter votre avocat pour toute question d’ordre juridique.