Chronique du CTI – Nouvelles obligations en matière de protection des renseignements personnels : Comment de bonnes pratiques en cybersécurité peuvent faire la différence

Avec l’entrée en vigueur de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, le Québec devient la première province du Canada à améliorer son régime de protection des renseignements personnels afin de le mettre à niveau aux nouvelles réalités technologiques.

Cette loi, qui vient modifier et moderniser plusieurs lois, incluant la Loi sur la protection des renseignements personnels dans le secteur privé, entrera en vigueur de manière graduelle. Cela signifie que certaines nouvelles obligations entreront en vigueur d’un an à trois ans suivant sa sanction.

Pour les entreprises, cette réforme signifie beaucoup de travail en perspective pour une mise en conformité avec les nouvelles obligations qui leur seront applicables dans les prochains mois. Outre les impacts réputationnels considérables, négliger cette mise en conformité les expose à des sanctions importantes, pouvant atteindre un montant maximal de 25 000 000$ ou 4% de leur chiffre d’affaires mondial.

Comme les premières nouvelles obligations entreront en vigueur dès septembre 2022 et seront applicables à toutes les entreprises privées qui collectent des renseignements personnels, il devient essentiel de souligner de quelle manière les bonnes pratiques en cybersécurité peuvent aider considérablement dans la mise en conformité des entreprises aux nouvelles obligations en matière de protection des renseignements personnels et ainsi éviter de mauvaises surprises dans les prochains mois.

Incidents de confidentialité

Une des premières obligations qui entrera en vigueur le 22 septembre 2022 est l’obligation pour les entreprises de tenir un registre compilant tous les incidents de confidentialité qui surviendront. Pour ce faire, elles doivent d’abord être en mesure d’identifier ce qui constitue un incident de confidentialité, soit l’accès, l’utilisation, la communication non autorisée, la perte ou toute autre atteinte à la protection de renseignements personnels et de détecter lorsqu’il survient.

Pour détecter un incident de confidentialité, voici deux éléments importants à considérer :

  • La sensibilisation des employés à l’importance de déclarer tout accès non autorisé à des renseignements personnels et s’ils s’aperçoivent que des renseignements personnels ne se trouvent pas à l’endroit approprié;
  • La mise en place d’un système de détection et de réponse aux incidents qui détectera en temps réel les incidents de sécurité et de confidentialité.

La combinaison de ces éléments fera une différence considérable dans l’efficacité de détection des incidents subies par l’entreprise. Une fois un incident de confidentialité détecté, les entreprises devront ensuite être en mesure de déterminer si l’incident présente un risque de préjudice sérieux. Si tel est le cas, elles devront notifier la Commission d’accès à l’information ainsi que les personnes concernées de la survenance de l’incident.

D’ailleurs, le gouvernement du Québec vient tout juste de publier un projet de règlement sur les incidents de confidentialité1. On peut y retrouver des indications sur les éléments que devra contenir le registre des incidents de confidentialité des entreprises ainsi que sur le contenu des avis qui devront être produits à la Commission d’accès à l’information et aux personnes concernées lorsque l’incident présente un risque de préjudice sérieux.

Voici les informations que le registre devrait contenir : 

  • Une description des renseignements personnels visés par l’incident;
  • Une description des circonstances de l’incident;
  • La date ou la période où l’incident a eu lieu;
  • La date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident;
  • Le nombre de personnes concernées par l’incident;
  • Une description des éléments qui amènent l’organisation à conclure qu’il existe ou non un risque de préjudice sérieux, les utilisations malveillantes possibles des renseignements, les conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables;
  • Si l’incident présente un risque de préjudice sérieux, les dates de transmission des avis à la Commission d’accès à l’information et aux personnes concernées et une mention indiquant si des avis publics ont été donnés par l’organisation et la raison pour laquelle ils l’ont été, le cas échéant; et
  • Une description des mesures prises par l’organisation afin de diminuer les risques qu’un préjudice soit causé après la survenance de l’incident.

Les renseignements contenus au registre doivent être maintenus à jour et conservés pour une période minimale de 5 ans après la date à laquelle l’organisation a pris connaissance de l’incident. 

Mesures de sécurité

La mise en place de mesures de sécurité adéquates est essentielle afin de prévoir la survenance d’incidents et de les détecter le plus rapidement possible afin de limiter les préjudices pouvant en découler. D’ailleurs, la mise en place de mesures de sécurité qui respectent les meilleures pratiques pourra être prise en considération et potentiellement constituer un facteur atténuant pour une entreprise qui se retrouverait en situation de manquement à certaines de ses obligations légales.

Voici quelques questions essentielles que les entreprises devraient se poser :

  • Avons-nous un processus de gestion des incidents détaillé en place?
  • Est-ce que les responsabilités de notre personnel y sont bien identifiées ainsi que les processus d’escalade?
  • Sommes-nous en mesure de détecter si des renseignements personnels sont impliqués dans un incident et de les identifier?
  • Est-ce que notre processus de gestion des incidents est mis à jour fréquemment?
  • Est-ce que nos obligations de notifications y sont identifiées?

Les entreprises devraient être en mesure de répondre à toutes ces questions bien avant qu’un incident survienne. Si elles font affaire avec un ou plusieurs fournisseurs de services pour la gestion des incidents, il est fortement recommandé de leur poser ces questions. Ils devraient être en mesure d’y répondre facilement.

L’importance de s’y prendre à l’avance

Que ce soit en matière de conformité ou de cybersécurité, la préparation est la clé du succès. Il ne faut surtout pas attendre de subir un incident pour agir.

D’ailleurs, bien que les nouvelles obligations en matière de protection des renseignements personnels n’entrent pas toutes en vigueur cette année, il n’est jamais trop tôt pour mettre en place les bonnes pratiques en cybersécurité au sein d’une organisation. Celles-ci constitueront un atout majeur dans sa mise en conformité aux nouvelles exigences législatives en matière de protection des renseignements personnels.

Enfin, il est important de s’entourer des bons partenaires et des bons outils lorsqu’il est question de cybersécurité. Ils viendront en aide à l’entreprise pour identifier ses besoins et à minimiser ses vulnérabilités, tout en contribuant à sa paix d’esprit.


1 Gazette officielle du Québec, 29 juin 2022, 154e année, no26, Partie 2, pp. 3935-3938.


Cet article a originalement été publié sur le site du Jeune Barreau de Montréal.