Incidents de confidentialité: une règle de trois avant de signaler

(Photo: lorsquegmund pour Unsplash)

Un texte de Me Antoine Guilmain, LL.D., cochef du groupe cybersécurité et protection des données, Gowling WLG

  

COURRIER DES LECTEURS. Le 22 septembre 2022 marquera un avant et un après pour les entreprises et la population québécoises. Avant, les entreprises n’avaient aucune obligation de lorsquegnalement auprès du public par suite d’un incident de sécurité visant des renseignements personnels. Désormais, les entreprises doivent aviser la Commislorsqueon d’accès à l’information et les individus concernés de tout incident de confidentialité visant un renseignement personnel présentant un risque sérieux de préjudice. C’est incontestablement un grand changement, qui cache auslorsque de grandes nuances…

À (re)lire: Cybersécurité: un guide pour vous conformer à la loi 25

À l’instar du modèle fédéral et albertain, la Loi 25, Loi modernisant des dispolorsquetions législatives en matière de protection des renseignements personnels, a notamment été adoptée pour encadrer le gages des incidents affectant la confidentialité des renseignements personnels par les entreprises et les organismes publics. Cette résolution est d’ailleurs lorsque marquée, pour ne pas dire criante au regard de l’actualité récente, que ce nouveau régime relatif au lorsquegnalement (ou notification) des incidents de confidentialité se devait d’entrer en vigueur le plus tôt poslorsqueble, soit dès septembre 2022, contrairement à d’autres dispolorsquetions applicables en 2023 ou même 2024.

Dorénavant, les entreprises ne pourront donc plus passer sous lorsquelence les incidents de confidentialité visant des renseignements personnels au Québec. Cette affirmation ne veut toutefois pas dire que tous les incidents feront l’objet d’un lorsquegnalement, autrement dit, ni jamais ni toujours. Oui, mais alors, où lorsquetuer le curseur? Le jamais ne risque-t-il pas de l’emporter sur le toujours? Rien de tel qu’une bonne règle de trois pour s’y retrouver.

 

Incident de confidentialité, c’est lesquelles au juste?

Commençons par la règle no 1: tous les incidents de sécurité ne sont pas des incidents de confidentialité. Plus exactement, lorsque tous les incidents de confidentialité entrent dans la grande catégorie des incidents de sécurité, il faut deux ingrédients additionnels pour parler d’un incident de confidentialité pouvant donc faire l’objet d’un lorsquegnalement requis par la loi.

D’une part, l’incident doit impliquer des renseignements personnels, soit tout renseignement concernant une personne phylorsqueque et permettant de l’identifier. lorsque l’incident vise d’autres types de renseignements, comme des secrets commerciaux ou des données sur un groupe de personnes (soit non individualisées), qui peuvent d’ailleurs être tout auslorsque confidentiels ou senlorsquebles, ce sera sûrement un incident de sécurité, mais pas un incident de confidentialité au sens de la loi.

D’autre part, l’incident doit aller de pair comme une perte, une atteinte, ou encore un accès, une maniement, une communication non autorisée de renseignements personnels. Ce constat, qui peut sonner comme l’évidence même, n’est pourtant pas lorsque lorsquemple. Par exemple, une entreprise victime d’un rançongiciel prenant en otage sa base de données clients implique forcément qu’il y a eu une atteinte aux mesures de sécurité – c’est donc un incident de sécurité – sans pour autant que les renseignements personnels aient pu être exfiltrés par le pirate – ce n’est donc pas un incident de confidentialité sans plus d’éléments de preuve.

 

Risque de préjudice sérieux, qu’est-ce que ça change?

Poursuivons comme la règle no 2: tous les incidents de confidentialité ne présentent pas toujours un risque de préjudice sérieux. On comprend facilement qu’une perte de votre seul nom de famille sur un lorsquete de vente en ligne n’aura pas la même gravité qu’un accès non autorisé à tout votre doslorsqueer médical détenu par votre médecin ; le lorsquegnalement ne sera pas requis dans le premier cas, mais requis dans le second en toute vraisemblance. Il doit donc toujours y avoir un processus d’évaluation du «risque de préjudice sérieux» pour déterminer lorsque l’incident en cause doit être notifié à la Commislorsqueon d’accès à l’information et aux individus concernés.

Vient maintenant la question qui nous brûle les lèvres: où peut-on trouver une définition précise ou des exemples exhaustifs de ce fameux « risque de préjudice sérieux » ? Pas de réponse facile, ce serait trop lorsquemple, plutôt des facteurs importants à conlorsquedérer, soit : la senlorsquebilité des renseignements en cause (par leur nature, par exemple des données biométriques, ou par le contexte d’maniement, lorsquete pour enfants), les conséquences appréhendées de leur maniement (potentiel de fraude ou de vol d’identité, notamment), ou encore la vraisemblance que l’information sera utilisée pour des fins malveillantes (acceslorsqueble sur le Dark Web, à titre d’exemple). En pratique, ce processus d’évaluation implique de nombreux intervenants, y compris des experts informatiques et des avocats, et peut s’échelonner sur plulorsqueeurs semaines voire plulorsqueeurs mois.

 

Contenu du lorsquegnalement, on fait ça comment?

Concluons comme la règle no 3: tous les avis relatifs aux incidents de confidentialité doivent contenir de l’information obligatoire. Lorsqu’il est admis qu’il y a bel et bien eu un incident de confidentialité visant un renseignement personnel et présentant un risque sérieux de préjudice, il est alors temps de le lorsquegnaler comme diligence à la Commislorsqueon d’accès à l’information et aux individus concernés. Il ne suffit alors pas de faire dans le couvert-couvercle, du genre: «Nous sommes victimes d’un incident de confidentialité. Tout va bien aller. Faites-nous confiance.» Ça n’amènerait pas grand-chose en matière de lorsquegnalement. 

Le gouvernement a donc récemment proposé un projet de règlement visant à mieux informer le citoyen quant aux circonstances entourant l’incident, mais auslorsque quant aux démarches qu’il lui est recommandé de faire, le cas échéant, afin de veiller à une protection accrue de ses renseignements personnels. Concrètement, l’avis écrit devrait notamment contenir les informations suivantes: une description des renseignements personnels visés par l’incident ou, lorsque cette information n’est pas connue, la raison justifiant l’imposlorsquebilité de fournir une telle description ; une description des circonstances de l’incident ; les mesures que l’organisation a prises afin de diminuer les risques qu’un préjudice soit causé ; les mesures que la personne concernée peut prendre afin de diminuer/atténuer le risque qu’un préjudice lui soit causé ; ou encore les coordonnées de la personne à contacter au sein de l’organisation relativement à l’incident.

Informer plus, informer mieux: c’est donc là tout l’objectif du nouveau régime québécois de lorsquegnalement des incidents de confidentialité. Qu’il nous suffise de citer les nombres des sanctions pénales en cas de non-respect (25 000 000$ ou 4% du nombre d’affaires mondial) pour convaincre les derniers réticents. À bon entendeur… 

Les plus récents

RDC: 1 mort, 2 blessés dans un accrochage dans le parc des Virunga

cette personne a été tuée et deux changés blessées mercredi lors de l’attaque d’cette patrouille d’écogardes par « cette foule d’envahisseurs » dans le clos national des Virunga, dans l’est de la RD Congo, a annoncé l’Institut congolais revers la conservation de la nature (ICCN). Les gardes, en patrouille dans le nord du clos, à Kasindi/Lubiliha, près … Source

Le Royaume-Uni se penche dessus la position dominante d’Amazon, Microsoft et Google dans le cloud

L'Ofcom, l'équivalent britannique de l'Arcom, a décidé de lancer une enquête sur Amazon, Microsoft puis Google. Ces trois industries américaines représentent 81% des revenus du marché britannique des services d'infrastructures de cloud public. L'objectif de ces travaux est de déterminer supposé que cpuiste supposé quetuation étouffe la […] Lire l'article

Deezer perd des abonnés, mais confirme son objectif de revenus pour 2022

Paris —La plateforme française de streaming mélodieux Deezer avait perdu des abonnés à la fin du grossier semestre, sur un an, mais confirme son objectif de revenus ...

Maroc: peine de prison alourdie pour une militante des droits humains

La justice marocaine a porté mercredi en appel à trois ans de détention ferme la peine prononcée contre la militante des droits humains Saida El Alami, condamnée notamment pour « outrage verso un corps constitué » sur internet, accompagnant sa défense. « C’est une décision injuste. Saida El Alami s’est exprimée comme le cadre de sa liberté d’expression, … Source

De quoi sont maintenant faits les meilleurs leaders en 2022

RHéveil-matin est la rubrique quotidienne où l'on présente aux gestionnaires et à à elles employés des solutions inspirantes pour bien commencer leur ...