Protection des renseignements personnels : nouvelles obligations pour les entreprises

Article publié le 13 septembre 2022 

La Loi sur la protection des renseignements personnels dans le secteur privé sera modifiée afin d’y inclure de nouvelles obligations pour les personnes exploitant une entreprise. Voici un résumé des principales obligations légales auxquelles votre entreprise fera face à partir du 22 septembre 2022. D’autres s’ajouteront en septembre 2023 et 2024.

Ces nouvelles obligations s’appliquent à tous les membres de la CMMTQ puisqu’ils exploitent une entreprise.

Pour obtenir des renseignements concernant les modifications qui s’appliqueront à partir du 22 septembre prochain et celles de 2023 et de 2024, veuillez consulter le site de la Commission d’accès à l’information :

Rappelons que le but de la Loi sur la protection des renseignements personnels dans le secteur privé est d’établir des règles à l’égard des renseignements personnels qu’une personne qui exploite une entreprise recueille, détient, utilise ou communique à des tiers. Votre entreprise doit notamment protéger les renseignements qu’elle détient et qui permettent d’identifier une personne physique. Ces renseignements sont confidentiels et, sauf exception, ils ne peuvent être communiqués sans le consentement de la personne concernée.

Responsable de la protection des renseignements personnels

Un responsable de la protection des renseignements personnels (RPRP) doit être désigné à compter du 22 septembre 2022. Il s’agit, par défaut, de la personne ayant la plus haute autorité au sein de l’entreprise (ex. : le président ou le PDG). Cependant, la personne ayant la plus haute autorité peut déléguer cette responsabilité par écrit à une autre personne. Cette dernière peut être interne ou externe à l’organisation.

Le RPRP doit assurer le respect et la mise en œuvre de la Loi. Son titre et ses coordonnées doivent être publiés sur le site Internet de l’entreprise. Si vous n’avez pas de site Internet, vous devez rendre ces renseignements accessibles par tout autre moyen approprié.

Réagir à un incident de confidentialité

Si vous avez des motifs de croire qu’un incident de confidentialité s’est produit, vous devez prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et pour éviter que des incidents surviennent de nouveau, par exemple :

  • faire cesser la pratique non autorisée;
  • récupérer ou exiger la destruction des renseignements personnels impliqués; et
  • corriger les lacunes informatiques.

Après évaluation de la situation, si l’entreprise conclut que l’incident risque de causer un préjudice sérieux :

  • Vous devez aviser la Commission d’accès à l’information par écrit de la survenance de cet événement.
  • Sauf certaines exceptions, vous devez aviser toutes les personnes dont les renseignements personnels sont concernés par l’incident.
  • Sous certaines conditions, il est aussi possible d’aviser toute personne ou tout organisme susceptible de diminuer le risque de préjudice.

Enfin, vous devez inscrire tout incident de confidentialité (présentant ou non un risque de préjudice sérieux) dans votre registre des incidents de confidentialité. Les renseignements contenus au registre doivent être tenus a? jour et conservés pendant au moins cinq ans après la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident.

En cas de cyberattaque, une cyberassurance ou assurance cyberrisque pourrait simplifier votre gestion de crise et vous permettre d’avoir accès à des services d’experts en sécurité informatique et en communication de crise ainsi que des conseils juridiques. Une telle assurance pourrait également couvrir les conséquences d’une atteinte aux systèmes de technologie de l’information ou aux données personnelles ou confidentielles de votre entreprise. Nous vous invitons à communiquer avec votre assureur ou votre courtier d’assurance à ce sujet.

Communication de renseignements personnels sans le consentement de la personne concernée

Comme vous êtes obligé de protéger les renseignements personnels que vous détenez, vous ne pouvez pas les communiquer à des tiers sans le consentement de la personne concernée. Toutefois, si vous respectez certaines exigences, vous pourrez le faire si la communication est faite à des fins d’étude, de recherche, de production de statistiques ou dans le cadre d’une transaction commerciale.

Caractéristiques et mesures biométriques

L’adoption de nouvelles technologies peut apporter des avantages et des économies pour une entreprise qui œuvre dans l’industrie de la construction, mais elle peut aussi être source d’obligations légales additionnelles. Certains entrepreneurs ont ou auront peut-être recours à la reconnaissance faciale et à la biométrie pour sécuriser des chantiers ou pour surveiller et contrôler la productivité de leur main-d’œuvre. D’autres utiliseront peut-être des technologies de reconnaissance des empreintes digitales pour limiter l’accès à des locaux ou pour permettre l’enregistrement des heures travaillées par leurs salariés.

Dans de tels cas, vous recueillez des renseignements biométriques qui vous permettent d’identifier une personne grâce à des caractéristiques uniques (ex. : corporelles, comportementales ou biologiques). Il apparaît évident que ces renseignements personnels sont délicats, puisqu’ils sont intimement liés à l’identité.

Ainsi, à compter du 22 septembre 2022, vous devrez divulguer la création de toute banque de caractéristiques ou de mesures biométriques à la Commission d’accès à l’information, au moins 60 jours avant sa mise en service. Vous devrez également aviser la Commission avant d’utiliser un procédé permettant de vérifier ou de confirmer l’identité d’une personne à partir de caractéristiques ou de mesures biométriques. Un tel procédé nécessite aussi le consentement explicite de la personne.

 

Foire aux questions

 

1. Mon entreprise est toute petite. Est-ce que ces obligations s’appliquent à moi ? 

Oui. Il n’y a pas de restrictions par rapport à la taille de l’entreprise et à la forme juridique. Si vous êtes seuls, vous êtes la personne qui doit assurer la protection des renseignements personnels et vous êtes le responsable de la protection des renseignements personnels.

2. Ces nouvelles obligations s’appliquent-elles à tous les entrepreneurs ? 

Oui. Elles s’appliquent à toutes les personnes physiques ou morales exploitant une entreprise, peu importe leur taille ou leur forme juridique (ex. : entreprise individuelle, sociétés par actions, société en nom collectif, etc.).

3. Qu’est-ce qu’un renseignement personnel ? 

La Loi définit un renseignement personnel comme étant tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier. Il est possible d’identifier une personne indirectement par inférence ou par croisement de différents jeux de données. Par exemple : nom, date d’anniversaire, numéro d’assurance sociale, adresse du domicile, adresse courriel personnelle, etc.

Les renseignements personnels sont confidentiels. Sauf exception, ils ne peuvent pas être communiqués sans le consentement de la personne concernée.

4. Qu’est-ce qu’un incident de confidentialité ? 

La Loi considère que les quatre types d’événements suivants constituent des incidents de confidentialité :

1. L’accès non autorisé à un renseignement personnel. Par exemple :
  • Un employé qui consulte des renseignements personnels non nécessaires à l’exercice de ses fonctions en outrepassant ses droits d’accès;
  • Un employé qui reçoit par courriel des renseignements personnels sur un dossier qui ne le concerne pas;
  • Un pirate informatique ou toute autre personne qui s’infiltre ou s’immisce dans votre système informatique (banque de données, boîtes de courriels ou espace de stockage infonuagique).
2. L’utilisation non autorisée d’un renseignement personnel. Par exemple, un employé qui usurpe l’identité d’une personne physique en utilisant des renseignements personnels auxquels il a accès dans le cadre de ses fonctions.

3. La communication non autorisée d’un renseignement personnel. Par exemple, par l’envoi d’un courriel contenant des renseignements personnels à un mauvais destinataire.

4. La perte d’un renseignement personnel ou une atteinte à la protection d’un tel renseignement. Par exemple :
  • La perte ou le vol de documents contenant des renseignements personnels;
  • La perte ou le vol d’une clé USB ou d’un ordinateur portable contenant des renseignements personnels.

Rappelons que tous ces incidents doivent être consignés au registre des incidents de confidentialité. Voir plus bas pour plus de détails sur le contenu du registre.

5. Comment déterminer si l’incident de confidentialité présente un risque de préjudice sérieux ? 

Plusieurs facteurs doivent être considérés pour évaluer s’il y a un risque de préjudice à une personne dont un renseignement personnel est concerné par un incident de confidentialité, notamment :

  • La sensibilité du renseignement concerné. Par exemple, un renseignement financier ou un renseignement d’identité;
  • Les conséquences appréhendées de son utilisation, notamment en matière d’atteinte à la vie privée;
  • La probabilité qu’il soit utilisé à des fins préjudiciables;
  • Les utilisations malveillantes possibles. Par exemple, en cas de vol d’identité, de fraude financière ou d’atteinte importante à la vie privée;

En outre, vous devrez consulter le RPRP.

6. Qu’est-ce qu’un préjudice sérieux ? 

Selon le gouvernement du Québec, un préjudice sérieux correspond à un acte ou à un événement susceptible de porter atteinte à la personne concernée ou à ses biens et de nuire à ses intérêts de manière non négligeable. Par exemple, il peut conduire à :

  • L’humiliation;
  • Une atteinte à la réputation;
  • Une perte financière;
  • Un vol d’identité;
  • Des conséquences négatives sur un dossier de crédit;
  • Une perte d’emploi.

7. Existe-t-il un modèle pour les avis à envoyer à la Commission d’accès à l’information et aux personnes concernées ? 

La Commission d’accès à l’information a mis à la disposition des entreprises un formulaire de déclaration d’un incident de confidentialité portant atteinte à des renseignements personnels sur son site Web.

8. Que doit-on inclure dans l’avis destiné à la Commission d’accès à l’information ? Est-ce qu’un contenu est obligatoire ? 

Cet avis doit inclure les renseignements suivants :

1. le nom de votre entreprise et, le cas échéant, le numéro d’entreprise du Québec (NEQ) attribué par le registraire des entreprises du Québec;

2. le nom et les coordonnées de la personne à contacter au sein de votre entreprise pour avoir plus d’information concernant l’incident de confidentialité;

3. une description des renseignements personnels visés par l’incident de confidentialité ou, si cette information est inconnue, la raison justifiant l’impossibilité de fournir une telle description;

4. une brève description des circonstances de l’incident et, si elle est connue, la cause de l’incident;

5. la date ou la période où l’incident a eu lieu ou, si cette information est inconnue, une approximation de cette période;

6. la date ou la période au cours de laquelle votre entreprise a pris connaissance de l’incident;

7. le nombre de personnes concernées par l’incident et, parmi celles-ci, le nombre de personnes qui résident au Québec, s’ils sont inconnus, une approximation de ces nombres;

8. une description des éléments qui amènent votre entreprise à conclure qu’il existe un risque qu’un préjudice sérieux soit causé aux personnes concernées;

9. les mesures que votre organisation a prises ou entend prendre afin d’aviser les personnes dont un renseignement personnel est concerné par l’incident;

10. les mesures (et les délais) que votre organisation a prises ou entend prendre à la suite de la survenance de l’incident pour :
  • diminuer les risques qu’un préjudice soit causé;
  • atténuer le préjudice;
  • éviter que de nouveaux incidents de même nature ne surviennent de nouveau.
11. Le cas échéant, une mention précisant qu’une personne ou un organisme situé à l’extérieur du Québec et exerçant des responsabilités semblables à celles de la Commission d’accès à l’information à l’égard de la surveillance de la protection des renseignements personnels a été avisé de l’incident.

9. Que doit-on inclure dans l’avis destiné aux personnes concernées par l’incident de confidentialité ? Est-ce qu’un contenu est obligatoire ? 

Cet avis doit inclure les renseignements suivants :

  1. une description des renseignements personnels visés par l’incident de confidentialité ou, si cette information est inconnue, la raison justifiant l’impossibilité de fournir une telle description;
  2. une brève description des circonstances de l’incident;
  3. la date ou la période où l’incident a eu lieu ou, si cette information est inconnue, une approximation de cette période;
  4. une brève description des mesures que votre organisation a prises ou entend prendre à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé;
  5. les mesures que votre organisation suggère à la personne concernée de prendre afin de diminuer le risque qu’un préjudice lui soit causé ou afin d’atténuer le préjudice;
  6. les coordonnées permettant à la personne concernée de se renseigner davantage relativement à l’incident.

10. Quels renseignements doit-on inscrire dans le registre des incidents de confidentialité ? 

Le registre des incidents de confidentialité doit inclure les renseignements suivants :

  1. Une description des renseignements personnels visés par l’incident de confidentialité ou, si cette information est inconnue, la raison justifiant l’impossibilité de fournir une telle description;
  2. Une brève description des circonstances de l’incident;
  3. La date ou la période où l’incident a eu lieu ou, si cette information est inconnue, une approximation de cette période;
  4. La date ou la période au cours de laquelle votre entreprise a pris connaissance de l’incident;
  5. Le nombre de personnes concernées par l’incident, s’il est inconnu, une approximation de ce nombre;
  6. Une description des éléments qui amènent votre entreprise à conclure qu’il existe un risque qu’un préjudice sérieux soit causé aux personnes concernées;
  7. Si l’incident présente un risque qu’un préjudice sérieux soit causé, les dates de transmission des avis à la Commission d’accès à l’information et aux personnes concernées, de même qu’une mention indiquant si des avis publics ont été donnés par l’organisation et la raison pour laquelle ces avis publics ont été donnés, le cas échéant;
  8. Une brève description des mesures prises par votre organisation à la suite de la survenance de l’incident, afin de diminuer les risques qu’un préjudice soit causé.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Septembre 2022

D L M M J V S
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30