Le 15 octobre dernier, Statistique Canada publiait les résultats d’un sondage sur la cybersécurité qui révèle que plus d’une entreprise canadienne sur cinq a déjà fait l’objet d’une cyberattaque, celles-ci ayant dépensé 14 milliards en 2017 pour prévenir et réagir aux conséquences de tels incidents de sécurité1. Règle générale, il n’existe aucune obligation légale pour les entreprises de rapporter une cyberattaque aux autorités gouvernementales, à moins que des renseignements personnels soient impliqués et qu’une loi applicable prévoit un régime de notification obligatoire. La Loi sur la protection des renseignements personnels dans le secteur privé2 (la « Loi québécoise ») et la Loi sur la protection des renseignements personnels et les documents électroniques3 (la « LPRPDE ») n’imposant aucun tel régime, les entreprises québécoises n’étaient pas assujetties à cette obligation.
Cependant, de récents développements législatifs pourraient avoir modifié ce constat pour certaines entreprises québécoises. En effet, l’année 2018 marque l’entrée en vigueur de deux régimes de notification obligatoire en Europe et au Canada susceptibles de trouver application, respectivement : depuis le 25 mai 2018, en vertu du Règlement général sur la protection des données4 (« RGPD ») et à compter du 1er novembre 2018, en vertu de la LPRPDE et son Règlement sur les atteintes aux mesures de sécurité5 (le « Règlement »).
Votre entreprise est-elle assujettie à l’un ou l’autre de ces nouveaux régimes de notification obligatoire? Le cas échéant, quelles sont les principales distinctions entre ces régimes? Voici ce que vous devez savoir en quatre points.
1. À qui le régime s’applique-t-il?
| RGPD Le RGPD s’applique au traitement de données à caractère personnel dans le cadre des activités d’un établissement, d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union européenne (« UE »). Dans la mesure où une entreprise québécoise a un établissement dans l’UE, le RGPD s’applique donc à ses activités de traitement. Le RGPD s’applique également au traitement de données à caractère personnel par des responsables de traitement ou des sous-traitants hors UE relativement : a) à l’offre de biens ou de services à des personnes concernées dans l’UE, qu’un paiement soit exigé ou non; ou b) au suivi du comportement de personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’UE. Ainsi, une entreprise québécoise n’ayant aucun établissement dans l’UE peut être assujettie au RGPD dans la mesure où le traitement effectué rencontre les critères pour son application extraterritoriale. | |
| LPRPDE / Règlement La LPRPDE s’applique : a) aux entreprises de compétence fédérale (telles les banques, les entreprises de télécommunication, les entreprises de transport, etc.) ainsi qu’à leurs employés; b) dans les provinces où il n’existe pas de loi d’application générale substantiellement similaire à la LPRPDE, sauf en ce qui concerne les employés6; c) aux transferts interprovinciaux ou internationaux de renseignements personnels. Puisque la Loi québécoise est substantiellement similaire à la LPRPDE, la LPRPDE ne s’appliquera au Québec qu’à l’égard d’une entreprise de compétence fédérale ou dans la mesure où l’entreprise effectue la collecte, utilise et/ou communique des renseignements personnels à l’extérieur de la province7. |
2. Quel est le standard donnant ouverture à l’obligation de déclarer?
| RGPD Le standard diffère selon qu’il s’agisse de l’autorité de contrôle ou des individus concernés. L’autorité de contrôle compétente doit être avisée si la violation est « susceptible d’engendrer un risque pour les droits et libertés des personnes physiques »8. Cependant, l’avis aux individus ne sera nécessaire qu’en présence d’un « risque élevé aux droits et libertés » de l’individu concerné9. Il est donc possible d’imaginer une situation où, malgré une violation rapportée à l’autorité compétente, que les individus concernés ne soient pas avisés. | |
| LPRPDE / Règlement Le standard prévu par la LPRPDE est identique pour la déclaration au Commissaire à la vie privée (le « Commissaire ») et à l’avis aux individus concernés (les « intéressés »), soit lorsqu’il est raisonnable de croire que la violation engendrera un « risque réel de préjudice grave » aux personnes intéressées10. Par ailleurs, cette notion de préjudice grave est interprétée largement, comprenant un large éventail de situations telles que « la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles »11. La LPRPDE prévoit également les facteurs permettant de déterminer si une violation engendrera véritablement un risque réel de préjudice grave, incluant le caractère sensible des renseignements et la probabilité que ceux-ci soient utilisés à mauvais escient12. |
3. Quel est le délai applicable pour procéder à la notification?
| RGPD L’autorité de contrôle compétente doit être informée « dans les meilleurs délais » et, si possible, 72 heures au plus tard après que le responsable de traitement ait pris connaissance de la violation13. Lorsque la notification n’a pas lieu dans les 72 heures, elle doit être accompagnée des motifs du retard. Les personnes concernées doivent être informées « dans les meilleurs délais », sans limite de temps. | |
| LPRPDE / Règlement Tant le Commissaire que les intéressés doivent être avisés « le plus tôt possible » après que l’organisation ait conclu à l’atteinte14. |
4. Quelles informations doivent être transmises?
| RGPD Le responsable du traitement doit, à tout le moins, préciser à l’autorité de contrôle la nature de la violation ainsi que les catégories et le nombre approximatif de personnes et de données concernées. Il doit également communiquer le nom et les coordonnées d’une personne auprès de laquelle des informations supplémentaires peuvent être obtenues. Enfin, il doit décrire les conséquences probables de l’incident ainsi que les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation ou en atténuer les effets15. Le responsable du traitement devra également communiquer ces informations à la personne concernée par la violation, n’ayant toutefois pas à décrire les catégories et le nombre approximatif de personnes et de données concernées16. | |
| LPRPDE / Règlement La notification au Commissaire par l’organisation doit notamment inclure la description de la cause et des circonstances de l’atteinte, la date ou la période où il y a eu atteinte, la nature des renseignements visés et le nombre d’individus visés par l’atteinte et le nom et les coordonnées d’une personne à qui s’adresser pour des questions à ce sujet. L’organisation doit également énoncer les mesures prises pour réduire le risque de préjudice ou atténuer le préjudice découlant de cette atteinte et les mesures prises ou qu’elle entend prendre pour aviser les intéressés17. L’avis à l’intéressé diffère quelque peu, l’organisation devant indiquer les circonstances de l’atteinte, la date ou la période où il y a eu atteinte, la nature des renseignements visés, les mesures prises pour réduire le risque de préjudice potentiel découlant de cette atteinte et les coordonnées pouvant permettre à l’intéressé de se renseigner davantage au sujet de l’atteinte. L’organisation doit également décrire les mesures que peut prendre l’intéressé pour réduire le risque ou atténuer le préjudice18. |
Conclusion
En cas d’atteinte à des renseignements personnels, les entreprises québécoises doivent être conscientes que certains régimes de notification pourraient trouver application, ayant comme corollaire l’obligation d’aviser les autorités ou les individus concernés. La Loi québécoise étant actuellement en cours de révision, il est à prévoir que le Québec se dotera d’ici quelques années d’un régime similaire. Dès lors, les entreprises québécoises qui ne sont assujetties à aucun régime à l’heure actuelle devraient être sensibilisées au fait que des obligations semblables pourraient leur être imposées sous peu.
1 Statistique Canada, Enquête canadienne sur la cybersécurité et le cybercrime (ECCC), 15 octobre 2018.
2 Chapitre P-39.1.
3 L.C. 2000, ch. 5.
4 Règlement (UE) 2016/679.
5 DORS/2018-64.
6 À l’heure actuelle, seulement l’Alberta, la Colombie-Britannique et le Québec ont adopté des lois d’application générale substantiellement similaires à la LPRPDE.
7 Décret d’exclusion visant des organisations de la province de Québec, DORS/2003-374, article 1.
8 RGDP, article 33(1).
9 RGDP, article 34(1).
10 LPRPDE, 10.1(1).
11 LPRPDE, 10.1(7).
12 LPRPDE, 10.1(8).
13 L’article 33(1) RGDP prévoit que la notification doit avoir lieu dans les meilleurs délais, et si possible 72 heures suivant la connaissance de l’atteinte.
14 LPRPDE, 10.1(2).
15 RGDP, 33 (3).
16 RGDP, 34 (2).
17 Règlement, article 2(1).
18 Règlement, article 2(3).
