Deux obligations distinctes à ne pas confondre
La Loi 25 crée deux obligations liées aux incidents de confidentialité, mais elles ne s'appliquent pas dans les mêmes circonstances. Les confondre est l'une des erreurs les plus fréquentes en matière de conformité.
La première obligation est de consigner : tout incident doit être enregistré dans un registre, sans exception.
La deuxième obligation est de notifier : la Commission d'accès à l'information (CAI) et les personnes concernées doivent être avisées, mais seulement lorsque l'incident présente un risque de préjudice sérieux.
Ces deux obligations s'appliquent indépendamment l'une de l'autre. Un incident sans risque de préjudice sérieux doit quand même être consigné.
Qu'est-ce qu'un incident de confidentialité?
La loi définit un incident de confidentialité comme tout accès, utilisation ou communication non autorisé d'un renseignement personnel, ainsi que toute perte d'un renseignement personnel ou toute autre atteinte à sa protection.
Concrètement, cela inclut :
- un courriel envoyé par erreur à la mauvaise personne
- un ordinateur portable perdu contenant des données non chiffrées
- une tentative d'hameçonnage réussie donnant accès à des données personnelles
- un accès à un dossier par un employé qui n'en avait pas l'autorisation
- des documents physiques détruits sans déchiquetage
Si vous doutez qu'un événement constitue un incident, le principe de précaution s'applique : consignez-le et évaluez ensuite.
Évaluer le risque de préjudice sérieux
Tous les incidents n'ont pas le même niveau de risque pour les personnes concernées. La loi ne requiert la notification que lorsqu'il existe un risque de préjudice sérieux. L'évaluation doit prendre en compte plusieurs facteurs :
La sensibilité des renseignements : des informations financières, médicales, biométriques ou liées à la vie privée présentent un risque plus élevé que des renseignements professionnels généraux.
L'étendue de la divulgation : combien de personnes ont potentiellement eu accès aux renseignements? S'agit-il d'un envoi par erreur à une seule personne ou d'une fuite vers un acteur malveillant?
Les circonstances de l'incident : un accès accidentel sans preuve d'utilisation des données diffère d'une intrusion ciblée visant à exploiter les données.
Les conséquences possibles : est-ce que les renseignements pourraient mener à de la fraude, du harcèlement, de la discrimination ou d'autres préjudices pour la personne?
Cette évaluation doit être documentée, même si la conclusion est qu'il n'existe pas de risque de préjudice sérieux. Le raisonnement compte autant que la décision.
L'obligation de notification dans les 72 heures
Lorsque l'évaluation conclut à un risque de préjudice sérieux, la CAI doit être avisée avec diligence. La loi précise un délai raisonnable dans les circonstances, et les lignes directrices de la CAI font référence à 72 heures comme seuil de référence.
La notification à la CAI doit inclure :
- la nature de l'incident
- les renseignements visés (catégories et nombre approximatif de personnes)
- les circonstances de l'incident
- les mesures prises ou envisagées pour remédier à la situation
Les personnes concernées doivent aussi être avisées, dans des délais qui permettent à celles-ci de prendre les mesures nécessaires pour se protéger.
Ce que doit contenir le registre
Même pour les incidents sans notification obligatoire, le registre doit contenir suffisamment d'information pour démontrer que l'organisation a géré l'incident de façon rigoureuse. Les éléments essentiels :
- la date de l'incident et la date à laquelle il a été découvert
- la nature de l'incident (accès non autorisé, perte, communication erronée, etc.)
- les renseignements visés et les catégories de personnes touchées
- les circonstances connues
- l'évaluation du risque de préjudice sérieux, avec la justification
- les mesures prises pour contenir l'incident et en prévenir la récurrence
- si applicable, les détails de la notification à la CAI et aux personnes concernées
Les erreurs fréquentes
Ne consigner que les incidents notifiables : c'est la confusion la plus courante. Le registre doit contenir tous les incidents, même ceux jugés sans risque de préjudice sérieux.
Ne pas documenter le raisonnement : inscrire seulement "aucun risque sérieux" sans expliquer pourquoi crée un problème en cas d'enquête. Le registre doit montrer que vous avez effectivement évalué la situation.
Sous-estimer l'étendue de l'incident : dans les premiers moments, les informations sont souvent incomplètes. Il vaut mieux consigner un incident et le réévaluer à mesure que vous en apprenez davantage, plutôt que d'attendre d'avoir toute l'information.
Traiter le registre comme une formalité : un registre bien tenu est un outil de gestion des risques. Il permet d'identifier des tendances (même type d'incident récurrent, même système concerné), d'améliorer les processus et de former le personnel en conséquence.
Un registre, pas une liste
La différence entre un registre utile et une liste vide tient à la qualité de la documentation. Chaque entrée doit raconter ce qui s'est passé, comment l'organisation a réagi et ce qui a été fait pour éviter que cela se reproduise.
Observantia intègre un module de gestion des incidents qui guide l'évaluation du risque, rappelle les délais de notification et génère les entrées de registre dans le format attendu par la CAI.
Ce contenu est fourni à titre informatif seulement et ne constitue pas un avis juridique. Pour des questions spécifiques à votre situation, consultez un conseiller juridique qualifié.