Exigences de contenu des avis et du registre requis selon les loi québécoises relatives aux renseignements personnels

Dans la foulée des modifications aux lois québécoises relatives à la protection des renseignements personnels, le Règlement sur les incidents de confidentialité a été adopté et est entré en vigueur le 29 décembre 2022.

Le Règlement détermine de façon précise :

·        Le contenu de l’avis et l’information qui doit être envoyé par une organisation à la Commission d’accès à l’information (la « CAI») en cas d’incident de confidentialité présentant un risque de préjudice sérieux;

·        Le contenu et le mode de transmission de l’avis à la ou aux personne(s) concernée(s) par les renseignements personnels visés par un incident de confidentialité présentant un risque de préjudice sérieux; Notez que l’organisme public ou privé peut procéder par avis public afin d’agir rapidement pour diminuer le risque qu’un préjudice sérieux soit causé ou afin d’atténuer un tel préjudice.  Si elle n’a pas les coordonnées de la ou des personnes concernées, elle doit procéder par avis public.

·        La teneur du registre des incidents que toute organisation doit tenir.

Les renseignements contenus au registre doivent être tenus à jour et conservés pendant une période minimale de 5 ans après la date ou la période au cours de laquelle l’organisation a pris connaissance de l’incident.

À retenir

Tous les incidents de confidentialité, qu’ils présentent ou non un risque de préjudice sérieux, doivent être enregistrés au registre avec les détails requis par le règlement sur les incidents ainsi que les éléments qui amènent l’organisation à conclure qu’il existe ou non un risque de préjudice sérieux et les mesures prises par l’organisation, à la suite de la survenance d'un incident, afin de diminuer les risques.

La CAI peut exiger une copie de ce registre en tout temps que ce soit dans le cadre de vérifications de routine ou en cas d’incident.

À partir du 22 septembre 2023, notez qu’en cas de défaut de fournir les avis prescrits, une organisation privée s’expose à des sanctions administratives allant jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial de l’exercice financier précédent, selon le montant le plus élevé et des sanctions pénales allant jusqu’à 25 000 000 $ ou 4 % du chiffre d’affaires mondial de l’exercice financier précédent, selon le montant le plus élevé.  Pour les organismes publics, il n’y a pas de sanctions administratives mais des sanctions pénales pouvant aller jusqu’à 30 000$.