Nouvelles syndicales et professionnelles

Loi 25 et renseignements personnels

en cas d’incident de confidentialité, qui doit-on aviser ?

Élyanthe Nord  |  2022-09-28

Lorsqu’un incident de confidentialité concernant des informations personnelles se produit dans une clinique, il est maintenant obligatoire d’aviser les personnes touchées, d’inscrire l’événement dans un registre et, dans certains cas, de prévenir la Commission d’accès à l’information.

Me Chassigneux

Depuis le 22 septembre, toutes les entreprises privées, dont les cliniques médicales, sont soumises à la loi 25 sur la protection des renseignements personnels. En cas d’incident de confidentialité (encadré), elles doivent avertir les personnes dont les informations personnelles sont concernées et inscrire l’événement dans un registre. S’il y a un risque de préjudice sérieux, elles doivent aussi aviser la Commission d’accès à l’information.

Par quoi commencer ? Quand un incident de confidentialité survient, la première étape est évidemment d’y mettre fin. « Il faut agir rapidement. On change au besoin les mots de passe et les codes d’accès. Si une clé USB a été perdue, on tente de la récupérer. S’il y a une faille informatique, on appelle son fournisseur de services », indique Me Cynthia Chassigneux, avocate spécialisée en protection des renseignements personnels et associée chez Langlois Avocats, à Montréal.

Tout au long du processus, il faut prendre des notes. Elles vont se révéler utiles dans les démarches ultérieures. « Sur le plan légal, il est important de consigner ce que l’on fait pour montrer que l’on a pris toutes les mesures raisonnables pour circonscrire l’incident », explique la juriste, titulaire d’un postdoctorat en droit.

Ensuite, il faut évaluer le risque de préjudice auquel l’incident de confidentialité expose les personnes touchées. « S’il est sérieux, on doit prévenir assez rapidement la Commission. La loi indique qu’il faut agir “avec diligence”. »

Commission de l’accès à l’information

Comment déterminer si un incident de confidentialité peut occasionner un “préjudice sérieux” ? La loi mentionne plusieurs critères. Pour commencer, il faut évaluer la sensibilité des données concernées. « Le dossier médical est défini, par la loi, comme un ensemble de renseignements sensibles. Les coordonnées des employés du cabinet médical peuvent l’être également. Le numéro d’assurance maladie ou d’assurance sociale constitue, en particulier, des renseignements sensibles », affirme Me Chassigneux, qui a travaillé six ans comme juge à la Commission d’accès à l’information. Ensuite, on doit envisager les conséquences possibles de l’utilisation des informations concernées et estimer la probabilité qu’elles soient employées à des fins préjudiciables. On peut effectuer cet exercice avec l’aide d’un avocat.

Si le risque de préjudice est élevé, la clinique doit signaler l’incident à la Commission d’accès à l’information. Pour ce faire, elle doit remplir le formulaire de déclaration en ligne. Le questionnaire demande des précisions notamment sur l’incident (type, causes, circonstances, etc.), les renseignements personnels en cause, les personnes touchées, le risque de préjudice sérieux que ces dernières pourraient subir, l’avis qui leur a été transmis pour les avertir de l’événement et les mesures prises pour diminuer la possibilité de conséquences néfastes.

Avis aux personnes concernées

Les personnes touchées par l’incident de confidentialité doivent être prévenues. Patients, employés, médecins, clients ou autres. L’avis qui leur sera transmis doit contenir :

1) une description des renseignements personnels visés ;

2) une brève description des circonstances ;

3) la date de l’incident ;

4) une courte description des mesures qui ont été prises, ou qui le seront, pour réduire les risques de préjudice ;

5) les mesures que la clinique suggère aux personnes touchées pour diminuer le risque de subir des torts ;

6) les coordonnées d’une personne ou d’un service auquel s’adresser pour obtenir plus d’informations sur l’incident.

Que faire si la clinique ne possède plus les coordonnées des personnes concernées, par exemple parce qu’elle n’a plus accès à ses données informatiques ? « On peut mettre un avis sur le site de la clinique ou l’indiquer sur le message de la boîte vocale », répond l’avocate.

Encadré

Registre des incidents

Les cliniques, comme toutes les entreprises privées, devront tenir un registre des incidents de confidentialité. « Il faudra y inscrire tous les incidents, peu importe le degré de risque de préjudice », mentionne Me Chassigneux. Ainsi, une brèche dans le système informatique doit y être consignée, même si le préjudice pour les personnes dont les renseignements ont été touchés n’est pas considéré comme sérieux.

Dans chaque cas, il faut mettre :

1) une description des informations personnelles en cause ;

2) une description des circonstances de l’incident ;

3) la date de l’événement ;

4) la date à laquelle la clinique a eu connaissance de l’incident ;

5) le nombre de personnes touchées ;

6) les éléments qui ont permis de conclure à un risque ou non de préjudice sérieux, tels que :

• la sensibilité des renseignements personnels concernés ;
• les utilisations malveillantes possibles de ces informations ;
• les conséquences appréhendées de leur utilisation ;
• la probabilité que ces renseignements servent à des fins préjudiciables ;

7) la date d’envoi de l’avis aux personnes concernées et, s’il y a un risque de préjudice grave, à la Commission de l’accès à l’information ;

8) une brève description des mesures prises pour diminuer les risques qu’un tort soit causé.

Attention : amendes importantes

Toutes ces exigences peuvent sembler fastidieuses, mais elles doivent être prises au sérieux. Passer outre peut coûter très cher. La loi 25 a augmenté considérablement le montant des amendes.

Par exemple, le fait de ne pas déclarer un incident de confidentialité à la Commission d’accès à l’information ou aux personnes concernées peut être passible d’une amende de 5000 $ à 100 000 $ pour une personne physique et de 15 000 $ à 25 M $ pour une clinique. Si les mesures de sécurité nécessaires pour assurer la protection des renseignements personnels n’ont pas été prises, les mêmes amendes peuvent être imposées.

L’administrateur, le dirigeant ou le représentant du cabinet n’échappe pas non plus aux sanctions. Si la clinique commet une infraction, il peut, en tant que responsable, recevoir la même peine.

Les pénalités financières ne s’arrêtent pas là. Des sanctions administratives pécuniaires peuvent aussi être imposées, et des dommages-intérêts punitifs d’au moins 1000 $ pourraient être accordés. Il faut donc apporter la plus grande attention aux incidents de confidentialité. //