Comprendre le régime législatif en matière d’incidents de confidentialité: Perspectives 2026 sur les incidents de confidentialité – Partie 3

Cet article fait partie de notre série Perspectives 2026 : Les incidents de confidentialité, conçue pour aider les entreprises à comprendre le cadre évolutif des incidents de confidentialité. Découvrez la série complète.

Dans le présent article, nous présentons un aperçu du cadre législatif et réglementaire régissant les incidents de confidentialité au Canada et soulignons certains développements de l’année écoulée. Dans le présent article, nous ne traitons pas des lois sur la protection de la vie privée dans le secteur public.

Signalement et notification des incidents de confidentialité en vertu des lois sur la protection de la vie privée d’application générale

Le cadre juridique de la protection de la vie privée dans le secteur privé au Canada est ancré à la fois dans des lois fédérales et provinciales qui régissent la collecte, l’utilisation, la divulgation et la protection des renseignements personnels. Au niveau fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») demeure la loi sur la protection de la vie privée régissant les organisations du secteur privé exerçant des activités commerciales, y compris celles exerçant leurs activités dans des secteurs réglementés par le gouvernement fédéral telles que les banques, les télécommunications et le transport interprovincial.

En vertu de la LPRPDE, la déclaration obligatoire d’une « atteinte aux mesures de sécurité » est requise s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un « risque réel de préjudice grave » (un « RRPG ») pour une personne physique. Un préjudice grave comprend une perte financière, le vol d’identité, un dommage à la réputation ou aux relations, la perte de possibilités d’emploi ou d’occasions d’affaires, l’humiliation ou d’autres incidences graves. Lorsque le seuil du RRPG est atteint, l’organisation doit signaler l’atteinte au Commissariat à la protection de la vie privée du Canada et informer les personnes concernées ainsi que toute autre organisation ou institution gouvernementale susceptible d’aider à réduire le risque de préjudice. Le Règlement sur les atteintes aux mesures de sécurité pris en vertu de la LPRPDE énonce les exigences particulières concernant le contenu de ces rapports et avis, et exige également que les organisations tiennent un registre de chaque atteinte, que le critère du RRPG soit ou non rempli, pendant les 24 mois qui suivent la survenance de l’atteinte.

Les lois adoptées par les gouvernements provinciaux de l’Alberta, de la Colombie-Britannique et du Québec ont été jugées « essentiellement similaires » à la LPRPDE et s’appliquent généralement à la place de la LPRPDE dans ces provinces, bien que la LPRPDE continue de s’appliquer aux organisations réglementées par le gouvernement fédéral et aux renseignements personnels qui traversent les frontières provinciales ou nationales.

La Personal Information Protection Act de l’Alberta (la « LPRP de l’Alberta ») reflète essentiellement le seuil de RRPG de la LPRPDE pour signaler « [traduction] tout incident impliquant la perte ou la divulgation de renseignements personnels, ou l’accès non autorisé à ceux-ci » au Commissaire à la protection de la vie privée de l’Alberta. Alors que la LPRPDE exige que les personnes concernées soient avisées dès que le seuil de RRPG est atteint, la LPRP de l’Alberta ne prescrit techniquement un tel avis que lorsqu’il est ordonné par le Commissaire de l’Alberta. En pratique, cependant, les organisations avisent généralement les personnes concernées simultanément en tant que mesure proactive de conformité pour démontrer que des mesures raisonnables ont été prises pour atténuer les préjudices éventuels. Le règlement intitulé Personal Information Protection Act Regulation pris en vertu de la LPRP de l’Alberta établit des exigences de contenu pour ces rapports et avis qui sont sensiblement similaires à celles prévues par la LPRPDE.

En vertu de la Personal Information Protection Act de la Colombie-Britannique (la « LPRP de la C.-B. »), les organisations du secteur privé ne sont pas actuellement assujetties à l’obligation de signaler les incidents de confidentialité au Commissaire à la protection de la vie privée de la Colombie-Britannique ni à l’obligation d’aviser les personnes concernées. Cependant, le Commissaire de la Colombie-Britannique encourage les organisations à signaler volontairement les incidents de confidentialité en utilisant le formulaire de signalement en ligne des incidents de confidentialité intitulé Online Privacy Breach Report Form et à informer les personnes concernées lorsque l’incident présente un risque de préjudice important, et ce, conformément à une gouvernance en matière de protection de la vie privée et à une intervention en cas d’incidents qui sont responsables.

Au Québec, la conformité à la législation en matière de protection de la vie privée dans le secteur privé est principalement régie par la Loi sur la protection des renseignements personnels dans le secteur privé (la « LPRP du Québec »), qui a été considérablement modernisée au cours des dernières années, avec des modifications clés entrées en vigueur entre 2022 et 2024. Depuis le 22 septembre 2022, le Québec a mis en place un régime obligatoire de déclaration des incidents de confidentialité selon lequel une organisation doit rapidement aviser la Commission d’accès à l’information et informer les personnes concernées de tout « incident de confidentialité » impliquant des renseignements personnels si l’incident présente un « risque qu’un préjudice sérieux » soit causé aux personnes concernées. Bien que la terminologie diffère de la norme RRPG de la LPRPDE, les deux seuils sont essentiellement comparables. Le Règlement sur les incidents de confidentialité en vertu de la LPRP du Québec prescrit les exigences de contenu pour les rapports à la Commission d’accès à l’information du Québec et les avis aux personnes concernées. Bien que la structure et la formulation diffèrent de celles du régime fédéral, les renseignements essentiels requis sont généralement conformes à la LPRPDE. Le règlement exige également que les organisations tiennent un registre de tous les incidents de confidentialité pendant une période de 5 ans, que le critère du « risque de préjudice sérieux » soit rempli ou non.

En plus de ces exigences opérationnelles, le cadre du Québec se distingue par un régime d’application de la loi considérablement renforcé. La Commission d’accès à l’information du Québec peut imposer des sanctions administratives pécuniaires importantes pour certaines infractions, notamment le défaut de signaler des incidents visés, d’aviser les personnes concernées ou de tenir le registre requis. Les sanctions administratives pécuniaires maximales peuvent atteindre 10 M$ CA ou 2 % du chiffre d’affaires mondial de l’exercice financier précédent, selon le plus élevé de ces deux montants, tandis que les amendes pénales pour des infractions plus graves peuvent atteindre 25 M$ CA ou 4 % du chiffre d’affaires mondial, selon le plus élevé de ces deux montants, créant ainsi une exposition importante au risque lié à la réglementation et au risque financier pour les organisations exerçant des activités au Québec.

Projet de loi C-8 : proposition d’un programme de cybersécurité obligatoire et obligations de signalement des incidents pour les secteurs essentiels sous juridiction fédérale

Le plus récent développement législatif susceptible d’avoir une incidence sur la question de l’intervention en cas d’incident de cybersécurité au Canada est l’introduction du projet de loi C-8, intitulé Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois. Si le projet de loi C-8 est adopté, il créerait un cadre fédéral qui élargirait considérablement les exigences minimales de conformité en matière de cybersécurité pour certaines organisations exerçant des activités dans des secteurs essentiels désignés sous réglementation fédérale.

En particulier, le projet de loi C-8 édicterait la Loi sur la protection des cybersystèmes essentiels (la « LPCE »), établissant un cadre de protection des « cybersystèmes essentiels » liés aux services et systèmes désignés comme d’« importance critique » pour la sécurité nationale ou la sécurité publique, y compris les systèmes bancaires, les services de télécommunications, les systèmes liés à l’énergie, les systèmes de transport, les systèmes d’énergie nucléaire, ainsi que les systèmes de compensations et de règlements. Les organisations figurant sur la liste des services et systèmes critiques, qui sont également classées comme « exploitants désignés », seront assujetties à une série de nouvelles obligations importantes, notamment l’exigence de mettre en œuvre des programmes de cybersécurité, d’atténuer les risques liés à la chaîne d’approvisionnement et aux tiers, de signaler les incidents de cybersécurité et de se conformer aux directives obligatoires en matière de cybersécurité émises par le gouvernement.

La LPCE exigerait qu’un exploitant désigné signale un incident de cybersécurité affectant ses cybersystèmes essentiels au Centre de la sécurité des télécommunications (« CST ») dans un délai fixé par règlement ne pouvant excéder 72 heures, puis qu’il en informe l’organisme réglementaire concerné et lui remette une copie du rapport immédiatement après le signalement à la CST. L’organisme de réglementation concerné dépendra du secteur dans lequel l’exploitant désigné exerce ses activités, et pourra inclure le ministre de l’Industrie, le ministre des Transports, le surintendant des institutions financières, la Banque du Canada, la Régie canadienne de l’énergie ou la Commission canadienne de sûreté nucléaire. Ce régime ne se limite pas aux incidents visant des renseignements personnels; il est axé sur la confidentialité, l’intégrité et la disponibilité des systèmes critiques, de sorte que sa portée est plus large que celle des cadres de signalement des incidents de confidentialité de la vie privée qui visent le préjudice causé aux personnes physiques.

Les sanctions administratives pécuniaires prévues à la LPCE peuvent être très élevées : les règlements peuvent prévoir des sanctions allant jusqu’à 15 000 000 $ CA pour les organisations et jusqu’à 500 000 $ CA pour les particuliers. Les violations continues peuvent s’accumuler car une violation commise ou qui s’étend sur plus d’un jour constitue une violation distincte pour chaque jour. Il est à noter que les administrateurs et les dirigeants peuvent être tenus personnellement responsables s’ils sont reconnus coupables d’avoir dirigé ou autorisé des violations ou infractions, ou d’y avoir participé. Cette responsabilité accrue souligne l’importance de l’engagement et de la supervision au niveau du conseil d’administration dans la gouvernance de la cybersécurité.

À la date de publication du présent article, le projet de loi C‑8 a été adopté en première lecture par le Sénat et il devrait être prochainement renvoyé à un comité pour étude. Vous pouvez suivre la progression du projet de loi ici.

Tout indique que le projet de loi C‑8 continuera de progresser rapidement dans le processus législatif. En conséquence, les organisations susceptibles d’être assujetties au régime proposé devraient évaluer de manière proactive leurs lacunes en matière de conformité et préparer des stratégies de conformité appropriées. Pour une discussion plus détaillée sur le projet de loi C-8 et des conseils pratiques, veuillez consulter notre article de blogue sur le sujet, Projet de loi C-8 : Ce que les exploitants de cybersystèmes essentiels doivent savoir pour renforcer leur cybersécurité.

Exigences de signalement des incidents de confidentialité propres à certains secteurs

En plus des obligations généralement applicables en matière de notification des atteintes aux mesures de sécurité en vertu de la LPRPDE et des lois provinciales sur la protection de la vie privée applicables au secteur privé qui sont essentiellement similaires, de nombreuses organisations exerçant leurs activités au Canada sont assujetties à des exigences de signalement des incidents de confidentialité propres à certains secteurs. Ces obligations découlent souvent de régimes législatifs ou réglementaires propres à un secteur particulier, y compris des directives émises par des organismes de réglementation sectoriels. Les organisations exerçant leurs activités dans certains secteurs réglementés peuvent donc être assujetties à des obligations de signalement des incidents renforcées, parallèles ou distinctes. Voici un aperçu non exhaustif de la manière dont certaines obligations de signalement d’incidents propres à un secteur particulier sont actuellement appliquées.

Secteur de la santé

Les organisations du secteur de la santé au Canada sont souvent assujetties à des obligations de signalement et de notification des incidents de confidentialité en vertu de lois provinciales propres au secteur de la santé, qui peuvent elles-mêmes coexister avec des lois sur la protection de la vie privée généralement applicables. À titre d’exemple, la Loi sur la protection des renseignements personnels sur la santé de l’Ontario, ainsi que des lois comparables dans d’autres provinces, exige que les dépositaires de renseignements sur la santé informent les personnes concernées des incidents de confidentialité en cas de vol, de perte ou d’utilisation ou divulgation non autorisée de renseignements personnels sur la santé, et qu’ils signalent les catégories prescrites de tels incidents de confidentialité au commissaire à l’information et à la protection de la vie privée concerné. Au Québec, les renseignements en matière de santé et de services sociaux sont régis par un cadre législatif dédié, la Loi sur les renseignements de santé et de services sociaux, entrée en vigueur en juillet 2024 et qui contient des exigences de notification et de signalement des incidents de confidentialité étroitement alignées sur celles établies en vertu de la LPRP du Québec. En conséquence, les organisations exerçant leurs activités dans le secteur des soins de santé ou fournissant des services aux établissements de santé et traitant des renseignements de santé en leur nom devraient évaluer attentivement si les lois sectorielles traitant de renseignements de santé imposent des obligations supplémentaires ou prévalentes en matière d’intervention en cas d’incidents de confidentialité, de notification et de signalement, outre celles découlant de la législation générale sur la protection de la vie privée.

Institutions financières sous réglementation fédérale

Le Bureau du surintendant des institutions financières (le « BSIF ») maintient depuis 2021 un avis intitulé Signalement des incidents liés à la technologie et à la cybersécurité, qui adopte une approche large en matière de signalement des incidents et impose des attentes strictes en matière de délais aux institutions financières fédérales (les « IFF »). En vertu de l’avis, les IFF doivent signaler les incidents liés à la technologie et à la cybersécurité à la Division du risque lié aux technologies du BSIF et à son chargé de surveillance au BSIF le plus rapidement possible, et au plus tard dans les 24 h suivant l’incident. L’avis définit un incident lié à la technologie ou de cybersécurité de manière large, soit comme tout incident « qui a ou pourrait avoir des conséquences sur les activités d’une IFF, y compris sur les plans de la confidentialité, de l’intégrité ou de la disponibilité de ses systèmes ou de ses renseignements ». Les IFF comprennent des entités telles que les banques, les succursales de banques étrangères, les sociétés d’assurance vie et de secours mutuels, les sociétés des assurances multirisques, ainsi que les sociétés de fiducie et de prêts.

Institutions financières du Québec

Le Règlement sur la gestion et le signalement des incidents de sécurité de l’information de certaines institutions financières et des agents d’évaluation du crédit du Québec est entré en vigueur en avril 2025. Le règlement établit un cadre formel régissant la manière dont certaines institutions financières sous réglementation provinciale, y compris les assureurs, les institutions de dépôts, les sociétés de fiducie, les coopératives de services financiers et les agents désignés d’évaluation du crédit, doivent gérer et signaler les « incidents de sécurité de l’information », définis de manière large comme toute atteinte à la disponibilité, à l’intégrité ou à la confidentialité des systèmes d’information ou aux données qu’ils contiennent. Cette définition est délibérément plus large que le concept d’« incident de confidentialité » selon la LPRP du Québec, car elle englobe des défaillances opérationnelles et des systèmes (comme les pannes de serveur) même lorsqu’aucun renseignement personnel n’est compromis.

En plus d’adopter et de maintenir une politique écrite de gestion des incidents de sécurité de l’information et un registre des incidents, les institutions assujetties sont assujetties à des obligations de signalement obligatoires. Une fois que la haute direction est informée d’un incident, celui-ci doit être signalé à l’Autorité des marchés financiers dans les 24 h. Le non-respect entraîne des sanctions administratives pécuniaires allant de 250 $ CA à 500 $ CA pour une personne physique et de 1 000 $ CA à 2 500 $ CA pour les institutions visées, selon la nature de l’infraction.

Fournisseurs de services de paiement

La Loi sur les activités associées aux paiements de détail (la « LAAPD »), entrée en vigueur par phases en 2024 et en 2025, est la première loi fédérale régissant expressément les activités associées aux paiements de détail au Canada. Administrée par la Banque du Canada, la LAAPD s’applique aux fournisseurs de services de paiement (les « FSP ») qui sont des entités autres que des banques, qui effectuent des fonctions de paiement telles que la détention de fonds d’utilisateurs finaux, l’initiation ou l’autorisation de transferts électroniques de fonds, la transmission de messages de paiement ou la prestation de services de compensation ou de règlement.

Entre autres exigences, la LAAPD impose aux FSP des obligations de signalement d’incidents dont les seuils sont fonction de l’incidence liée au risque opérationnel. La LAAPD définit un « incident » comme « un événement ou série d’événements liés qui sont non planifiés par le fournisseur de services de paiement et qui entravent, perturbent ou interrompent — ou qui pourraient vraisemblablement entraver, perturber ou interrompre — une activité associée aux paiements de détail exécutée par le fournisseur de services de paiement ». Cela couvre les incidents informatiques, les défaillances technologiques, les perturbations de service et les incidents touchant des tiers qui ont une incidence sur les fonctions de paiement, que des renseignements personnels aient été compromis ou non. Lorsqu’un incident à signaler survient, un FSP doit en informer la Banque du Canada ainsi que les personnes ou entités concernées « sans délai ».

Entités participant au système bancaire ouvert

La Loi sur les services bancaires axés sur les consommateurs (la « LSBAC ») a été adoptée le 26 mars 2026 dans le cadre du projet de loi C-15 (un projet de loi budgétaire omnibus de mise en œuvre du budget). La LSBAC établit le cadre législatif canadien pour les services bancaires axés sur les consommateurs (les « services bancaires ouverts »), permettant aux particuliers et aux entreprises d’ordonner aux entités participantes de partager en toute sécurité leurs données financières avec des tiers fournisseurs de services accrédités au sein d’un écosystème réglementé supervisé par la Banque du Canada. La LSBAC porte sur l’accréditation, les mesures de sécurité, le consentement, l’authentification, les plaintes et l’exécution, et est conçue pour créer un régime standardisé et sécurisé de partage des données entre les entités participantes. Selon ce cadre, la LSBAC introduit un régime centralisé de déclaration des incidents de confidentialité. Les entités participantes doivent signaler à la Banque du Canada toute atteinte aux mesures de sécurité qu’elles mettent en œuvre relativement aux données des consommateurs sous leur contrôle, immédiatement après que l’entité participante a conclu qu’il y a eu atteinte. L’avis au consommateur est requis uniquement lorsqu’il est raisonnable de croire que l’incident crée un RRPG, correspondant essentiellement au seuil établi par la LPRPDE. Bien que la LSBAC ait été adoptée, la majorité de ses dispositions opérationnelles – y compris les exigences relatives à la notification des atteintes – n’entreront en vigueur qu’à une date ultérieure fixée par décret du gouverneur en conseil.

Sociétés cotées en bourse

Les sociétés cotées en bourse sont assujetties à des obligations d’information continue en vertu des lois canadiennes sur les valeurs mobilières, qui peuvent exiger la déclaration publique en temps opportun des incidents de cybersécurité, y compris les incidents de confidentialité, lorsque ces incidents atteignent les seuils d’importance relative applicables. Les Autorités canadiennes en valeurs mobilières (les « ACVM ») ont publié des directives (en anglais) confirmant qu’un incident de cybersécurité doit être déclaré s’il constitue un « changement important » (material change) ou fait partie des renseignements importants sur les risques nécessitant une déclaration en vertu des règles d’information continue. Dans ce contexte, l’importance relative est évaluée en fonction de la probabilité raisonnable que l’incident ait une incidence importante sur le prix ou la valeur des titres de l’émetteur. Il n’existe pas de critère clair et précis; les émetteurs doivent évaluer l’importance relative au cas par cas, en tenant compte de la nature et de l’ampleur de l’incident, de la perturbation qu’il a sur l’exploitation, de son incidence financière, de l’exposition réglementaire, du risque de litige, du préjudice à la réputation et du profil global de risque de l’émetteur.

Lorsqu’un incident de cybersécurité constitue un changement important, l’émetteur est tenu de le rendre public en temps utile, conformément aux lois canadiennes sur les valeurs mobilières applicables. Même si une atteinte n’atteint pas le niveau d’un changement important, les émetteurs doivent veiller à ce que leur information continue, y compris l’information sur les facteurs de risque et leurs rapports de gestion (management discussion and analysis ou MD&A), reflète de manière appropriée les risques et développements importants en matière de cybersécurité liés aux activités de l’émetteur. Le respect de ces obligations d’information est supervisé et appliqué par les autorités provinciales de réglementation des valeurs mobilières (telles que la Commission des valeurs mobilières de l’Ontario et l’Autorité des marchés financiers au Québec), qui peuvent examiner les documents déposés, demander de l’information complémentaire, exiger des documents correctifs ou initier des procédures d’exécution en cas d’information insuffisante ou trompeuse.

Cet article fait partie de notre série Perspectives 2026 : Les incidents de confidentialité, conçue pour aider les entreprises à comprendre le cadre évolutif des incidents de confidentialité. À mesure que les menaces gagnent en complexité et que la surveillance des autorités de réglementation s’intensifie, les entreprises sont confrontées à des risques juridiques, financiers et opérationnels de plus en plus importants. Afin de vous aider à anticiper ces défis, chaque article de cette série fournit de l’information concrète pour vous aider à vous préparer aux incidents de confidentialité, aux obligations de conformité réglementaire et à atténuer les risques. Découvrez la série complète ici.

Ce que nous entendons par « incident de confidentialité ».

Lorsque les gens entendent parler d’un « incident de confidentialité », ils pensent souvent uniquement aux incidents visant des renseignements personnels. Dans cette série, nous utilisons le terme de manière plus large. Nous examinons tout incident de sécurité dans le cadre duquel des données sensibles ou confidentielles sont consultées, exfiltrées, publiées, modifiées, effacées ou rendues indisponibles sans autorisation – que ces données appartiennent à des individus ou à l’entreprise elle-même. Cela inclut tout, de la propriété intellectuelle et des dossiers financiers aux systèmes d’exploitation mis hors ligne par un rançongiciel.

Pour en savoir plus sur la manière dont notre groupe Cyber/Données peut vous aider à vous orienter dans le paysage de la cybersécurité et des données, veuillez contacter les coleaders nationaux Charles Morgan et Daniel Glover.