S'orienter dans un cadre législatif sur les incidents de confidentialité en constante évolution : Perspectives 2025 Les incidents de confidentialité – Partie 3

Cet article fait partie de notre série Perspectives 2025 : Les incidents de confidentialité, conçue pour aider les entreprises à naviguer le cadre en évolution des incidents de confidentialité. À mesure que les menaces liées aux atteintes à la vie privée deviennent plus sophistiquées et que la surveillance réglementaire s'intensifie, les entreprises sont confrontées à des risques juridiques, financiers et opérationnels de plus en plus importants. Afin d’anticiper ces défis, chaque article dans cette série fournit des informations concrètes pour se préparer aux incidents de confidentialité, aux obligations de conformité règlementaire et pour atténuer les risques. Découvrez la série complète ici.
Au cours des dernières années, les gouvernements fédéral et provinciaux du Canada ont adopté de nouvelles lois et réglementations visant à protéger les renseignements personnels. Ces initiatives ont notamment renforcé l'obligation des entreprises d'informer les individus affectés par des incidents de confidentialité, de signaler de tels incidents aux commissaires à la protection de la vie privée appropriés et d’atténuer le risque de préjudice en résultant. Le présent article met en lumière certains développements législatifs et réglementaires clés de la dernière année au niveau de la protection de la vie privée, en mettant l’accent sur ceux ayant une incidence sur les pratiques de gestion des incidents dans le secteur privé.
Il convient de souligner que ces développements récents s'ajoutent aux obligations existantes en matière de gestion des incidents applicables aux organisations du secteur privé, y compris celles en vertu de la loi fédérale intitulée Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), de la Personal Information Protection Act de l'Alberta (la « PIPA de l’Alberta») et de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, également connue sous le nom de Loi 25 du Québec.
Développements législatifs fédéraux
(a) La prorogation du Parlement met fin au projet de loi C-27
À la suite de la prorogation du Parlement canadien en janvier 2025, le projet de loi C-27, la Loi de 2022 sur la mise en œuvre de la Charte du numérique, représentant la deuxième tentative du Parlement de moderniser la loi fédérale canadienne, est mort au feuilleton. S’il avait été adopté, ce dernier aurait introduit la Loi sur la protection de la vie privée des consommateurs (la « LPVPC »), qui cherchait notamment à renforcer les règles existantes en matière de notification et de signalement des « atteintes aux mesures de sécurité » établies dans la LPRPDE (la loi fédérale actuelle du Canada sur la vie privée) en :
- introduisant une obligation pour les prestataires de services qui prennent connaissance d’ atteintes aux mesures de sécurité de notifier les organisations qui contrôlent les renseignements personnels;
- octroyant à un nouveau tribunal le pouvoir d'imposer des sanctions administratives pécuniaires (des « SAPs ») pour non-conformité pouvant atteindre le montant le plus élevé entre 10 000 000 $ et 3 % du revenu global brut d'une organisation;
- augmentant des amendes pénales maximales (réservées aux infractions intentionnelles) au montant le plus élevé entre 25 000 000 $ et 5 % du revenu global brut d'une organisation – un pas significatif par rapport au maximum actuel de 100 000 $ sous la LPRPDE; et
- introduisant un droit d'action privé pour les individus affectés par une infraction à la LPVPC sous certaines conditions, y compris une décision rendue par le commissaire fédéral à la protection de la vie privée. En raison de la prorogation et des élections fédérales imminentes, la probabilité que le projet de loi C-27 soit rétabli ou réintroduit à l'avenir demeure actuellement très incertaine.[1]
(b) Une nouvelle stratégie nationale de cybersécurité
En février 2025, le gouvernement fédéral a publié un nouveau document de politique intitulé « Stratégie nationale de cybersécurité », qui met l’accent sur une « approche pansociétale en matière de cybersécurité » et à améliorer les partenariats à tous les niveaux gouvernementaux, du secteur privé et des forces de l’ordre. Dans cette stratégie, le gouvernement fédéral a déclaré son intention de se pencher sur « des lois, des règlements et des mesures incitatives pour favoriser l'adoption de technologies et de pratiques sûres ». Il y indique également vouloir renforcer la réglementation sur la protection des renseignements personnels dans le secteur privé. Parmi les pistes envisagées, le gouvernement considère des méthodes pour inciter les organisations à mieux protéger la vie privée des consommateurs, telles que l’attribution d'un statut de contractant privilégié aux entreprises jugées fiables et l'établissement d'un système d'étiquetage permettant aux consommateurs d'identifier et de comparer les protections de cybersécurité d'un produit.[2]
Développements législatifs et réglementaires au Québec
(a) Le Québec adopte la Loi 5 pour renforcer la protection de la vie privée dans le secteur de la santé
En juillet 2024, la Loi sur les renseignements de santé et de services sociaux (la « Loi 5 ») est entrée en vigueur au Québec. Celle-ci a introduit un nouveau cadre en matière de confidentialité pour les « organismes du secteur de la santé et des services sociaux » (les « OSSS ») qui traitent des « renseignements de santé et de services sociaux » (les « RSSS »).[3] La définition d'OSSS englobe un large éventail d'organisations publiques et privées, y compris les établissements de santé et de services sociaux (par exemple, les centres hospitaliers et les CLSC), les installations de santé privées, les centres médicaux spécialisés, les laboratoires médicaux, les exploitants de services d'ambulance, les résidences privées pour aînés, etc.[4] La définition d'OSSS inclut également les prestataires de services tiers, mais uniquement dans la mesure où ils fournissent des services de santé ou de services sociaux au nom d'un OSSS.
La Loi 5 adopte des exigences de notification et de rapport en cas d’incident qui s'alignent étroitement avec celles établies par la Loi 25 ayant remanié la Loi sur la protection des renseignements personnels dans le secteur privé.
À l’instar de la Loi 25, la Loi 5 oblige les OSSS à prendre des mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et pour éviter que de nouveaux incidents de même nature ne se produisent s'il y a des motifs de croire qu'un incident de confidentialité s'est produit.[5] Cependant, la Loi 5 va plus loin en imposant ces obligations même lorsqu'il y a simplement un « risque qu'un tel incident se produise ». Cet ajout suggère une obligation accrue sous la Loi 5 dans l’objectif de proactivement prévenir les incidents potentiels relatifs aux RSSS. Il est également possible d’en conclure que les obligations de notifier et de rapporter les incidents de confidentialité (présentées au paragraphe suivant) pourraient être déclenchées par des incidents futurs non confirmés. Des lignes directrices supplémentaires du commissaire à la vie privée du Québec, soit la Commission d'accès à l'information du Québec (la « CAI »), permettraient de clarifier les répercussions pratiques de ce libellé.
Conformément à la Loi 25, la Loi 5 exige que les OSSS informent les individus affectés par des incidents de confidentialité qui présentent un risque de « préjudice sérieux » et qu'ils les signalent à la CAI.[6] Toutefois, la Loi 5 impose une exigence supplémentaire de rapporter de tels incidents au ministre de la Santé et des Services sociaux. Tout comme la Loi 25, elle oblige les OSSS à tenir un registre des incidents de confidentialité pour une durée minimale de cinq ans après qu'un incident se soit produit. Le contenu requis pour les notifications, les rapports et les registres sous la Loi 5 est presque identique à celui prévu par la Loi 25.[7]
Par ailleurs, la Loi 5 prévoit des amendes pénales maximales de 30 000 $ pour les manquements à l'obligation de signaler les incidents au ministre de la Santé et des Services sociaux ou à la CAI.[8] Contrairement à la Loi 25, elle ne prévoit toutefois pas d'amendes pénales pour des manquements à l'obligation d'informer les individus affectés. De plus, le plafond des amendes semble nettement inférieur à celui établi sous la Loi 25, cette dernière ayant introduit des amendes pénales maximales de 25 000 000 $ ou de 4 % du chiffre d'affaires mondial de l'organisation pour l'exercice financier précédent.[9] Cela dit, la Loi 5 contient une disposition particulière selon laquelle une infraction continue sur plusieurs jours constitue une infraction distincte pour chaque jour où elle survient.[10] Conséquemment, des amendes distinctes pourraient être imposées (chacune soumise à un plafond séparé) pour chaque jour où le manquement à l'obligation de rapporter un incident persiste.
Enfin, la Loi 5 ne contient aucune disposition relative aux mesures administratives pécuniaires (les « MAPs »), contrairement à la Loi 25, qui donnait le pouvoir à la CAI d'imposer des MAPs jusqu'à concurrence du plus élevé entre 10 millions de dollars ou 2 % du chiffre d'affaires mondial de l'organisation pour l'exercice financier précédent.[11]
(b) Le Québec instaure de nouvelles obligations de déclaration pour les institutions financières et les agents d'évaluation du crédit en matière d'incidents de sécurité de l'information.
En octobre 2024, le gouvernement du Québec a introduit le Règlement sur la gestion et le signalement des incidents de sécurité de l’information de certaines institutions financières et des agents d’évaluation du crédit, dont les dispositions sont entrées en vigueur le 23 avril 2025. Ce règlement cible particulièrement les agents d'évaluation du crédit ainsi que certaines institutions financières au Québec, en particulier les assureurs, certaines fédérations et caisses de crédit, les institutions de dépôt et les sociétés de fiducie.[12] Le règlement crée un certain nombre de nouvelles obligations pour ces entités en cas d'« incident de sécurité de l'information », défini comme « une atteinte à la disponibilité, à l'intégrité ou à la confidentialité des systèmes d'information ou aux informations qu'ils contiennent ».[13] Cette définition est plus large que celle d'« incident de confidentialité » sous la Loi 25, puisque les renseignements personnels ne doivent pas nécessairement être ciblés pour qu'une attaque constitue un « incident de sécurité de l'information ».
Les entités soumises au règlement doivent élaborer une politique de gestion des incidents de sécurité de l'information qui établit (i) des procédures et des mécanismes de détection, d'évaluation et de réponse aux incidents de sécurité de l'information; (ii) une procédure de signalement des incidents de sécurité de l'information aux dirigeants et aux gestionnaires; et (iii) une procédure de signalement des incidents de sécurité de l'information à toute autre partie prenante, notamment aux clients, aux consommateurs, aux tiers auxquels l'entité a confié l'exécution d'une partie d'une activité, à l'Autorité des marchés financiers (l’« AMF ») de même qu’aux autres organismes de réglementation.[14] Il est également exigé d'assigner par écrit à un dirigeant ou gestionnaire la responsabilité de surveiller la gestion et le signalement des incidents de sécurité de l'information.[15]
Par ailleurs, le règlement exige que les institutions financières et les agents d'évaluation du crédit déclarent à l'AMF les incidents de sécurité de l'information ayant un risque d’occasionner des répercussions négatives dans les 24 heures suivant la prise de connaissance de l'incident par ses dirigeants.[16] Dans le même délai, l'AMF doit également être informée de tout incident de sécurité de l'information qui a été rapporté à un organisme de réglementation, aux forces de l'ordre ou à une partie contractuellement responsable d'offrir une compensation pour les dommages ayant été causés par l'incident (par exemple, les assureurs contre les risques cyber).[17] En outre, l'AMF doit être notifiée simultanément chaque fois qu'un incident de confidentialité est rapporté à la CAI, conformément à la Loi 25.[18] Des mises à jour continues concernant l'évolution de la situation doivent ensuite être fournies à l'AMF tous les trois jours, jusqu'à ce que l'institution financière ou l'agent d'évaluation du crédit confirme que l'incident est maîtrisé et que les opérations sont revenues à la normale.[19] Suite à une telle confirmation, un rapport final contenant les informations prescrites doit être fourni à l'AMF dans les 30 jours qui suivent.[20]
Enfin, les institutions financières et les agents d'évaluation du crédit doivent tenir un registre des incidents contenant des champs d'information spécifiques pendant une période de cinq ans.[21]
Les MAPs pour non-conformité avec le règlement varient de 1 000 $ à 2 500 $, selon la nature de la contravention.
Évolutions législatives en Alberta
(a) Efforts législatifs continus pour mettre à jour la loi sur la protection des renseignements personnels de l'Alberta (Personal Information Protection Act (PIPA))
En janvier 2024, le Comité permanent de la gestion des ressources, mis en place par l'Assemblée législative de l'Alberta (l’« Assemblée ») (le « Comité »), a entamé un examen approfondi de la loi sur la protection des renseignements personnels dans le secteur privé de l'Alberta, en vigueur depuis plus de vingt ans. Le Comité a publié son rapport final en février 2025, avec des recommandations formelles pour moderniser diverses dispositions de la PIPA de l'Alberta.[22] La prochaine étape consistera pour l'Assemblée à considérer ces recommandations et à décider si elle procédera à des modifications législatives.
Parmi ses recommandations, le Comité propose de modifier la PIPA de l'Alberta afin d’y inclure la notion de « préjudice grave ». Il propose également d’ajouter des facteurs permettant de déterminer si un « risque réel de préjudice grave » existe – seuil qui déclenche l'obligation des organisations de notifier les individus de la perte, de l'accès non autorisé ou de la divulgation de leurs renseignements personnels et de rapporter ces événements au commissaire à la vie privée de l'Alberta.[23] Bien que le Comité n'ait pas proposé de définition spécifique ni de facteurs pour évaluer le risque, il invite la législature à harmoniser la PIPA de l'Alberta avec d'autres lois canadiennes portant sur la protection des renseignements personnels. Si l'Assemblée décide de modifier la PIPA de l'Alberta, il est donc concevable que la définition du préjudice important ainsi que les facteurs d’analyse du risque s’inspirent de dispositions analogues prévues par la LPRPDE, la LPVPC (dans la mesure où elle est rétablie ou réintroduite et progresse) ou la Loi 25.
Le Comité a également recommandé de modifier la PIPA de l'Alberta afin d’accorder au commissaire à la vie privée de l'Alberta le pouvoir d’imposer des MAPs, compétence qu'il ne possède pas actuellement. Selon le Comité, les MAPs constituent un moyen de dissuasion des incidents encore plus efficace que les sanctions imposées par les tribunaux, mais n'a pas donné d'avis supplémentaire sur le montant approprié pour de telles mesures.[24] Par ailleurs, le Comité suggère d'augmenter les amendes pénales pouvant être imposées par les tribunaux pour les infractions à la PIPA de l'Alberta (y compris pour les manquements aux obligations de notification ou de déclaration d’incidents). À cet effet, l’objectif est de s'assurer que les sanctions soient équivalentes ou supérieures à celles d'autres lois canadiennes sur la protection des renseignements personnels, citant expressément la Loi 25 du Québec comme exemple.[25]
Pour en savoir plus sur la manière dont notre groupe Cyber/Data peut vous aider à naviguer dans le paysage de la cybersécurité et des données, veuillez contacter les co-chefs nationaux Charles Morgan et Daniel Glover.
[1] LPVPC, art. 61, 95(4), 107(1), et 128(a) ; LPRPDE, art. 28(b). LPVPC, art. 2(1) définit une « atteinte aux mesures de sécurité » comme étant « la perte, l'accès non autorisé ou la divulgation non autorisée de renseignements personnels résultant d'un incident des mesures de sécurité d'une organisation mentionnées à l'article 57 ou d'un manquement à l'établissement de ces mesures », préservant la même définition que celle trouvée sous LPRPDE, art. 2(1).
[2] Voir la Stratégie nationale de cybersécurité du Canada, disponible à l'adresse : https://www.securitepublique.gc.ca/cnt/rsrcs/pblctns/ntnl-cbr-scrt-strtg-2025/index-fr.aspx
[3] La Loi 5, art. 2 définit les Renseignements de santé et de services sociaux (RSSS) comme étant « tout renseignement qui permet, même indirectement, d’identifier une personne et qui répond à l’une des caractéristiques suivantes : (1) il concerne l’état de santé physique ou mentale de cette personne et ses facteurs déterminants, y compris les antécédents médicaux ou familiaux de la personne; (2) il concerne tout matériel prélevé sur cette personne dans le cadre d’une évaluation ou d’un traitement, incluant le matériel biologique, ainsi que tout implant ou toute orthèse, prothèse ou autre aide suppléant à une incapacité de cette personne; (3) il concerne les services du domaine de la santé et des services sociaux offerts à cette personne, notamment la nature de ces services, leurs résultats, les lieux où ils ont été offerts et l’identité des personnes ou des groupements qui les ont offerts; (4) il a été obtenu dans l’exercice d’une fonction prévue par la Loi sur la santé publique (chapitre S-2.2); ou (5) toute autre caractéristique déterminée par règlement du gouvernement. »
[4] Loi 5, art. 4.
[5] Loi 5, art. 108; Loi 5, art. 3 définit un « incident de confidentialité » comme étant « un accès à un renseignement ou toute autre utilisation ou communication d’un renseignement non autorisé par la loi, la perte d’un renseignement ou toute autre atteinte à sa protection ».
[6] Loi 5, art. 108 et 109; Loi 25 s. 3.5 et 3.7.
[7] Loi 5, art. 110 et le Règlement d'application de certaines dispositions de la Loi concernant les renseignements relatifs aux services de santé et aux services sociaux ; Loi 25, art. 3.8 et Règlement concernant les incidents de confidentialité.
[8] Loi 5, art. 159(4).
[9] Loi 25, art. 91.
[10] Loi 5, s. 163.
[11] Loi 25, s. 90.12.
[12] Règlement, s. 1.
[13] Règlement, s. 2.
[14] Règlement, s. 3.
[15] Règlement, s. 4.
[16] Règlement, s. 5.
[17] Ibid.
[18] Règlement, s. 6.
[19] Règlement, s. 8.
[20] Règlement, s. 9.
[21] Règlement, s. 10 et 11.
[22] Voir le Rapport final - Examen de la Loi sur la protection des renseignements personnels, disponible à l’adresse : https://www.assembly.ab.ca/docs/default-source/committees/rs/final-pipa-report---web.pdf?sfvrsn=c291fdde_3.
[23] Rapport final, s. 6.10.
[24] Rapport final, s. 6.3.
[25] Rapport final, s. 6.9.