Sommaires exécutifs 15 nov. 2023
Le plan de réponse aux incidents : la base d’une gestion de crise efficace
Coûteux, imprévisibles et parfois lourds de conséquences, les incidents de confidentialité donnent bien des maux aux entreprises privées et les entreprises québécoises ne sont pas épargnées. La célérité et l’efficacité étant au cœur de la gestion de tels incidents, les entreprises ont tout avantage à être diligentes et proactives en implantant des processus appropriés qui leur permettront de ne pas être prises au dépourvu en cas de crise, notamment un plan de réponse aux incidents.
Les obligations des entreprises
Selon les nouvelles exigences édictées par la Loi sur la protection des renseignements personnels dans le secteur privé (la « LPRPSP »), les entreprises ont maintenant la responsabilité en cas d’incident de confidentialité, d’aviser avec diligence la Commission d’accès à l’information (la « Commission »), ainsi que les personnes dont les renseignements personnels sont visés par l’incident, s’il présente un risque qu’un préjudice sérieux soit causé. Rappelons que la définition d’un incident de confidentialité est large et vise des évènements de gravité variable, allant par exemple d’un courriel transmis au mauvais destinataire, à une cyberattaque majeure. Le Règlement sur les incidents de confidentialité1, entré en vigueur en décembre 2022, prévoit notamment ce que la notification à la Commission et aux personnes concernées doit inclure comme information.
De plus, les entreprises sont également tenues de conserver un registre de tous leurs incidents de confidentialité, lequel doit comprendre les renseignements prévus au règlement précité.
Bien qu’elles semblent relativement simples, ces exigences sous-tendent pourtant la mise en place d’autres outils et processus. En effet, le respect de ces exigences est tributaire notamment de la capacité de l’entreprise à :
- Détecter les incidents de confidentialité, ce qui comprend entre autres des outils et processus techniques de détection des menaces internes et externes;
- Identifier rapidement la cause des incidents de confidentialité;
- Évaluer rapidement le risque de préjudice sérieux;
- Mettre en place des mesures de mitigation du préjudice;
- Réunir les bons acteurs à des fins d’évaluation et de prise de décision.
Cette capacité sera acquise avec par exemple la mise en place d’un plan de réponse aux incidents (« PRI »). Ce dernier permettra aux entreprises d’être diligentes, proactives et d’éviter d’être prises par surprise par un incident de confidentialité, en plus de minimiser les risques de préjudice pour les clients, les employés ou les partenaires.
Qu’est-ce qu’un PRI?
Un PRI est un document permettant d’assurer que les procédures, processus et mécanismes (humains et techniques) sont définis dans l’éventualité d’un incident. Son objectif est de répondre aux incidents rapidement, et de minimiser les risques pour l’entreprise (poursuite de ses activités, clientèle, systèmes technologiques, etc.). Ce plan peut avoir unevocation plus large que les incidents de confidentialité et couvrir tous les incidents de sécurité de façon générale. À titre d’exemple, le PRI encadre généralement les éléments suivants :
- La composition de l’équipe responsable du traitement des incidents;
- Les rôles et les responsabilités de chacun;
- Un processus d’escalade des incidents au niveau hiérarchique approprié (conseil d’administration, conseil exécutif, etc.);
- Des procédures de conservation de la preuve;
- Des tests permettant de mesurer l’efficacité du PRI.
L’importance d’un PRI
D’abord, un PRI permet d’identifier en amont l’équipe responsable du traitement des incidents qui sera prête à se mobiliser. En plus d’assurer l’identification des parties impliquées et leur disponibilité, laquelle est cruciale (la gestion du temps étant centrale en cas d’incident), le PRI permet de s’assurer que les bons acteurs seront sollicités. À titre d’exemple, la gestion d’un incident pourrait nécessiter la présence d’un expert en communication, lequel fournira son opinion sur les communiqués externes ou internes émis par l’entreprise, le cas échéant.
De façon similaire, un expert en risques réputationnels pourra éclairer l’entreprise sur les risques qui la guettent en cas de notification de l’incident, dans la mesure où l’entreprise a l’opportunité de décider si l’incident sera divulgué ou non. En effet, rappelons que la notification d’un incident à la Commission et à la personne concernée est obligatoire lorsqu’il existe un risque d’un préjudice sérieux seulement. Or, même si une entreprise en vient à la conclusion qu’un tel risque n’existe pas, une notification pourrait être de mise afin d’éviter un éventuel risque réputationnel.
De même, la présence d’un avocat s’avère incontournable. La consultation d’un professionnel du droit et la possibilité que ce dernier fournisse lui-même certaines instructions permettront d’ailleurs que les informations échangées soient couvertes par le secret professionnel. Dans certains cas, la présence d’un expert en technologies de l’information ou forensique pourrait aussi s’avérer nécessaire.
Le PRI permet également de déterminer une matrice ou une grille de classification des incidents, lesquelles permettront aux intervenants d’évaluer rapidement et correctement le risque de préjudice sérieux que peut poser un incident (et de notifier rapidement la Commission et les personnes concernées). Plus ce risque est évalué rapidement, plus les risques de préjudice sur les personnes concernées seront diminués et plus le plan d’action pourra être déployé promptement.
L’existence d’une telle grille ou matrice permettra à l’entreprise de déterminer qui doit être impliqué pour traiter l’incident. Par exemple, un incident de gravité moindre ne nécessitera peut-être pas l’implication de l’ensemble de l’équipe de réponse aux incidents. De la même façon, cela permettra à l’entreprise de déterminer le niveau d’escalade approprié selon la gravité ou la criticité d’un incident ainsi que les intervenants clés qui doivent relayer l’information au niveau hiérarchique approprié.
Finalement, le PRI permet de centraliser la prise de décision relative aux incidents et d’assurer ainsi une meilleure cohérence et constance de celles-ci. Bien que l’évaluation du risque de préjudice sérieux soit encadrée par certains paramètres, notamment la sensibilité des renseignements concernés et la probabilité qu’ils soient utilisés à des fins préjudiciables, cette dernière demeure contextuelle et la centralisation de la prise de décision permet un examen attentif par les acteurs clés possédant les compétences et pouvoirs nécessaires pour ce faire.
Le PRI comme mesure de mitigation
Bien que la mise en place d’un PRI ne soit pas une obligation stricte prévue par la LPRPSP, cette étape est incontournable afin d’assurer une gestion efficace des incidents de confidentialité en plus de permettre une diminution des risques, notamment financiers et réputationnels.
En effet, sous réserve des circonstances ayant mené à l’incident, une entreprise s’étant dotée d’un PRI réduit la probabilité qu’un organisme de régulation, comme la Commission ou un tribunal, conclue à sa négligence. Il arrive que la section « surveillance » de la Commission traite favorablement l’existence d’un plan de gestion des incidents dans ses enquêtes, ou qu’elle ordonne dans ses conclusions qu’une entreprise se dote d’une telle procédure2. Néanmoins, les mesures mises en place par une entreprise afin de remédier à un manquement ou d’en atténuer les conséquences peuvent être prises par la Commission dans le cadre de l’imposition d’une sanction administrative pécuniaire.
Notons également que le Commissariat à la protection de la vie privée du Canada a déjà conclu qu’Equifax inc. n’avait pas été en mesure de faire une intervention rapide et complète dans le cadre d’un incident de confidentialité, notamment en raison du suivi lacunaire effectué par sa société liée Equifax Canada co. Suivant cette enquête, Equifax inc. s’était engagée à définir les rôles et les responsabilités à l’égard des interventions en cas d’incidents.
En somme, lorsqu’il est question d’incidents de confidentialité, il vaut mieux prévenir que guérir. La gestion efficace d’un incident de confidentialité ne dépend pas uniquement des actions posées suivant la survenance de l’incident, mais dépend dans une large mesure de celles qui auront été mises en place préalablement.
La LPRPSP n’astreint par ailleurs pas les entreprises à une obligation de résultat. Ainsi, plus une entreprise se montrera diligente, en adoptant des outils qui lui permettront de minimiser les risques pour les individus dont elle a collecté les renseignements personnels, moins elle s’exposera à des sanctions et des risques d’affaires.
Pour toute question, n’hésitez pas à communiquer avec notre équipe qui se fera un plaisir de vous conseiller et de vous accompagner.
[1] Règlement sur les incidents de confidentialité, c. A-2.1, r.3.1., art. 3 à 5.
[2] Voir notamment la décision de la Commission du 16 février 2015 suivant une plainte contre Trans Union du Canada inc.
Inscrivez-vous à nos communications et bénéficiez de notre connaissance du marché pour déceler de nouvelles occasions d’affaires, vous renseigner sur les meilleures pratiques innovantes et recevoir les plus récents développements. Découvrez en primeur notre intelligence d’affaires et nos événements.