Déclarations obligatoires des atteintes à la vie privée – Les outils à votre portée

Au cours des dernières années, les entreprises ont eu recours aux médias pour divulguer – souvent tardivement – des brèches de sécurité qui ont pu compromettre les renseignements personnels de leurs clients en raison de failles dans leur application mobile, site Internet ou système informatique interne. Cependant, ces déclarations publiques ne seront bientôt plus suffisantes pour satisfaire au nouveau cadre législatif canadien.

Le 1er novembre 2018, les nouvelles dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques entreront en vigueur. Les entreprises du secteur privé assujetties à cette Loi seront dès lors obligées de déclarer toute atteinte aux mesures de sécurité relatives à des renseignements personnels qui présente un risque réel de préjudice grave à l’endroit d’un individu, tels le dommage à la réputation, la perte financière, le vol d’identité, etc.  

En prévision de l’entrée en vigueur des nouvelles dispositions de la Loi fédérale, le Commissariat à la protection de la vie privée du Canada a élaboré un document d’orientation pour aider les entreprises à respecter leurs nouvelles obligations légales. Le Commissariat y rappelle que la Loi et ses nouvelles dispositions s’appliquent à toutes les entreprises qui y sont assujetties, indépendamment de leur taille, et que quiconque contrevient aux obligations qui y sont énoncées se rend coupable d’une infraction et pourrait se voir imposer des amendes.

Dans ce document, le Commissariat répond également à plusieurs questions que les entreprises pourraient se poser, dont les suivantes :

  • Qu’est-ce qu’une « atteinte aux mesures de sécurité »? 
  • Comment évaluer « le risque réel de préjudice grave »?
  • Combien d’individus doivent être touchés par l’atteinte pour qu’elle soit signalée?
  • Qui a la responsabilité de déclarer l’atteinte?
  • À quel moment l’atteinte doit-elle être déclarée?
  • Que doit contenir : i) le registre d’atteintes que doit tenir une entreprise; ainsi que ii) l’avis aux intéressés et la déclaration au commissaire qui doivent être transmis en cas d’atteinte?

Sur ce dernier point, le Commissariat a inclus à la fin du document d’orientation un formulaire de déclaration d’atteinte que les entreprises peuvent remplir et transmettre par courriel, par la poste ou en personne – un outil efficace à garder à portée de mains!

Le document d’orientation et le formulaire de déclaration sont disponibles sur le site Internet du Commissariat à la protection de la vie privée du Canada. Pour plus d’informations sur les nouvelles dispositions de la Loi et de son règlement et sur leurs modalités d’application, nous vous référons à notre article antérieur intitulé « Entrée en vigueur de l’obligation de déclarer toute atteinte à la protection des données ». 

Flèche vers le haut Montez