Personnes-ressources : Cynthia Chassigneux et Danielle Ferron
Cet article a d’abord paru en anglais sur le site Web The Lawyer’s Daily publié par LexisNexis Canada Inc. le 7 mai 2018.
Le 18 juin 2015, la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») a été modifiée afin d’imposer des dispositions relatives à la déclaration d’atteinte à la protection des données. Le 18 avril 2018, le gouvernement fédéral a publié le Règlement sur les atteintes aux mesures de sécurité (le « règlement »), qui énonce les règles applicables dans l’éventualité d’une atteinte aux mesures de sécurité ayant trait à des renseignements personnels. Le règlement entrera en vigueur le 1er novembre 2018, en même temps que les dispositions de la LPRPDE relatives aux déclarations et notifications d’atteinte à la protection des données.
Ce délai vise à permettre aux organisations de réexaminer leurs activités et processus concernant la gestion d’un incident de sécurité, et de valider leur degré de préparation et leur capacité de surveiller, documenter et déclarer des incidents affectant la confidentialité des renseignements personnels dont ils ont la responsabilité, et ce, dans le respect de la loi. Voici l’essentiel de ces dispositions légales et réglementaires.
Obligation de déclarer une atteinte à la protection des données en vertu de la LPRPDE : La LPRPDE est une loi fédérale qui s’applique dans toutes les provinces à l’exception de celles ayant adopté une loi relative à la protection de la vie privée équivalente à la LPRPDE, comme l’ont fait le Québec, l’Alberta et la Colombie-Britannique. La LPRPDE s’applique également aux organisations dont les activités sont de juridiction fédérale, indépendamment du lieu de leurs activités.
L’Alberta est actuellement la seule province à avoir introduit une exigence de déclaration d’une atteinte dans sa législation, mais le Québec et la Colombie-Britannique devraient emboîter le pas. Le défaut de la faire pourrait en effet entraîner un réexamen de la position du gouvernement fédéral quant à la similarité des lois provinciales.
En vertu de la LPRPDE, les organisations qui font face à une atteinte à la protection des données devront déterminer si l’incident représente un « risque réel de préjudice grave » pour les personnes dont les renseignements sont en jeu, compte tenu de leur degré de sensibilité et de la probabilité que les renseignements fassent l’objet d’une utilisation préjudiciable. Si tel est le cas, elles devront en aviser l’intéressé et déclarer l’incident auprès du commissaire à la protection de la vie privée du Canada dans les plus brefs délais. Elles devront également en informer d’autres organisations susceptibles de pouvoir minimiser les dommages des personnes intéressées. Enfin, les organisations devront maintenir un registre de toute atteinte aux mesures de sécurité dont elles ont connaissance.
Spécifications fournies par le règlement : Le règlement précise les obligations minimales en ce qui concerne l’avis aux personnes affectées et la déclaration au commissaire, ainsi que la portée et la période de conservation des registres en cas d’atteinte à la protection des données.
Avis à l’intéressé : Le règlement énumère les renseignements qui doivent figurer dans l’avis à l’intéressé. Les avis doivent tout au moins décrire l’incident et devront inclure :
- les circonstances dans lesquelles il y a eu atteinte et la période où celle-ci s’est produite;
- la nature des renseignements visés par l’atteinte;
- les mesures qui ont été prises ou qui sont disponibles afin d’atténuer le risque ou le préjudice;
- les coordonnées permettant à l’intéressé de se renseigner davantage au sujet de l’atteinte.
Le format, la nature et les modalités de transmission de l’avis – tout moyen qui « serait considéré raisonnable compte tenu des circonstances » sera acceptable,de sorte que le règlement reste souple et neutre en ce qui concerne le mode de transmission.
L’avis direct est la règle par défaut, mais l’avis par « communication publique » sera autorisé si l’avis direct est susceptible de causer un préjudice accru à l’intéressé ou de représenter un préjudice injustifié pour l’organisation (une autre notion générale et adaptable).
Déclaration au commissaire : Le règlement énumère les renseignements qui doivent être compris dans les déclarations qui devront être fournies au commissaire, comme l’exige la loi. Ces renseignements sont comparables aux renseignements énumérés ci-dessus, mais ils comprennent également la cause de l’atteinte, si elle est connue, et les mesures prises ou devant être prises pour en aviser l’intéressé.
Tenue du registre d’atteinte aux données : Le règlement précise que l’organisation doit tenir un registre de « toutes » les atteintes aux données – y compris celles pour lesquelles il a été établi qu’elles ne représentaient pas de « risque réel de préjudice grave » – durant au moins 24 mois (le commissaire conseille de conserver les registres pendant cinq ans) à compter du jour où l’organisation a conclu que l’atteinte avait eu lieu. Un tel registre doit contenir « tout renseignement qui permet au commissaire de vérifier le respect de la loi ».
Tout compte fait, les modifications apportées à la LPRPDE et son règlement sont très similaires aux recommandations du Commissariat à la protection de la vie privée du Canada (CPVP), au règlement concernant l’avis d’atteinte édicté par l’Alberta, aux règles adoptées par les États américains, ainsi que sur l’essentiel des obligations de déclarer toute atteinte à la protection des données personnelles prévues dans le Règlement général sur la protection des données de l’Union européenne, qui entrera en vigueur en mai 2018.
Pourquoi tout ceci est important : Le règlement vise à garantir que tous les Canadiens (et le commissaire) reçoivent des renseignements en temps opportun concernant les atteintes à la protection des données qui représentent un risque de préjudice. Il placera ainsi toutes les organisations assujetties sur un pied d’égalité en leur imposant la déclaration et la notification et permettra ainsi de réduire l’incidence de la crainte de dommages à la réputation, ce qui a motivé des organisations à éviter d’émettre des avis dans le passé.
Compte tenu de l’importance des efforts d’atténuation dans l’appréciation de la faute et de la responsabilité pour les dommages qui en découlent, et le contrôle accru que le règlement implique, nous conseillons aux organisations de :
- réexaminer et valider la suffisance de leurs procédures et de leurs mesures de protection;
- bonifier ou mettre en place des formations sur la cybersécurité au sein de leur organisation;
- réexaminer ou adopter un plan de gestion des incidents de sécurité;
- considérer l’opportunité de souscrire une couverture d’assurance cyber-risques.