Présenté en partenariat avec Cox & Palmer

Article rédigé par :
Matt Saunders

 

La violation des données à l’échelle locale et mondiale retient encore l’attention des médias. Que ce soit la divulgation par Facebook des profils de millions de ses utilisateurs (sans leur consentement) ou de la récente violation des données du site intranet du gouvernement de la Nouvelle-Écosse, on observe une sensibilisation croissante relative au droit à la vie privée, à la manière dont les gens partagent leurs données et à la façon dont les renseignements personnels sont protégés.

L’intérêt des Canadiens pour toutes ces questions ira croissant à la suite de l’entrée en vigueur, le 1er novembre 2018, des nouvelles dispositions obligatoires régissant la déclaration des atteintes aux mesures de sécurité en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques LPRPDE »). Des informations supplémentaires sur le processus de déclaration sont contenues dans le nouveau Règlement concernant les atteintes aux mesures de sécurité (le « Règlement ») qui a été publié sous sa forme finale le 18 avril 2018.

Le cadre relatif aux nouvelles dispositions régissant la déclaration des atteintes aux mesures de sécurité énumère les mesures qu’une organisation est tenue de prendre quand elle subit « des atteintes aux mesures de sécurité » (ou une violation de données attribuable au défaut de mettre en place des mesures de sécurité) :

  1. Déterminer si l’atteinte présente un « risque réel de préjudice grave » à l’endroit de toute personne dont les renseignements personnels étaient visés par l’atteinte;
  2. Si la réponse à la question 1 est « oui », aviser, le plus tôt possible, les personnes visées et signaler cette atteinte au commissaire à la protection de la vie privée du Canada (le « commissaire »);
  3. Aviser toute autre organisation susceptible de pouvoir atténuer le risque de préjudice causé aux personnes visées; et
  4. Tenir un dossier de toute atteinte à la protection des données dont l’organisation est informée et le fournir au commissaire à sa demande.

 

« RISQUE RÉEL DE PRÉJUDICE GRAVE »

 

En vertu du nouveau cadre établi par le Règlement, l’expression « préjudice grave » est définie largement pour inclure la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte d’emploi, la perte d’occasions commerciales ou professionnelles, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit et le dommage aux biens ou leur perte.

Quand il s’agit d’établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave à l’endroit des personnes visées, l’organisation devrait notamment considérer les éléments suivants : le degré de sensibilité des renseignements personnels touchés par la violation des données, la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être et tout autre élément qui peut être prévu par règlement.

 

DÉCLARATION AU COMMISSAIRE

 

Une fois qu’elle a déterminé qu’une atteinte aux mesures de sécurité est survenue et qu’elle présente un risque réel de préjudice grave, une organisation doit faire rapport au commissaire sur cette violation des données le plus tôt possible. Le Règlement exige que tout rapport au commissaire soit fait par écrit et envoyé par tout moyen de communication sécuritaire. Cette déclaration doit comprendre les éléments suivants :

 

  • une description des circonstances de l’atteinte et, si elle est connue, la cause de l’atteinte;
  • la date ou la période où il y a eu atteinte ou, si aucune de ces périodes n’est connue, une approximation de la période;
  • la nature des renseignements personnels visés par l’atteinte, pour autant qu’elle soit connue;
  • le nombre de personnes visées par l’atteinte ou, s’il n’est pas connu, une approximation de ce nombre;
  • les mesures que l’organisation a prises afin de réduire le risque de préjudice à l’endroit des personnes visées qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice;
  • les mesures que l’organisation a prises ou qu’elle entend prendre afin d’aviser les personnes visées de toute atteinte; et
  • le nom et les coordonnées d’une personne qui peut répondre au nom de l’organisation aux questions du commissaire au sujet de l’atteinte.

 

De plus, une organisation peut transmettre au commissaire tout nouveau renseignement mentionné ci-dessus dont elle prend connaissance après avoir fait la déclaration.

 

AVIS AUX PERSONNES VISÉES

 

Les organisations doivent également fournir un avis à toute personne visée par une atteinte, à moins que la loi ne l’interdise. Ces avis doivent contenir les renseignements suivants :

 

  • une description des circonstances de l’atteinte;
  • la date ou la période où il y a eu atteinte ou, si aucune de ces périodes n’est connue, une approximation de la période;
  • la nature des renseignements personnels visés par l’atteinte, pour autant qu’elle soit connue;
  • une description des mesures que l’organisation a prises afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte;
  • une description des mesures que peut prendre toute personne visée afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice; et
  • les coordonnées permettant à la personne visée de se renseigner davantage au sujet de l’atteinte.

 

Les organisations doivent informer directement toute personne visée ayant subi une atteinte en personne, par téléphone, par courrier, par courriel ou par tout autre moyen de communication qu’une personne raisonnable estimerait acceptable dans les circonstances.

Cependant, une organisation peut fournir indirectement un avis à toute personne visée dans l’une ou l’autre des circonstances suivantes : (i) le fait de donner l’avis directement est susceptible de causer un préjudice accru à la personne visée; (ii) le fait de donner l’avis directement est susceptible de représenter une difficulté excessive pour l’organisation; ou (iii) l’organisation n’a pas les coordonnées de la personne visée. L’avis est donné indirectement par une communication publique ou par toute mesure similaire dont on peut raisonnablement s’attendre à ce qu’elle permette de joindre la personne visée.

 

AVIS À D’AUTRES ORGANISATIONS

 

Si une organisation fournit un avis à toute personne visée par une atteinte, elle doit également faire de même pour toute autre organisation, institution gouvernementale ou subdivision d’une telle institution, si elle croit que l’autre organisation, l’institution ou la subdivision peut être en mesure de réduire le risque de préjudice pouvant résulter de l’atteinte ou d’atténuer ce préjudice.

 

TENUE D’UN REGISTRE

 

Une organisation doit conserver le registre de toute atteinte aux mesures de sécurité qui concerne des renseignements personnels même si l’organisation a déterminé que ces renseignements ne posent aucun risque significatif de préjudice à une personne. Ce registre doit être conservé pendant vingt-quatre mois après la date à laquelle l’organisation a conclu qu’il y a eu atteinte. Le registre doit également contenir tout renseignement permettant au commissaire de vérifier la conformité avec les dispositions qui exigent la production de rapports au commissaire et l’avis fourni à toute personne visée.

 

AMENDES

 

Les organisations doivent également être conscientes que toute omission volontaire de faire rapport au commissaire ou d’aviser toute personne visée d’une atteinte qui pose un risque réel de préjudice grave, ou d’omettre volontairement de tenir un registre de toutes les atteintes peut entraîner des amendes allant jusqu’à 100 000 $