April 19, 2018

Le jour d’après : Les règles canadiennes en matière de notification d’atteinte à la protection des données bientôt en vigueur

Services connexes

Les atteintes locales et internationales à la protection des données continuent de faire les gros titres.  Qu’il s’agisse de la divulgation par Facebook de son partage de millions de profils d'utilisateur (sans leur consentement) ou de la récente atteinte à la protection des données impliquant le site Web des services internes du gouvernement de la Nouvelle-Écosse, les gens prennent de plus en plus conscience des droits à la vie privée, de la façon dont les données sont partagées et de la façon dont les renseignements personnels sont protégés.

L'intérêt des Canadiens pour ces questions ne fera qu'augmenter lorsqu’entreront en vigueur, le 1er novembre 2018, les nouvelles dispositions sur la notification obligatoire des atteintes à la protection des données (la « Notification ») prévues dans la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »). De plus amples détails sur la procédure de Notification figurent dans le  Règlement sur les atteintes aux mesures de sécurité (le « Règlement »), lequel a été publié en version définitive le 18 avril 2018.

Le nouveau cadre d’application de la Notification présente les étapes que doit suivre une organisation lorsqu'elle détecte une « atteinte aux mesures de sécurité » (ou une atteinte causée par un défaut de mettre en place de telles mesures) :

  1. Déterminer si l’atteinte à la protection des données présente « un risque réel de préjudice grave » à l’encontre d’une personne dont les renseignements privés sont visés par ladite atteinte.
  2. Si la réponse au premier paragraphe est « oui », aviser la personne concernée et informer le commissaire à la protection de la vie privée (le « commissaire ») le plus rapidement possible après la détection de l’atteinte commise.
  3. Aviser toute autre organisation susceptible d’être en mesure d’atténuer le préjudice subi par la personne concernée.
  4. Tenir un registre pour toute atteinte à la protection des données dont est informée l'organisation (et fournir ces documents au commissaire sur demande).

« Risque réel de préjudice grave »

En vertu du nouveau cadre d’application, la notion de « préjudice grave » est largement définie pour inclure les dommages corporels; l'humiliation; l'atteinte à la réputation ou aux relations; la perte d'emploi, de commerce ou d'occasions professionnelles; les pertes financières; le vol d'identité; les effets négatifs sur le dossier de crédit et les dommages aux biens ou la perte de ceux-ci.

Au moment d’évaluer si une atteinte présente un risque réel de préjudice grave aux personnes concernées, l’organisation doit tenir compte de la nature confidentielle des renseignements personnels visés par cette atteinte, de la probabilité que les renseignements personnels aient été, sont ou seront utilisés à mauvais escient et d’autres facteurs précisés par règlement.

Notification au commissaire

Après avoir détecté une atteinte à la protection des données et déterminé que celle-ci présente un risque réel de préjudice grave, l’organisation doit informer dès que possible le commissaire de la situation. Le Règlement exige que toute déclaration au commissaire soit transmise par écrit et par un moyen de communication sécurisé, quel qu’il soit. La déclaration doit inclure les éléments suivants :

  • Une description des circonstances de l’atteinte et la cause de celle-ci si elle est connue;
  • Le jour ou la période où s’est produite l’atteinte ou, si cette information est inconnue, la période approximative;
  • La nature des renseignements personnels visés par l’atteinte, dans la mesure où cette information est connue;
  • Le nombre de personnes concernées par l’atteinte ou, si cette information est inconnue, le nombre approximatif;
  • Une description des mesures prises pour réduire le risque de préjudice aux personnes concernées qui pourrait découler de l’atteinte, ou pour atténuer ce préjudice.
  • Une description des mesures prises par l’organisation ou que celle-ci a l’intention de prendre pour aviser les personnes concernées de l’atteinte;
  • Le nom et les coordonnées d’une personne qui est en mesure de répondre, au nom de l’organisation, aux questions du commissaire à propos de l’atteinte.

En outre, l’organisation peut soumettre au commissaire tout nouveau renseignement mentionné plus haut dont elle est informée après la transmission de la déclaration.

Avis aux personnes concernées

L’organisation doit aussi transmettre une notification à chaque personne concernée par une atteinte, à moins qu’une règle de droit ne l’interdise. Cette notification doit comprendre les éléments suivants :

  • Une description des circonstances de l’atteinte;
  • Le jour ou la période où s’est produite l’atteinte ou, si cette information est inconnue, la période approximative;
  • La nature des renseignements personnels visés par l’atteinte, dans la mesure où cette information est connue;
  • Une description des mesures prises par l’organisation pour réduire le risque de préjudice susceptible de survenir en raison de l’atteinte.
  • Une description des mesures prises par la personne concernée pour réduire le risque de préjudice qui pourrait découler de l’atteinte ou pour atténuer ce préjudice.
  • Les coordonnées permettant à la personne concernée de se renseigner davantage au sujet de l’atteinte.

L’organisation doit informer directement la personne concernée à propos de l’atteinte, et ce, en personne, par téléphone, par la poste, par courriel ou par tout autre moyen de communication qu’une personne raisonnable estimerait approprié dans les circonstances.

Toutefois, elle pourra aussi informer indirectement la personne concernée dans l’une ou l’autre des circonstances suivantes : (i) le fait de donner l’avis directement est susceptible de causer un préjudice accru à la personne concernée; (ii) le fait de donner l’avis directement est susceptible de représenter une difficulté excessive pour l’organisation; ou (iii) l’organisation n’a pas les coordonnées de la personne concernée. L’avis pourra être donné indirectement par une communication publique ou par toute mesure similaire dont on peut raisonnablement s’attendre à ce qu’elle permette de joindre la personne concernée.

Avis aux autres organisations

L’organisation qui avise une personne concernée par une atteinte est tenue d’en aviser également toute autre organisation ou toute institution gouvernementale ou subdivision d’une telle institution, si elle croit que l’autre organisation ou l’institution serait en mesure de réduire le risque de préjudice qui pourrait découler de l’atteinte ou d’atténuer ce préjudice.

Tenue du registre

L’organisation doit tenir un registre pour chaque atteinte aux mesures de sécurité ayant trait aux renseignements personnels, y compris celles qui, selon elle, ne présentent pas de risque réel de préjudice grave, et ce, durant une période de 24 mois suivant la date où, à son avis, l’atteinte s’est produite.  Ce registre doit aussi contenir tout renseignement qui permet au commissaire de vérifier la conformité avec les dispositions exigeant la transmission de déclarations au commissaire et de notifications aux personnes concernées.

Amendes

Les organisations doivent aussi savoir que l’omission délibérée de déclarer au commissaire une atteinte qui constitue un risque réel de préjudice grave ou d'aviser les personnes concernées d'une telle atteinte, ou l’omission délibérée de tenir un registre de toutes les atteintes, risque de donner lieu à l’imposition d’une amende pouvant aller jusqu'à 100 000 $.

L’équipe de Cox & Palmer se fait un plaisir d’apporter son aide aux entreprises et aux organisations à la recherche d’un supplément d’information sur la façon de se préparer à l’application des exigences canadiennes en matière de notifications des atteintes à la protection des données.  Pour toute question, n’hésitez pas à communiquer avec nous.

cover

Get a PDF version of this article

Le jour d’après : Les règles canadiennes en matière de notification d’atteinte à la protection des données bientôt en vigueur

Download PDF


La présente publication de Cox & Palmer a pour unique but de fournir des renseignements de nature générale et ne constitue pas un avis juridique. Les renseignements présentés sont actuels à la date de leur publication et peuvent être sujets à modifications après la publication.