Écrit par Ruth E. Promislow, Martin P.J. Kratz and Katherine Rusk
Près de trois ans après l’adoption de la Loi sur la protection des renseignements personnels numériques, le gouvernement fédéral a mis la dernière main à un règlement sur la notification obligatoire des atteintes à la vie privée, la déclaration et la tenue de documents pour le secteur privé au Canada. Les les réglementations ont été publiées hier et, par décret distinct, entreront en vigueur le 1er novembre 2018, en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
PIPEDA s’applique à la collecte, à l’utilisation ou à la communication de renseignements personnels dans le cadre d’une activité commerciale et au-delà des frontières et s’applique au secteur privé sous réglementation fédérale ainsi qu’à la plupart des provinces où la LPRPDE s’applique au secteur privé sous réglementation provinciale. 1 Une atteinte à la LPRPDE exige trois éléments : (1) la collecte de renseignements personnels; (2) une violation ou un manquement à l’obligation de maintenir une sécurité adéquate pour ces renseignements personnels (mesures de sécurité); et (3) lorsque l’atteinte entraîne la perte, l’accès non autorisé ou la divulgation non autorisée de renseignements personnels.
La déclaration obligatoire sera requise lorsqu’il y a un « risque réel de préjudice important » en raison de l’atteinte. La LPRPDE définit le « préjudice important » comme étant l’humiliation, l’atteinte à la réputation ou aux relations et le vol d’identité.
S’il y a violation avec un risque réel de préjudice important, les trois obligations suivantes de la part de l’organisation violée entreront en jeu : (1) la notification des personnes touchées; (2) un rapport écrit au Commissariat à la protection de la vie privée (CPVP); et (3) la conservation d’un dossier d’atteinte à la vie privée. Les organisations peuvent également être tenues d’aviser les tiers si elles sont en mesure d’atténuer les préjudices causés aux personnes touchées.
1. Notification des personnes touchées
Un avis direct doit être fourni aux personnes touchées « dès que possible ». L’avis doit comprendre certains éléments prescrits, notamment : une description de l’atteinte et des renseignements compromis, les mesures prises par l’organisation pour réduire le préjudice, une description des mesures que les personnes touchées peuvent prendre pour réduire le préjudice et les coordonnées pour obtenir de plus amples renseignements. L’avis peut être fourni de toute manière « raisonnable », y compris en personne, par courriel ou par téléphone.
Il existe également une option pour fournir un avis indirect si la notification directe causerait un préjudice supplémentaire à la personne, causerait un préjudice injustifié à l’organisation ou n’est pas possible.
Le défaut délibéré d’aviser les personnes touchées peut être considéré comme une infraction en vertu du nouveau règlement, ce qui entraîne une amende pouvant atteindre 100 000 $.
2. Rapport écrit au CPVP
Un rapport écrit d’une atteinte doit être fait par écrit « dès que possible » au CPVP. Le rapport doit contenir des éléments prescrits tels qu’une description de l’atteinte, la date, le nombre de personnes touchées, le type de renseignements personnels qui ont été compromis et une description des mesures prises pour réduire le risque de préjudice.
Un défaut délibéré de signaler au CPVP peut être considéré comme une infraction en vertu du nouveau règlement, ce qui entraîne une amende pouvant atteindre 100 000 $.
3. Tenue de documents
L’organisation doit tenir un registre de chaque atteinte à la vie privée et des mesures de sécurité pendant au moins 24 mois après la date à laquelle l’organisation a pris connaissance de l’atteinte. Ce document peut être demandé par le CPVP.
Un défaut délibéré de consigner l’infraction peut être considéré comme une infraction en vertu du nouveau règlement, ce qui entraîne une amende pouvant atteindre 100 000 $.
Le fait d’avoir un plan d’intervention en cas d’incident fait partie intégrante de la conformité aux obligations de votre organisation en vertu de la LPRPDE et d’autres lois. Un élément clé de ce plan est la préparation préalable de la notification obligatoire des atteintes à la vie privée. Le Bennett Jones Cybersecurity team peut vous aider à mettre à jour votre plan existant pour refléter ces nouvelles exigences ou rédiger un plan personnalisé pour s’assurer que votre organisation est prête en cas de violation de données.
1 Certaines provinces, comme l’Alberta, la Colombie-Britannique et le Québec, ont des lois provinciales sur la protection des renseignements personnels dans le secteur privé qui ont été déclarées essentiellement similaires à la LPRPDE. Parmi ceux-ci, la Loi sur la protection des renseignements personnels de l’Alberta prévoit la déclaration obligatoire des atteintes à la vie privée dans le secteur privé depuis 2010
Traduction alimentée par l’IA.
Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.
Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.
Bennett Jones