Écrit par Stephen D. Burns, J. Sébastien A. Gittens, Martin P.J. Kratz QC, and Kees de Ridder
Ce cet article se concentre sur les exigences de notification des violations. Pour une comparaison plus générale de ces textes, veuillez consulter notre article complémentaire here.
|
GDPR |
PIPEDA |
PIPA |
|
| Qu’événement déclenche l’obligation? | Toute violation de la sécurité conduisant à la destruction accidentelle ou illégale, à la perte, à la modification, à la divulgation non autorisée ou à l’accès à des données personnelles qui ont été transmises, stockées ou traitées de toute autre manière est soumise aux règles de signalement des violations. | Une violation des mesures de sécurité impliquant des informations personnelles est soumise aux règles de signalement des atteintes à la vie privée. | Un incident impliquant la perte ou l’accès non autorisé ou la divulgation de renseignements personnels est soumis aux règles de signalement des atteintes à la vie privée. |
| Existe-t-il une norme de seuil lorsque la déclaration est obligatoire? | Notification must be given unless the breach is unlikely to result a risk to the rights and freedoms of natural persons. | An organisation doit signaler toute violation des mesures de sécurité impliquant des renseignements personnels s’il est raisonnable de croire que l’atteinte crée un risque réel de préjudice important pour une personne. | Notification d’une violation doit être donnée lorsqu’une personne raisonnable considérerait qu’il existe un risque réel de préjudice important pour une personne en raison de la perte, ou de l’accès ou de la divulgation non autorisés. |
| Est-ce que la loi définit les facteurs qui influencent le risque ou le préjudice? | No. | Definition: « les dommages importants comprennent les lésions corporelles, l’humiliation, les dommages à la réputation ou aux relations, la perte d’emploi, les opportunités commerciales ou professionnelles, la perte financière, le vol d’identité, les effets négatifs sur le dossier de crédit et les dommages ou la perte de biens. » Les facteurs indiquant un risque réel de préjudice important sont la sensibilité des renseignements personnels en cause dans l’atteinte; et la probabilité que les renseignements personnels aient été, soient ou seront utilisés à mauvais escient. |
No. |
| Est-ce que la loi définit la rapidité avec laquelle on doit signaler? | Le sous-traitant doit informer le responsable du traitement sans retard injustifié après avoir pris connaissance d’une violation de données personnelles.
Le contrôleur doit, dans les 72 heures suivant la connaissance d’une violation, en informer l’autorité de surveillance. Lorsqu’une notification n’est pas faite dans les 72 heures, des raisons doivent être données pour le retard. Lorsqu’il est indûment difficile de fournir les renseignements requis en même temps, l’information peut être fournie par étapes. |
La notification doit être donnée dès que possible après que l’organisation a déterminé que la violation s’est produite. | >Notification must be given without unreasonable delay. |
| Reporting to the commissioner? | Controllers must notify the supervisory authority of the given EU member state. | Yes, au commissaire fédéral à la protection de la vie privée (dans cette colonne, le « commissaire »). | Yes, au commissaire provincial à l’information et à la protection de la vie privée (dans cette colonne, le « commissaire »). |
| Est-ce que la loi prescrit ce qui doit être signalé au commissaire? |
L’avis doit contenir : (a) une description de la nature de la violation de données personnelles, y compris, si possible, les catégories et le nombre approximatif de personnes concernées et les catégories et le nombre approximatif d’enregistrements de données personnelles concernés; (b) le nom et les coordonnées du responsable de la protection des données ou d’une autre personne de contact; (c) une description des conséquences probables de l’atteinte à la protection des données personnelles; et (d) une description des mesures prises ou proposées par le responsable du traitement pour remédier à la violation de données personnelles, y compris, le cas échéant, des mesures visant à atténuer les effets indésirables possibles. |
L’avis doit contenir : (a) une description des circonstances de la violation; (b) le jour où, ou la période au cours de laquelle, la violation s’est produite; (c) une description des renseignements personnels impliqués dans l’atteinte; (d) une estimation du nombre de personnes pour lesquelles il existe un risque réel de préjudice important; (e) une description de toutes les mesures que l’organisation a prises pour réduire le risque de préjudice; (f) une description de toutes les mesures que l’organisation a prises pour informer les individus de l’atteinte; et g) le nom et les coordonnées d’une personne qui peut répondre, au nom de l’organisation, aux questions du commissaire au sujet de l’atteinte. |
L’avis doit contenir : (a) une description des circonstances de la violation; (b) le jour où, ou la période au cours de laquelle, la violation s’est produite; (c) une description des renseignements personnels impliqués dans l’atteinte; (d) une évaluation du risque de préjudice pour les individus à la suite de la violation; (e) une estimation du nombre de personnes pour lesquelles il existe un risque réel de préjudice important; (f) une description des mesures que l’organisation a prises pour réduire le risque de préjudice; (g) une description des mesures que l’organisation a prises pour informer les individus de l’atteinte; et h) le nom et les coordonnées d’une personne qui peut répondre, au nom de l’organisation, aux questions du commissaire au sujet de l’atteinte. |
| Qu’est-ce que la sanction prend si l’on ne fait pas rapport au commissaire? | L’autorité de surveillance de l’État de l’UE donné peut émettre des ordres, des avertissements ou des réprimandes (y compris des amendes administratives) contre un contrôleur ou un processeur. |
Le défaut de donner un avis au commissaire constitue une infraction et peut entraîner une amende pouvant aller jusqu’à 100 000 $ pour un organisme. La Cour peut ordonner à l’organisation : de corriger ses pratiques; et publier un avis de toute mesure prise pour corriger ses pratiques. |
Il s’agit d’une infraction de ne pas donner un avis au commissaire et peut entraîner une amende pouvant aller jusqu’à 100 000 $ pour une organisation. |
| Reporting to the individual? | Lorsque la violation de données personnelles est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement doit communiquer la violation des données personnelles à la personne concernée sans retard injustifié. | An organisation doit aviser une personne de toute violation des mesures de sécurité mettant en cause les renseignements personnels de l’individu sous le contrôle de l’organisation s’il est raisonnable dans les circonstances de croire que l’atteinte crée un risque réel de préjudice important pour la personne. | Le commissaire à la protection de la vie privée peut exiger de l’organisation qu’elle avise les personnes de la perte de leurs données personnelles. |
| Est-ce que la loi traite de la déclaration aux autres? | No. | Une organisation qui avise une personne d’une violation des mesures de sécurité doit aviser toute autre organisation, y compris les institutions gouvernementales, de la violation si l’organisation notifiante croit que l’autre organisation concernée peut être en mesure de réduire le risque de préjudice. | No. |
| Est-ce que la loi prescrit ce qui doit être signalé à l’individu? | L’avis doit inclure:
|
L’avis doit inclure :
|
L’avis doit inclure:
|
| La loi permet-elle la notification indirecte des individus? | Yes, à condition que la notification de la ou des personnes impliquerait un « effort disproportionné ». |
Oui, à condition que :
|
Notification may be given to an individual indirectly if the Commissioner allows so. |
| Que sanction survient si l’on ne relève pas de la personne? |
La personne concernée a le droit de :
|
La Cour peut ordonner à l’organisation :
|
Le commissaire peut rendre toute ordonnance qu’il juge appropriée. La Cour peut ordonner à l’organisation de verser des dommages-intérêts au plaignant pour la perte ou le préjudice. |
| Est-ce que la loi impose des exigences en matière de tenue de dossiers? | Le responsable du traitement doit documenter toute violation de données personnelles, y compris les faits relatifs à la violation, ses effets et les mesures correctives prises. Cette documentation permettra à l’autorité de surveillance de vérifier la conformité au RGPD. |
|
PIPA n’impose aucune exigence spécifique pour conserver les enregistrements liés aux violations. |
| La loi envisage-t-elle des exemptions aux responsabilités de notification? |
Un avis à la personne n’est requis dans aucune des circonstances suivantes :
|
L’organisation n’est pas tenue d’aviser la personne d’une violation si la loi l’interdit. L’organisation n’est pas tenue d’aviser le commissaire ou la personne s’il n’est pas raisonnable, dans les circonstances, de croire que l’atteinte crée un risque réel de préjudice grave pour la personne. |
L’organisation n’est pas tenue d’aviser le commissaire s’il n’y a pas de risque réel de préjudice important pour une personne en raison de la perte ou de l’accès ou de la divulgation non autorisés de renseignements personnels. L’organisation n’est pas tenue de donner un avis à la personne à moins que le commissaire ne l’ordonne. |
Si vous souhaitez en savoir plus sur ce que votre entreprise peut faire pour se préparer à une réponse obligatoire aux atteintes à la vie privée au Canada, les membres de notre équipe de confidentialité peuvent vous aider. Si vous souhaitez en savoir plus sur l’impact potentiel du RGPD sur votre entreprise, les membres de notre équipe de confidentialité peuvent vous aider et, le cas échéant, vous diriger vers des conseils européens expérimentés.
Bibliographie
Règlement général sur la protection des données, Règlement de l’UE 2016/679: http://data.europa.eu/eli/reg/2016/679/oj
Règlement sur la Loi sur la protection des renseignements personnels, Alb Reg 366/2003: http://canlii.ca/t/83gh
Loi de 2003 sur la protection des renseignements personnels, LSC, c P-6.5 : http://canlii.ca/t/81qp
Loi sur la protection des renseignements personnels et les documents électroniques, LS 2000, c 5 [LPRPDE] (en vigueur) : http://canlii.ca/t/7vwj
LPRPDE (modifications en attente) : http://laws.justice.gc.ca/eng/acts/P-8.6/nifnev.html
LPRPDE (règlements en attente) : http://laws.justice.gc.ca/eng/regulations/SOR-2018-64/page-1.html
Traduction alimentée par l’IA.
Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.
Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.
Bennett Jones