Règles de notification des atteintes en vertu du RGPD, de la LPRPDE et de la PIPA

01 octobre 2018

Écrit par Stephen D. Burns, J. Sébastien A. Gittens, Martin P.J. Kratz QC, and Kees de Ridder

Les obligations de notification des atteintes à la vie privée pour les organisations canadiennes changeront considérablement en 2018 : (i) le Règlement général sur la protection des données (RGPD) de l’Union européenne est entré en vigueur le 25 mai 2018; tandis que (ii) les nouvelles obligations de déclaration en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada entreront en vigueur le 1er novembre 2018. Pour aider les organisations canadiennes dans leurs efforts potentiels de conformité à cet égard, ce qui suit vise à fournir une comparaison non exhaustive et de haut niveau entre: (i) le RGPD; ii) la LPRPDE; ainsi que (iii) la Personal Information Protection Act of Alberta (PIPA). Bien qu’il y ait d’importantes nuances à chacun de ces cadres réglementaires, ils s’appuient largement sur des pratiques équitables en matière d’information qui se traduisent par des points communs importants entre eux. En fait, un certain nombre d’éléments de la loi canadienne sur la protection des renseignements personnels dans le secteur privé, en particulier dans la PIPA, ont anticipé certaines dispositions du RGPD.

Ce cet article se concentre sur les exigences de notification des violations. Pour une comparaison plus générale de ces textes, veuillez consulter notre article complémentaire here.

GDPR

PIPEDA

PIPA
Qu’événement déclenche l’obligation? Toute violation de la sécurité conduisant à la destruction accidentelle ou illégale, à la perte, à la modification, à la divulgation non autorisée ou à l’accès à des données personnelles qui ont été transmises, stockées ou traitées de toute autre manière est soumise aux règles de signalement des violations. Une violation des mesures de sécurité impliquant des informations personnelles est soumise aux règles de signalement des atteintes à la vie privée. Un incident impliquant la perte ou l’accès non autorisé ou la divulgation de renseignements personnels est soumis aux règles de signalement des atteintes à la vie privée.
Existe-t-il une norme de seuil lorsque la déclaration est obligatoire? Notification must be given unless the breach is unlikely to result a risk to the rights and freedoms of natural persons. An organisation doit signaler toute violation des mesures de sécurité impliquant des renseignements personnels s’il est raisonnable de croire que l’atteinte crée un risque réel de préjudice important pour une personne. Notification d’une violation doit être donnée lorsqu’une personne raisonnable considérerait qu’il existe un risque réel de préjudice important pour une personne en raison de la perte, ou de l’accès ou de la divulgation non autorisés.
Est-ce que la loi définit les facteurs qui influencent le risque ou le préjudice?  No. Definition: « les dommages importants comprennent les lésions corporelles, l’humiliation, les dommages à la réputation ou aux relations, la perte d’emploi, les opportunités commerciales ou professionnelles, la perte financière, le vol d’identité, les effets négatifs sur le dossier de crédit et les dommages ou la perte de biens. »

Les facteurs indiquant un risque réel de préjudice important sont la sensibilité des renseignements personnels en cause dans l’atteinte; et la probabilité que les renseignements personnels aient été, soient ou seront utilisés à mauvais escient. 		 No.
Est-ce que la loi définit la rapidité avec laquelle on doit signaler? Le sous-traitant doit informer le responsable du traitement sans retard injustifié après avoir pris connaissance d’une violation de données personnelles.

Le contrôleur doit, dans les 72 heures suivant la connaissance d’une violation, en informer l’autorité de surveillance.

Lorsqu’une notification n’est pas faite dans les 72 heures, des raisons doivent être données pour le retard.

Lorsqu’il est indûment difficile de fournir les renseignements requis en même temps, l’information peut être fournie par étapes.		 La notification doit être donnée dès que possible après que l’organisation a déterminé que la violation s’est produite.
Reporting to the commissioner? Controllers must notify the supervisory authority of the given EU member state. Yes, au commissaire fédéral à la protection de la vie privée (dans cette colonne, le « commissaire »). Yes, au commissaire provincial à l’information et à la protection de la vie privée (dans cette colonne, le « commissaire »).
Est-ce que la loi prescrit ce qui doit être signalé au commissaire?

L’avis doit contenir :

(a) une description de la nature de la violation de données personnelles, y compris, si possible, les catégories et le nombre approximatif de personnes concernées et les catégories et le nombre approximatif d’enregistrements de données personnelles concernés;

(b) le nom et les coordonnées du responsable de la protection des données ou d’une autre personne de contact;

(c) une description des conséquences probables de l’atteinte à la protection des données personnelles; et

(d) une description des mesures prises ou proposées par le responsable du traitement pour remédier à la violation de données personnelles, y compris, le cas échéant, des mesures visant à atténuer les effets indésirables possibles.

L’avis doit contenir :

(a) une description des circonstances de la violation;

(b) le jour où, ou la période au cours de laquelle, la violation s’est produite;

(c) une description des renseignements personnels impliqués dans l’atteinte;

(d) une estimation du nombre de personnes pour lesquelles il existe un risque réel de préjudice important;

(e) une description de toutes les mesures que l’organisation a prises pour réduire le risque de préjudice;

(f) une description de toutes les mesures que l’organisation a prises pour informer les individus de l’atteinte; et

g) le nom et les coordonnées d’une personne qui peut répondre, au nom de l’organisation, aux questions du commissaire au sujet de l’atteinte.

L’avis doit contenir :

(a) une description des circonstances de la violation;

(b) le jour où, ou la période au cours de laquelle, la violation s’est produite;

(c) une description des renseignements personnels impliqués dans l’atteinte;

(d) une évaluation du risque de préjudice pour les individus à la suite de la violation;

(e) une estimation du nombre de personnes pour lesquelles il existe un risque réel de préjudice important;

(f) une description des mesures que l’organisation a prises pour réduire le risque de préjudice;

(g) une description des mesures que l’organisation a prises pour informer les individus de l’atteinte; et

h) le nom et les coordonnées d’une personne qui peut répondre, au nom de l’organisation, aux questions du commissaire au sujet de l’atteinte.
Qu’est-ce que la sanction prend si l’on ne fait pas rapport au commissaire? L’autorité de surveillance de l’État de l’UE donné peut émettre des ordres, des avertissements ou des réprimandes (y compris des amendes administratives) contre un contrôleur ou un processeur. Le défaut de donner un avis au commissaire constitue une infraction et peut entraîner une amende pouvant aller jusqu’à 100 000 $ pour un organisme.

La Cour peut ordonner à l’organisation : de corriger ses pratiques; et publier un avis de toute mesure prise pour corriger ses pratiques. 		Il s’agit d’une infraction de ne pas donner un avis au commissaire et peut entraîner une amende pouvant aller jusqu’à 100 000 $ pour une organisation.
Reporting to the individual? Lorsque la violation de données personnelles est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement doit communiquer la violation des données personnelles à la personne concernée sans retard injustifié. An organisation doit aviser une personne de toute violation des mesures de sécurité mettant en cause les renseignements personnels de l’individu sous le contrôle de l’organisation s’il est raisonnable dans les circonstances de croire que l’atteinte crée un risque réel de préjudice important pour la personne. Le commissaire à la protection de la vie privée peut exiger de l’organisation qu’elle avise les personnes de la perte de leurs données personnelles.
Est-ce que la loi traite de la déclaration aux autres? No. Une organisation qui avise une personne d’une violation des mesures de sécurité doit aviser toute autre organisation, y compris les institutions gouvernementales, de la violation si l’organisation notifiante croit que l’autre organisation concernée peut être en mesure de réduire le risque de préjudice. No.
Est-ce que la loi prescrit ce qui doit être signalé à l’individu? L’avis doit inclure:

  • une description,  en langage clair et simple, de la nature de l’atteinte à la protection des renseignements personnels;
  • le nom et les coordonnées du responsable de la protection des données ou d’une autre personne de contact ;
  • une description des conséquences probables de l’atteinte à la protection des données personnelles; et
  • une description des mesures prises ou proposées par le responsable du traitement pour remédier à la violation de données personnelles, y compris, le cas échéant, des mesures visant à atténuer les effets indésirables possibles.
 L’avis doit inclure :

  • une description des circonstances de la violation;
  • le jour ou la période au cours de laquelle la violation s’est produite;
  • une description des renseignements personnels qui sont à l’objet de l’atteinte;
  • une description des mesures que l’organisation a prises pour réduire le risque ou atténuer tout préjudice pour la personne touchée;
  • une description des mesures que la personne touchée pourrait prendre pour réduire le risque ou atténuer tout préjudice découlant de l’atteinte;
  • un numéro sans frais ou une adresse électronique que la personne touchée peut utiliser pour obtenir de plus amples renseignements sur l’atteinte; et
  • des renseignements sur le processus interne de traitement des plaintes de l’organisation et sur le droit de la personne touchée, en vertu de la LPRPDE, de déposer une plainte auprès du commissaire.
L’avis doit inclure:

  • une description des circonstances de la violation;
  • la date ou la période pendant laquelle la violation s’est produite;
  • une description des renseignements personnels impliqués dans l’atteinte;
  • une description des mesures que l’organisation a prises pour réduire le risque de préjudice; et
  • contact information for a person who can answer, on behalf of the organization, questions about the loss or unauthorized access or disclosure.
La loi permet-elle la notification indirecte des individus? Yes, à condition que la notification de la ou des personnes impliquerait un « effort disproportionné ».

Oui, à condition que :

  • la notification directe serait susceptible de causer d’autres préjudices à la personne touchée;
  • la notification directe serait susceptible de causer un préjudice injustifié à l’organisation; ou
  • l’organisation n’a pas de coordonnées.
 Notification may be given to an individual indirectly if the Commissioner allows so.
Que sanction survient si l’on ne relève pas de la personne?

La personne concernée a le droit de :

  • déposer une plainte auprès d’une autorité de surveillance;
  • un recours judiciaire efficace contre un contrôleur ou un sous-traitant (lorsque l’autorité de surveillance ne traite pas la plainte dans un délai de trois mois); et
  • recevoir une indemnisation pour les dommages matériels ou non matériels subis.

La Cour peut ordonner à l’organisation :

  • corriger ses pratiques, verser des dommages-intérêts au plaignant, y compris des dommages-intérêts pour humiliation; et
  • publier un avis de toute mesure prise pour corriger ses pratiques.
 Le commissaire peut rendre toute ordonnance qu’il juge appropriée.

La Cour peut ordonner à l’organisation de verser des dommages-intérêts au plaignant pour la perte ou le préjudice.
Est-ce que la loi impose des exigences en matière de tenue de dossiers? Le responsable du traitement doit documenter toute violation de données personnelles, y compris les faits relatifs à la violation, ses effets et les mesures correctives prises. Cette documentation permettra à l’autorité de surveillance de vérifier la conformité au RGPD.
  • Les organisations doivent tenir et tenir un registre de toute atteinte aux mesures de sécurité mettant en cause des renseignements personnels sous leur contrôle.
  • Les dossiers doivent être conservés pendant 24 mois suivant la date à laquelle l’organisation détermine que l’atteinte s’est produite.
 PIPA n’impose aucune exigence spécifique pour conserver les enregistrements liés aux violations.
La loi envisage-t-elle des exemptions aux responsabilités de notification?

Un avis à la personne n’est requis dans aucune des circonstances suivantes :

  • le responsable du traitement a mis en œuvre des mesures de protection techniques et organisationnelles appropriées, et ces mesures ont été appliquées aux données personnelles affectées par la violation de données, en particulier celles qui rendent les données personnelles inintelligibles pour toute personne qui n’est pas autorisée à y accéder, telles que le cryptage;
  • le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque pour les droits des personnes concernées n’est plus susceptible de se matérialiser; ou
  • cela impliquerait un effort disproportionné, auquel cas il devrait plutôt y avoir une communication publique ou une mesure similaire par laquelle les personnes concernées sont informées d’une manière tout aussi efficace.

L’organisation n’est pas tenue d’aviser la personne d’une violation si la loi l’interdit.

L’organisation n’est pas tenue d’aviser le commissaire ou la personne s’il n’est pas raisonnable, dans les circonstances, de croire que l’atteinte crée un risque réel de préjudice grave pour la personne.		 L’organisation n’est pas tenue d’aviser le commissaire s’il n’y a pas de risque réel de préjudice important pour une personne en raison de la perte ou de l’accès ou de la divulgation non autorisés de renseignements personnels.

L’organisation n’est pas tenue de donner un avis à la personne à moins que le commissaire ne l’ordonne.

Si vous souhaitez en savoir plus sur ce que votre entreprise peut faire pour se préparer à une réponse obligatoire aux atteintes à la vie privée au Canada, les membres de notre équipe de confidentialité peuvent vous aider. Si vous souhaitez en savoir plus sur l’impact potentiel du RGPD sur votre entreprise, les membres de notre équipe de confidentialité peuvent vous aider et, le cas échéant, vous diriger vers des conseils européens expérimentés.

 

Bibliographie

Règlement général sur la protection des données, Règlement de l’UE 2016/679: http://data.europa.eu/eli/reg/2016/679/oj
Règlement sur la Loi sur la protection des renseignements personnels, Alb Reg 366/2003: http://canlii.ca/t/83gh
Loi de 2003 sur la protection des renseignements personnels, LSC, c P-6.5 : http://canlii.ca/t/81qp
Loi sur la protection des renseignements personnels et les documents électroniques, LS 2000, c 5 [LPRPDE] (en vigueur) : http://canlii.ca/t/7vwj
LPRPDE (modifications en attente) : http://laws.justice.gc.ca/eng/acts/P-8.6/nifnev.html
LPRPDE (règlements en attente) : http://laws.justice.gc.ca/eng/regulations/SOR-2018-64/page-1.html

Auteur(e)s

Stephen D. Burns
403.298.3050
burnss@bennettjones.com

J. Sébastien A. Gittens
403.298.3409
gittenss@bennettjones.com

Kees de Ridder
403.298.3122
deridderk@bennettjones.com



Traduction alimentée par l’IA.

Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.

Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.