Notification obligatoire des atteintes à la vie privée dans l’ensemble du Canada

Écrit par Martin P.J. Kratz, QC

Par le décret 2018-0369 du 26 mars 2018, la notification obligatoire des atteintes à la vie privée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques du gouvernement fédéral (LPRPDE) entre en vigueur le 1er novembre 2018 pour toutes les entités relevant de sa compétence.

Les règles de la LPRPDE suivent le leadership de l’Alberta, qui a un avis d’atteinte obligatoire depuis huit ans. Au Canada, les lois provinciales sur la protection des renseignements personnels en matière de santé en Ontario, au Nouveau-Brunswick et à Terre-Neuve-et-Labrador contiennent également des exigences en matière de déclaration. La plupart des États américains ont des exigences obligatoires en matière de notification des atteintes à la vie privée. Il est reconnu que la notification des personnes touchées est un facteur clé dans l’atténuation des risques dans les cas de cyberattaque.

Les règles nationales de notification obligatoire des atteintes à la vie privée comprennent une exigence obligatoire pour les organisations de donner un avis aux personnes touchées et au Commissariat fédéral à la protection de la vie privée au sujet des atteintes à la protection des données lorsqu’il est raisonnable de croire que l’atteinte crée un « risque réel de préjudice grave pour la personne ». Contrairement à la législation de l’Alberta, la LPRPDE prévoit certains facteurs pertinents à prendre en compte pour déterminer s’il existe un « risque réel de préjudice important » et ce qui constitue un « préjudice important ». En vertu de la LPRPDE, le « préjudice important » comprend, entre autres, l’humiliation, l’atteinte à la réputation ou aux relations et le vol d’identité. Un « risque réel » exige la prise en compte de la sensibilité des renseignements, de la probabilité d’une mauvaise utilisation et d’autres facteurs.

L’avis en vertu de la LPRPDE doit être donné « dès que possible » après l’atteinte. En vertu de la réglementation, le contenu précis requis d’un avis d’atteinte à la vie privée au commissaire fédéral à la protection de la vie privée et aux personnes touchées a été précisé.

Contrairement à la loi de l’Alberta, la LPRPDE exige également, lorsque des personnes ont été avisées, que l’organisation peut être tenue d’aviser d’autres organisations et le gouvernement lorsque de telles notifications peuvent réduire les risques ou atténuer les préjudices. La LPRPDE exigera également que les organisations tiennent et tiennent des registres de chaque atteinte aux mesures de protection mettant en cause des renseignements personnels sous leur contrôle. La Commission fédérale peut exiger d’une organisation qu’elle fournisse une copie de ces documents au commissaire.

Les organisations qui se préparent à des cyberattaques devraient envisager que la notification des atteintes peut atténuer les risques et qu’à compter du 1er novembre 2018, elle sera obligatoire pour de nombreuses organisations au Canada.

Les responsabilités en matière de notification découleront de la loi et de nombreuses autres relations, par exemple, avec les assureurs et en vertu des clauses de financement. Les données probantes tirées d’une étude sur les cyberattaques montrent qu’il est possible d’économiser du temps et de l’argent si une organisation a évalué ses responsabilités en matière de notification avant qu’un incident ne se produise. Il est maintenant temps de considérer votre plan de notification.