Près de trois ans après l’adoption de la Loi sur la protection des renseignements personnels numériques, le gouvernement fédéral a mis la dernière main à un règlement sur la notification obligatoire des atteintes à la vie privée, la déclaration et la tenue de documents pour le secteur privé au Canada. Les
PIPEDA s’applique à la collecte, à l’utilisation ou à la communication de renseignements personnels dans le cadre d’une activité commerciale et au-delà des frontières et s’applique au secteur privé sous réglementation fédérale ainsi qu’à la plupart des provinces où la LPRPDE s’applique au secteur privé sous réglementation provinciale. 1 Une atteinte à la LPRPDE exige trois éléments : (1) la collecte de renseignements personnels; (2) une violation ou un manquement à l’obligation de maintenir une sécurité adéquate pour ces renseignements personnels (mesures de sécurité); et (3) lorsque l’atteinte entraîne la perte, l’accès non autorisé ou la divulgation non autorisée de renseignements personnels.
La déclaration obligatoire sera requise lorsqu’il y a un « risque réel de préjudice important » en raison de l’atteinte. La LPRPDE définit le « préjudice important » comme étant l’humiliation, l’atteinte à la réputation ou aux relations et le vol d’identité.
S’il y a violation avec un risque réel de préjudice important, les trois obligations suivantes de la part de l’organisation violée entreront en jeu : (1) la notification des personnes touchées; (2) un rapport écrit au Commissariat à la protection de la vie privée (CPVP); et (3) la conservation d’un dossier d’atteinte à la vie privée. Les organisations peuvent également être tenues d’aviser les tiers si elles sont en mesure d’atténuer les préjudices causés aux personnes touchées.
Un avis direct doit être fourni aux personnes touchées « dès que possible ». L’avis doit comprendre certains éléments prescrits, notamment : une description de l’atteinte et des renseignements compromis, les mesures prises par l’organisation pour réduire le préjudice, une description des mesures que les personnes touchées peuvent prendre pour réduire le préjudice et les coordonnées pour obtenir de plus amples renseignements. L’avis peut être fourni de toute manière « raisonnable », y compris en personne, par courriel ou par téléphone.
Il existe également une option pour fournir un avis indirect si la notification directe causerait un préjudice supplémentaire à la personne, causerait un préjudice injustifié à l’organisation ou n’est pas possible.
Le défaut délibéré d’aviser les personnes touchées peut être considéré comme une infraction en vertu du nouveau règlement, ce qui entraîne une amende pouvant atteindre 100 000 $.
Un rapport écrit d’une atteinte doit être fait par écrit « dès que possible » au CPVP. Le rapport doit contenir des éléments prescrits tels qu’une description de l’atteinte, la date, le nombre de personnes touchées, le type de renseignements personnels qui ont été compromis et une description des mesures prises pour réduire le risque de préjudice.
Un défaut délibéré de signaler au CPVP peut être considéré comme une infraction en vertu du nouveau règlement, ce qui entraîne une amende pouvant atteindre 100 000 $.
L’organisation doit tenir un registre de chaque atteinte à la vie privée et des mesures de sécurité pendant au moins 24 mois après la date à laquelle l’organisation a pris connaissance de l’atteinte. Ce document peut être demandé par le CPVP.
Un défaut délibéré de consigner l’infraction peut être considéré comme une infraction en vertu du nouveau règlement, ce qui entraîne une amende pouvant atteindre 100 000 $.
Le fait d’avoir un plan d’intervention en cas d’incident fait partie intégrante de la conformité aux obligations de votre organisation en vertu de la LPRPDE et d’autres lois. Un élément clé de ce plan est la préparation préalable de la notification obligatoire des atteintes à la vie privée. Le
1 Certaines provinces, comme l’Alberta, la Colombie-Britannique et le Québec, ont des lois provinciales sur la protection des renseignements personnels dans le secteur privé qui ont été déclarées essentiellement similaires à la LPRPDE. Parmi ceux-ci, la Loi sur la protection des renseignements personnels de l’Alberta prévoit la déclaration obligatoire des atteintes à la vie privée dans le secteur privé depuis 2010