Blogue

Règles de notification des atteintes en vertu du RGPD, de la LPRPDE et de la PIPA

01 octobre 2018

Close

Écrit par Stephen D. Burns, J. Sébastien A. Gittens, Martin P.J. Kratz QC, and Kees de Ridder

Les obligations de notification des atteintes à la vie privée pour les organisations canadiennes changeront considérablement en 2018 : (i) le Règlement général sur la protection des données (RGPD) de l’Union européenne est entré en vigueur le 25 mai 2018; tandis que (ii) les nouvelles obligations de déclaration en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada entreront en vigueur le 1er novembre 2018. Pour aider les organisations canadiennes dans leurs efforts potentiels de conformité à cet égard, ce qui suit vise à fournir une comparaison non exhaustive et de haut niveau entre: (i) le RGPD; ii) la LPRPDE; ainsi que (iii) la Personal Information Protection Act of Alberta (PIPA). Bien qu’il y ait d’importantes nuances à chacun de ces cadres réglementaires, ils s’appuient largement sur des pratiques équitables en matière d’information qui se traduisent par des points communs importants entre eux. En fait, un certain nombre d’éléments de la loi canadienne sur la protection des renseignements personnels dans le secteur privé, en particulier dans la PIPA, ont anticipé certaines dispositions du RGPD.

Ce cet article se concentre sur les exigences de notification des violations. Pour une comparaison plus générale de ces textes, veuillez consulter notre article complémentaire here.

PIPEDA

 Qu’événement déclenche l’obligation? Une violation des mesures de sécurité impliquant des informations personnelles est soumise aux règles de signalement des atteintes à la vie privée. Existe-t-il une norme de seuil lorsque la déclaration est obligatoire? An organisation doit signaler toute violation des mesures de sécurité impliquant des renseignements personnels s’il est raisonnable de croire que l’atteinte crée un risque réel de préjudice important pour une personne. Est-ce que la loi définit les facteurs qui influencent le risque ou le préjudice? Definition: « les dommages importants comprennent les lésions corporelles, l’humiliation, les dommages à la réputation ou aux relations, la perte d’emploi, les opportunités commerciales ou professionnelles, la perte financière, le vol d’identité, les effets négatifs sur le dossier de crédit et les dommages ou la perte de biens. »

Les facteurs indiquant un risque réel de préjudice important sont la sensibilité des renseignements personnels en cause dans l’atteinte; et la probabilité que les renseignements personnels aient été, soient ou seront utilisés à mauvais escient. 		Est-ce que la loi définit la rapidité avec laquelle on doit signaler? La notification doit être donnée dès que possible après que l’organisation a déterminé que la violation s’est produite. Reporting to the commissioner? Yes, au commissaire fédéral à la protection de la vie privée (dans cette colonne, le « commissaire »). Est-ce que la loi prescrit ce qui doit être signalé au commissaire?

L’avis doit contenir :

(a) une description des circonstances de la violation;

(b) le jour où, ou la période au cours de laquelle, la violation s’est produite;

(c) une description des renseignements personnels impliqués dans l’atteinte;

(d) une estimation du nombre de personnes pour lesquelles il existe un risque réel de préjudice important;

(e) une description de toutes les mesures que l’organisation a prises pour réduire le risque de préjudice;

(f) une description de toutes les mesures que l’organisation a prises pour informer les individus de l’atteinte; et

g) le nom et les coordonnées d’une personne qui peut répondre, au nom de l’organisation, aux questions du commissaire au sujet de l’atteinte.		 Qu’est-ce que la sanction prend si l’on ne fait pas rapport au commissaire? Le défaut de donner un avis au commissaire constitue une infraction et peut entraîner une amende pouvant aller jusqu’à 100 000 $ pour un organisme.

La Cour peut ordonner à l’organisation : de corriger ses pratiques; et publier un avis de toute mesure prise pour corriger ses pratiques. 		Reporting to the individual? An organisation doit aviser une personne de toute violation des mesures de sécurité mettant en cause les renseignements personnels de l’individu sous le contrôle de l’organisation s’il est raisonnable dans les circonstances de croire que l’atteinte crée un risque réel de préjudice important pour la personne. Est-ce que la loi traite de la déclaration aux autres? Une organisation qui avise une personne d’une violation des mesures de sécurité doit aviser toute autre organisation, y compris les institutions gouvernementales, de la violation si l’organisation notifiante croit que l’autre organisation concernée peut être en mesure de réduire le risque de préjudice. Est-ce que la loi prescrit ce qui doit être signalé à l’individu? L’avis doit inclure :

  • une description des circonstances de la violation;
  • le jour ou la période au cours de laquelle la violation s’est produite;
  • une description des renseignements personnels qui sont à l’objet de l’atteinte;
  • une description des mesures que l’organisation a prises pour réduire le risque ou atténuer tout préjudice pour la personne touchée;
  • une description des mesures que la personne touchée pourrait prendre pour réduire le risque ou atténuer tout préjudice découlant de l’atteinte;
  • un numéro sans frais ou une adresse électronique que la personne touchée peut utiliser pour obtenir de plus amples renseignements sur l’atteinte; et
  • des renseignements sur le processus interne de traitement des plaintes de l’organisation et sur le droit de la personne touchée, en vertu de la LPRPDE, de déposer une plainte auprès du commissaire.
L’avis doit inclure:

  • une description des circonstances de la violation;
  • la date ou la période pendant laquelle la violation s’est produite;
  • une description des renseignements personnels impliqués dans l’atteinte;
  • une description des mesures que l’organisation a prises pour réduire le risque de préjudice; et
  • contact information for a person who can answer, on behalf of the organization, questions about the loss or unauthorized access or disclosure.
Yes, à condition que la notification de la ou des personnes impliquerait un « effort disproportionné ». Notification may be given to an individual indirectly if the Commissioner allows so.

La personne concernée a le droit de :

  • déposer une plainte auprès d’une autorité de surveillance;
  • un recours judiciaire efficace contre un contrôleur ou un sous-traitant (lorsque l’autorité de surveillance ne traite pas la plainte dans un délai de trois mois); et
  • recevoir une indemnisation pour les dommages matériels ou non matériels subis.
 Le commissaire peut rendre toute ordonnance qu’il juge appropriée.

La Cour peut ordonner à l’organisation de verser des dommages-intérêts au plaignant pour la perte ou le préjudice.
Le responsable du traitement doit documenter toute violation de données personnelles, y compris les faits relatifs à la violation, ses effets et les mesures correctives prises. Cette documentation permettra à l’autorité de surveillance de vérifier la conformité au RGPD. PIPA n’impose aucune exigence spécifique pour conserver les enregistrements liés aux violations.

Un avis à la personne n’est requis dans aucune des circonstances suivantes :

  • le responsable du traitement a mis en œuvre des mesures de protection techniques et organisationnelles appropriées, et ces mesures ont été appliquées aux données personnelles affectées par la violation de données, en particulier celles qui rendent les données personnelles inintelligibles pour toute personne qui n’est pas autorisée à y accéder, telles que le cryptage;
  • le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque pour les droits des personnes concernées n’est plus susceptible de se matérialiser; ou
  • cela impliquerait un effort disproportionné, auquel cas il devrait plutôt y avoir une communication publique ou une mesure similaire par laquelle les personnes concernées sont informées d’une manière tout aussi efficace.
 L’organisation n’est pas tenue d’aviser le commissaire s’il n’y a pas de risque réel de préjudice important pour une personne en raison de la perte ou de l’accès ou de la divulgation non autorisés de renseignements personnels.

L’organisation n’est pas tenue de donner un avis à la personne à moins que le commissaire ne l’ordonne.

Si vous souhaitez en savoir plus sur ce que votre entreprise peut faire pour se préparer à une réponse obligatoire aux atteintes à la vie privée au Canada, les membres de notre équipe de confidentialité peuvent vous aider. Si vous souhaitez en savoir plus sur l’impact potentiel du RGPD sur votre entreprise, les membres de notre équipe de confidentialité peuvent vous aider et, le cas échéant, vous diriger vers des conseils européens expérimentés.

 

Bibliographie

Règlement général sur la protection des données, Règlement de l’UE 2016/679: http://data.europa.eu/eli/reg/2016/679/oj
Règlement sur la Loi sur la protection des renseignements personnels, Alb Reg 366/2003: http://canlii.ca/t/83gh
Loi de 2003 sur la protection des renseignements personnels, LSC, c P-6.5 : http://canlii.ca/t/81qp
Loi sur la protection des renseignements personnels et les documents électroniques, LS 2000, c 5 [LPRPDE] (en vigueur) : http://canlii.ca/t/7vwj
LPRPDE (modifications en attente) : http://laws.justice.gc.ca/eng/acts/P-8.6/nifnev.html
LPRPDE (règlements en attente) : http://laws.justice.gc.ca/eng/regulations/SOR-2018-64/page-1.html

Authors

Liens connexes



View Full Mobile Experience