Écrit par Sebastien Gittens, Stephen Burns, and Martin Kratz QC

Le gouvernement fédéral canadien a publié le projet de Règlement sur les atteintes aux mesures de sécurité en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) le 2 septembre 2017.

N’est pas encore en vigueur, ce règlement énonce ce qui suit :

1. le contenu, la forme et la manière d’un rapport au commissaire d’une violation en vertu de la LPRPDE;
2. le contenu de la notification aux personnes touchées;
3. le mode de notification directe;
4. les circonstances permettant une notification indirecte;
5. modalités de notification indirecte; et
6. les exigences en matière de tenue de dossiers.

Introduction

À l’heure actuelle, la LPRPDE définit la « violation des mesures de sécurité » comme la perte ou l’accès ou la communication non autorisés de renseignements personnels qui résulte soit de la violation des mesures de sécurité d’une organisation, soit de l’omission d’une organisation d’établir ces mesures de protection.

La LPRPDE et le projet de règlement exigeront que les organisations signalent au commissaire et à la personne en question lorsqu’il est raisonnable, dans les circonstances, de croire que l’atteinte crée un « risque réel de préjudice grave » pour une personne.  La LPRPDE énonce les facteurs pertinents à prendre en considération pour déterminer s’il existe un « risque réel de préjudice grave » et ce qui constitue un « préjudice important », y compris la sensibilité des renseignements personnels en cause dans l’atteinte, la probabilité que les renseignements personnels aient été, soient ou seront utilisés à mauvais escient, et d’autres facteurs déterminés par règlement. La LPRPDE prévoit également que l’avis doit être donné dès que possible après que l’organisation a déterminé que l’atteinte s’est produite.

Les organisations doivent également aviser d’autres organisations et institutions gouvernementales si ces organisations ou institutions peuvent être en mesure d’atténuer les dommages.

Ces obligations et d’autres sont appuyées par des mesures de conformité et d’application de la loi, y compris la capacité du commissaire de conclure des « ententes de conformité » avec des organisations et de demander à la Cour une ordonnance enjoignant à une organisation de s’y conformer.

Contenu, forme et modalités d’un rapport

Le projet de règlement stipule que tout rapport au commissaire doit contenir :

1. une description des circonstances et de la cause de la violation;
2. la date ou la période de l’atteinte;
3. une description des renseignements personnels qui sont à l’objet de l’atteinte;
4. une estimation du nombre de personnes exposées à un « risque réel de préjudice important »;
5. une description de ce que l’organisation a fait pour réduire et atténuer les préjudices;
6. une description de ce que l’organisation a ou a l’intention de faire pour aviser chaque personne touchée; et
7. les coordonnées d’une personne qui peut répondre aux questions du commissaire au sujet de l’atteinte.

Contenu et modalités d’une notification

De même, le projet de règlement exigera que l’avis à une personne touchée contienne :

1. une description des circonstances de la violation;
2. la date ou la période de l’atteinte;
3. une description des renseignements personnels qui sont à l’objet de l’atteinte;
4. une description de ce que l’organisation a fait pour réduire et atténuer les préjudices;
5. une description de ce que la personne touchée pourrait faire pour réduire et atténuer le préjudice;
6. un numéro sans frais ou une adresse électronique que la personne touchée peut utiliser pour obtenir de plus amples renseignements sur l’atteinte; et
7. des renseignements sur le processus interne de traitement des plaintes de l’organisation et sur le droit de la personne touchée, en vertu de la LPRPDE, de déposer une plainte auprès du commissaire.

Le projet de règlement fournit également, entre autres, des détails sur la façon dont les organisations peuvent aviser directement les personnes touchées et sur le moment où les organisations peuvent se fier à un avis indirect.

Exigences en matière de tenue de dossiers

Enfin, si le Règlement entre en vigueur, les organisations seront tenues de tenir un registre de chaque violation des mesures de sécurité pendant 24 mois après la journée où elles déterminent que l’atteinte s’est produite.

Le gouvernement fédéral recueillera des commentaires sur l’ébauche du règlement jusqu’au 2 octobre 2017. La version définitive du Règlement devrait entrer en vigueur une fois que le gouvernement a tenu compte de cette rétroaction. Entre-temps, le projet de règlement donne des précisions très attendues en ce qui concerne les exigences de notification des atteintes envisagées par le gouvernement fédéral en vertu de la LPRPDE.