Un projet de règlement sur le point de rendre obligatoire la déclaration des atteintes à la protection des données

5 septembre 2017

Plus de deux ans après l’adoption de modifications de la loi fédérale régissant la protection des renseignements personnels dans le secteur privé, le gouvernement fédéral a publié un projet de règlement sur les atteintes à la protection des données qui rendrait bientôt obligatoire la déclaration des atteintes à la protection des données dans la plupart des provinces du Canada.

La modification de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui rend obligatoire la notification des atteintes à la protection des données, a été adoptée en juin 2015. Toutefois, ces dispositions sur la notification n’ont pas été proclamées en vigueur étant donné que les règlements connexes ne sont pas encore définitifs.

Dans l’ensemble, les exigences du projet de règlement, qui suit en grande partie les directives existantes du commissaire à la protection de la vie privée et les exigences législatives provinciales, sont peu surprenantes et apportent peu de nouveauté. En général, le règlement spécifie le type de renseignements à indiquer dans les déclarations et avis d’atteintes à la protection des données, fournit des directives relativement au formulaire d’avis qui sera exigé et établit une période de conservation obligatoire des registres concernant les atteintes à la protection des données.

Une fois qu’elles auront été proclamées en vigueur, les dispositions de la LPRPDE sur les atteintes à la protection des données exigeront que les organisations déclarent au Commissariat à la protection de la vie privée (CPVP) les atteintes aux mesures de sécurité qui ont trait aux renseignements personnels dont elles ont la gestion, s’il est raisonnable de croire dans les circonstances que l’atteinte présente un risque réel de préjudice grave pour l’intéressé.

Comme il est proposé dans le projet de Règlement concernant les atteintes aux mesures de sécurité, ces déclarations doivent être faites par écrit et contenir certains renseignements réglementaires concernant les circonstances de l’atteinte, y compris la nature et la portée des renseignements personnels visés, le nombre d’individus touchés, les mesures prises par l’organisation pour atténuer le préjudice et les mesures prises pour aviser les intéressés.

En plus de la déclaration de l’atteinte au CPVP, la LPRPDE exige au même titre que les organisations avisent les intéressés des atteintes aux mesures de sécurité relatives à leurs renseignements personnels, évaluées par rapport au seuil qui rend obligatoire la déclaration au CPVP, c’est‑à‑dire le risque réel de préjudice grave auquel ils sont exposés. Le projet de règlement exigera également que l’avis contienne les renseignements réglementaires, semblables à ceux exigés dans les déclarations au CPVP.

La loi favorise la notification directe, mais le projet de règlement permet également la notification indirecte dans certaines circonstances, comme lorsque la notification directe causerait davantage de préjudices aux personnes concernées, que l’organisation n’a pas les coordonnées à jour de la personne concernée ou que les coûts de la notification directe sont excessifs. L’avis direct peut être donné par courriel, par lettre, par téléphone ou en personne, tandis que l’avis indirect peut être donné par des annonces ou des messages sur le Web.

La LPRPDE exige également que les organisations tiennent un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elles ont la gestion – même celles qui n’exigeraient pas de notification ni de déclaration. Cette obligation a pour but de permettre au CPVP de vérifier sur demande la conformité aux exigences de la LPRPDE sur les mesures de sécurité. Selon le projet de règlement, ces registres doivent être conservés seulement 24 mois.

La LPRPDE s’applique aux entreprises fédérales et aux activités commerciales dans les provinces où aucune loi ne régit la protection des renseignements personnels dans le secteur privé. Seulement trois provinces ont adopté pareille loi : l’Alberta, la Colombie‑Britannique et le Québec. La Personal Information Protection Act de l’Alberta contient des obligations de déclaration des atteintes à la protection des données depuis 2010. On s’attend fortement à ce que la Colombie‑Britannique et le Québec exigent la déclaration des atteintes, mais aucun projet de loi visant à modifier les lois qui régissent la protection des renseignements personnels dans le secteur privé n’a été déposé dans ces provinces pour obliger les organisations à déclarer les atteintes à la protection des données.

Les parties intéressées peuvent faire part de leurs commentaires sur le projet de règlement fédéral d’ici le 2 octobre 2017. Le gouvernement a indiqué que, une fois que le règlement sera définitif, le règlement et les dispositions de la LPRPDE sur la notification des atteintes entreront en vigueur à une date qui sera fixée par proclamation. Toutefois, le règlement définitif entrera en vigueur quelque temps après sa publication pour que les organisations puissent se préparer à leurs nouvelles obligations.

MISE EN GARDE : Cette publication a pour but de donner des renseignements généraux sur des questions et des nouveautés d’ordre juridique à la date indiquée. Les renseignements en cause ne sont pas des avis juridiques et ne doivent pas être traités ni invoqués comme tels. Veuillez lire notre mise en garde dans son intégralité au www.stikeman.com/avis-juridique.

Restez au fait grâce à Notre savoir