Entrée en vigueur des lignes directrices du Commissaire à la protection de la vie privée sur la déclaration obligatoire des atteintes en vertu de la LPRPDE

Le 29 octobre 2018, le Commissariat à la protection de la vie privée du Canada (le « CPVP ») a publié le document d’orientation définitif ayant pour but d’aider les organisations à se conformer aux obligations en matière de déclaration obligatoire des atteintes et aux obligations en matière de tenue de registre en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »). Ces nouvelles obligations sont entrées en vigueur le 1er novembre 2018.

À compter du 1er novembre, les organisations assujetties à la LPRPDE seront tenues d’aviser le CPVP et les intéressés de toute « atteinte aux mesures de sécurité » qui a trait à des renseignements personnels dont l’organisation a la gestion s’il est raisonnable de croire, dans les circonstances, que cette atteinte présente un « risque réel de préjudice grave » pour les intéressés. De telles atteintes doivent également être signalées auprès de toute autre organisation ou institution gouvernementale qui serait en mesure de réduire le risque de préjudice auprès des intéressés ou d’atténuer ce préjudice. De plus, les organisations doivent tenir et conserver un registre de toutes les atteintes aux mesures de sécurité, y compris celles qui ne satisfont pas au critère de préjudice à des fins de déclaration et d’avis.

Tout manquement aux obligations de déclarer les atteintes aux mesures de sécurité ou d’en conserver un registre constitue une infraction en vertu de la LPRPDE, et peut donner lieu à une amende pouvant s’élever jusqu’à 100 000 $ CA.

Le document d’orientation du CPVP comporte des indications aux organisations sur les moyens de déterminer si une atteinte présente un « risque réel de préjudice grave ». Il comporte aussi les exigences minimales du CPVP en matière de tenue de registre des atteintes, et un formulaire intitulé Rapport d’atteinte à la LPRPDE que les organisations peuvent remplir afin de signaler une atteinte auprès du CPVP.

Ce document précise également que l’organisation qui « gère » des renseignements personnels doit se conformer aux obligations prévues par la LPRPDE en matière de déclaration et de tenue de registre, et qu’une organisation agissant uniquement à titre de fournisseur de services auprès de l’organisation principale n’est pas assujettie à ces obligations. Il s’agit d’une amélioration apportée à l’ébauche du document d’orientation, qui prévoyait que les deux organisations seraient tenues de signaler les atteintes à la LPRPDE auprès du CPVP. Une telle obligation aurait été incompatible avec le libellé de la LPRPDE et les pratiques commerciales actuelles.

Pour obtenir de plus amples renseignements au sujet des exigences du régime de la LPRPDE en matière de déclaration des atteintes à la protection des données, y compris les obligations relatives à la tenue de registre, consultez nos Bulletins Blakes précédents :

Pour en savoir davantage, communiquez avec :

Sunny Handa                       514-982-4008
Marie-Hélène Constantin     514-982-4031
Wendy Mee                          416-863-3161
Amir Eftekharpour                416-863-2480

ou un autre membre de nos groupes Protection de la vie privée ou Cybersécurité.

Blakes offre périodiquement des documents sur les tendances et les faits nouveaux en matière juridique aux personnes qui le désirent. Pour obtenir de plus amples renseignements sur nos pratiques concernant la protection des renseignements personnels, veuillez communiquer avec nous par courriel à l’adresse privacyofficer@blakes.com. Ce bulletin électronique est publié à titre informatif uniquement et ne constitue pas un avis juridique ou une opinion sur un quelconque sujet. Nous serons heureux de vous fournir des détails supplémentaires ou des conseils sur des situations particulières si vous le souhaitez.

Pour obtenir l’autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et communications de Blakes au 514-982-4000 ou par courriel à l’adresse mathieu.rompre@blakes.com. © 2016 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.