Le Commissaire à la protection de la vie privée publie une ébauche du document d’orientation pour la déclaration obligatoire d’atteinte à la vie privée en vertu de la LPRPDE

Le 17 septembre 2018, le Commissariat à la protection de la vie privée du Canada (le « CPVP ») a publié une ébauche du document d’orientation pour la déclaration obligatoire d’atteinte à la vie privée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »). Le document d’orientation vise à aider les organisations à s’acquitter de leurs obligations en matière de déclaration et de tenue de registre des atteintes en vertu du régime de déclaration obligatoire des atteintes à la protection des données de la LPRPDE, qui entrera en vigueur le 1er novembre 2018. Les organisations ont jusqu’au 2 octobre 2018 pour envoyer leur rétroaction sur cette ébauche du document d’orientation.

CONTEXTE

En 2015, des modifications à la LPRPDE (apportées par l’intermédiaire de la Loi sur la protection des renseignements personnels numériques) ont introduit des dispositions créant un régime fédéral de déclaration obligatoire des atteintes à la protection des données applicable au secteur privé canadien. En avril 2018, le gouvernement fédéral a publié le Règlement sur les atteintes aux mesures de sécurité (le « Règlement ») définissant les exigences du nouveau régime et a annoncé que le Règlement entrera en vigueur le 1er novembre 2018.

EXIGENCES DE DÉCLARATION DES ATTEINTES À LA PROTECTION DES DONNÉES

À compter du 1er novembre 2018, les organisations seront tenues d’aviser le CPVP et les personnes concernées d’une « atteinte aux mesures de sécurité » visant des renseignements personnels dont l’organisation a la gestion s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un « risque réel de préjudice grave » aux personnes concernées. D’autres organisations et institutions gouvernementales doivent également être avisées lorsque ces dernières peuvent être en mesure de réduire ou d’atténuer le risque de préjudice à l’endroit des personnes concernées. En outre, les organisations et institutions gouvernementales doivent tenir et conserver un registre de toutes les atteintes aux mesures de sécurité, y compris celles qui ne satisfont pas au critère de préjudice à des fins de déclaration et d’avis.

Une organisation qui omet de déclarer une atteinte ou de la consigner dans un registre conformément à la LPRPDE commet une infraction passible d’une amende pouvant s’élever jusqu’à 100 000 $ CA.

Pour en savoir davantage sur les exigences du régime de déclaration des atteintes à la protection des données de la LPRPDE, consultez nos Bulletins Blakes précédents : Publication du Règlement sur les atteintes aux mesures de sécurité qui entrera en vigueur en novembre 2018, Atteintes à la protection des données et signalement obligatoire des atteintes à la vie privée : leçons de l’Alberta, Consultation sur le signalement obligatoire des atteintes à la protection des données au Canada et Sanction royale pour la Loi sur la protection des renseignements personnels numériques, mais un certain retard pour les dispositions sur le signalement.

ÉBAUCHE DU DOCUMENT D’ORIENTATION

L’ébauche du document d’orientation a pour objet d’aider les organisations à s’acquitter de leurs obligations en matière de déclaration et de tenue de registre des atteintes en vertu de la LPRPDE. Malheureusement pour les parties prenantes, la plupart des renseignements figurant dans l’ébauche du document d’orientation ne sont qu’une répétition des exigences juridiques énoncées dans la LPRPDE et dans le Règlement.

Cependant, l’ébauche du document d’orientation fournit des directives supplémentaires sur certaines questions, notamment les suivantes :

Qui a la responsabilité de déclarer l’atteinte?

Malheureusement, les directives supplémentaires fournies à cet égard ne sont pas utiles. Conformément aux dispositions relatives à la déclaration d’une atteinte prévues dans la LPRPDE, une organisation doit déclarer et consigner dans un registre toute atteinte visant des renseignements personnels « dont elle a la gestion ». Selon le principe de responsabilité de la LPRPDE, une organisation qui impartit ses activités de traitement de l’information à un tiers demeure responsable des renseignements, et le fournisseur de services ne fait qu’agir à titre d’agence de traitement de l’information. L’ébauche du document d’orientation rappelle ce concept, mais souligne également que tant l’organisation ayant la gestion de l’information que le fournisseur de services ont l’obligation de déclarer les atteintes au CPVP. Ce n’est toutefois pas ce que la loi exige, et cela sera problématique pour les organisations gérant de l’information de même que pour les fournisseurs de services. Les arrangements contractuels existants pourraient notamment exiger que les fournisseurs de services avisent l’organisation gérant l’information d’une atteinte, mais leur interdire d’aviser les particuliers ou les autorités de réglementation. Ces obligations en matière de déclaration incomberaient à l’organisation gérant l’information. Cette dernière, qui assume généralement le plus grand risque sur le plan juridique, financier et de la réputation en cas d’atteinte, aura habituellement intérêt à gérer toutes les communications liées à l’incident. Les rapports multiples peuvent, entre autres, entraîner des risques de confusion pouvant compliquer toute intervention de la part du CPVP.

Quand une atteinte peut-elle présenter un risque réel de préjudice grave?

Le document d’orientation précise que les organisations devraient élaborer un cadre permettant d’évaluer le risque réel de préjudice grave, de façon à ce que toutes les atteintes soient évaluées uniformément. Il indique également les éléments servant à établir si une atteinte présente un risque réel de préjudice grave, notamment : le degré de sensibilité des renseignements personnels en cause ainsi que la probabilité que les renseignements personnels soient mal utilisés. En outre, il fournit une liste non exhaustive des types d’atteintes qui seront considérées comme « graves ». L’ébauche du document d’orientation fournit aussi une liste non exhaustive de questions qui peuvent être posées pour déterminer le degré de gravité. Bien que cette liste soit pratique, les parties prenantes s’attendaient peut-être à des directives plus détaillées à cet égard, y compris des exemples concrets de situations qui présentent ou non un risque réel de préjudice grave.

Formulaire de déclaration

Dans le cadre de la consultation, le CPVP a préparé une ébauche de formulaire de déclaration que les organisations peuvent utiliser pour déclarer une atteinte. Certains champs du formulaire sont obligatoires, alors que d’autres sont optionnels. Les champs obligatoires correspondent généralement aux renseignements devant être fournis dans la déclaration en vertu du Règlement. Certains champs (comme le type d’atteinte et la méthode utilisée pour aviser les personnes visées) présentent un menu déroulant contenant des réponses préétablies, ce qui peut être problématique, car les choix offerts ne couvrent pas toutes les réponses possibles.

Quels renseignements un registre des atteintes devrait-il contenir?

Selon l’ébauche du document d’orientation, le CPVP s’attend à ce que le registre des atteintes contienne au moins les renseignements suivants :

  • la date ou la date estimée de l’atteinte;
  • une description générale des circonstances de l’atteinte;
  • la nature des renseignements concernés par l’atteinte;
  • si l’atteinte a été déclarée ou non au CPVP et si les individus concernés ont été avisés et, si ce n’est pas le cas, une brève explication de la raison pour laquelle il a été déterminé que l’atteinte ne présentait pas de « risque réel de préjudice grave ».

Ces obligations en matière de tenue des registres sont conformes aux demandes précédentes présentées par le CPVP à Innovation, Sciences et Développement économique Canada concernant la tenue des registres. L’ébauche du document d’orientation rappelle aux organisations que ces registres (ainsi que toute déclaration faite au CPVP) n’ont pas besoin d’inclure des détails personnels, à moins qu’ils ne soient nécessaires pour expliquer la nature et le degré de sensibilité des renseignements. Les organisations auront intérêt à élaborer soigneusement le format et le contenu des registres d’atteintes, en particulier étant donné qu’elles pourraient devoir produire ces registres dans le cadre d’un litige découlant d’une atteinte.

Les organisations ont jusqu’au 2 octobre 2018 pour faire part de leurs commentaires sur ce document d’orientation.

Pour en savoir davantage, communiquez avec :

Sunny Handa                       514-982-4008
Marie-Hélène Constantin     514-982-4031
Wendy Mee                         416-863-3161
Nicole Henderson                416-863-2399
Amir Eftekharpour                416-863-2480

ou un autre membre de nos groupes Protection de la vie privée ou Cybersécurité.

Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet.

Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.

Pour obtenir l’autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l’adresse communications@blakes.com. © 2019 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.