Publication du Règlement sur les atteintes aux mesures de sécurité qui entrera en vigueur en novembre 2018

La version finale du Règlement sur les atteintes aux mesures de sécurité (le « Règlement ») pris en application de la Loi sur la protection des renseignements personnels et les documents électroniques (Canada) (la « LPRPDE ») a été adoptée le 26 mars 2018 et publiée le 18 avril 2018. Le Règlement énonce les exigences prescrites en matière de déclaration obligatoire des atteintes à la protection des données, qui entreront en vigueur le 1er novembre 2018.

CONTEXTE

En 2015, des modifications à la LPRPDE (apportées par l’intermédiaire de la Loi sur la protection des renseignements personnels numériques) ont introduit des dispositions créant un régime fédéral de déclaration obligatoire des atteintes à la protection des données applicable au secteur privé canadien. Toutefois, la date d’entrée en vigueur de ces dispositions a été reportée jusqu’à l’adoption du règlement qui énonce les exigences prescrites. Un projet de règlement a été publié aux fins de commentaires en septembre 2017. La version finale du Règlement, publiée le 18 avril 2018, est essentiellement similaire au projet de règlement. Pour en savoir davantage, consultez nos Bulletins Blakes précédents : Atteintes à la protection des données et signalement obligatoire des atteintes à la vie privée : leçons de l’Alberta, Consultation sur le signalement obligatoire des atteintes à la protection des données au Canada et Sanction royale pour la Loi sur la protection des renseignements personnels numériques, mais un certain retard pour les dispositions sur le signalement.

EXIGENCES DE DÉCLARATION DES ATTEINTES À LA PROTECTION DES DONNÉES

En vertu de la LPRPDE, une organisation qui subit une atteinte aux mesures de sécurité relativement à des renseignements personnels dont elle assure la gestion, lorsqu’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un « risque réel de préjudice grave » à l’endroit des personnes concernées, doit :

  1. signaler cette atteinte au commissaire à la protection de la vie privée du Canada (le « commissaire »);
  2. aviser les personnes concernées;
  3. aviser les institutions gouvernementales, toute subdivision d’une telle institution ou d’autres organisations si l’organisation croit que l’institution (ou qu’une subdivision de celle-ci) ou qu’une autre organisation peut être en mesure de réduire ou d’atténuer le risque de préjudice à l’endroit des personnes concernées.

La LPRPDE exige également que les organisations conservent et tiennent un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elles ont la gestion, même celles qui ne satisfont pas au critère de préjudice aux fins de déclaration.

Une organisation qui omet sciemment de déclarer une atteinte ou de la consigner dans un registre conformément à la LPRPDE commet une infraction passible d’une amende pouvant s’élever jusqu’à 100 000 $ CA.

La LPRPDE définit une « atteinte aux mesures de sécurité » comme la communication non autorisée ou perte de renseignements personnels, ou un accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité d’une organisation qui ont trait à des renseignements personnels ou du fait que ces mesures n’ont pas été mises en place.

Le seuil de déclaration d’un « risque réel de préjudice grave » est le même que celui actuellement prévu en vertu de la Personal Information Protection Act de l’Alberta (la « PIPA de l’Alberta »), seule province qui oblige déjà le secteur privé à déclarer les atteintes à la protection des données dans un contexte autre que celui des soins de santé. La LPRPDE dresse une liste non exhaustive des préjudices qui sont considérés « graves », notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte de possibilités d’emploi, d’occasions d’affaires ou d’activités professionnelles, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit et le dommage aux biens ou leur perte. Elle comprend également une liste non exhaustive de facteurs qui sont pertinents pour évaluer le risque réel de préjudice grave, dont le degré de sensibilité des renseignements personnels en cause et la probabilité que les renseignements personnels aient été mal utilisés ou soient en train ou sur le point de l’être. Bien que ces préjudices et que ces facteurs d’évaluation du risque ne soient pas expressément énoncés dans la PIPA de l’Alberta, ils sont conformes aux indications publiées par le Commissaire à l’information et à la protection de la vie privée de l’Alberta (l’« IPC de l’Alberta »).

Par ailleurs, l’interprétation par l’IPC de l’Alberta du « risque réel de préjudice grave » a été critiquée, car elle irait au-delà de la règle d’interprétation des lois « dans leur contexte global en suivant le sens ordinaire et grammatical qui s’harmonise avec l’esprit de la loi, l’objet de la loi et l’intention du législateur » (Rizzo & Rizzo Shoes Ltd. (Re)). Par conséquent, bien que les précédents de l’Alberta soient pertinents, nous nous attendons à ce qu’ils ne soient pas automatiquement suivis par le commissaire fédéral.

Il faut également noter que, contrairement à bon nombre des exigences américaines de déclaration des atteintes à la protection des données, la définition de « renseignements personnels » dans la LPRPDE est très large, et que la définition de préjudice, dans la loi canadienne, englobe les préjudices non économiques.

Déclaration au commissaire

La LPRPDE précise que la déclaration au commissaire doit être faite le plus tôt possible une fois que l’organisation a conclu qu’il y a eu atteinte. Le Règlement établit les modalités selon lesquelles la déclaration doit être faite, de même que les renseignements à inclure dans la déclaration.

En particulier, le Règlement exige que la déclaration soit écrite et transmise au commissaire par tout moyen de communication sécurisé, et qu’elle contienne les renseignements suivants :

  • Les circonstances de l’atteinte et, si elle est connue, la cause de l’atteinte.
  • La date ou la période où il y a eu atteinte ou, si elle n’est pas connue, une approximation de la période.
  • La nature des renseignements personnels visés par l’atteinte, pour autant qu’elle soit connue.
  • Le nombre de personnes visées par l’atteinte ou, s’il n’est pas connu, une approximation de ce nombre.
  • Les mesures que l’organisation a prises afin de réduire le risque de préjudice à l’endroit des personnes concernées qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice.
  • Les mesures que l’organisation a prises ou qu’elle entend prendre afin d’aviser les personnes concernées de l’atteinte, en application de la Loi.
  • Le nom et les coordonnées d’une personne qui peut répondre au nom de l’organisation aux questions du commissaire au sujet de l’atteinte.

Le Règlement prévoit qu’une organisation peut ne pas disposer des renseignements complets au moment de faire une déclaration et permet expressément à une organisation de transmettre tout nouveau renseignement au commissaire après la soumission de la déclaration initiale. Il s’agit d’une amélioration notable par rapport au projet de règlement puisque, bien souvent, les organisations ne possèdent pas les renseignements complets au moment où la déclaration doit être transmise. La version finale du Règlement fait également référence à un préjudice qui « pourrait résulter de l’atteinte » plutôt qu’à un préjudice « résultant de l’atteinte » (selon le libellé du projet de règlement). La formulation utilisée dans la version finale est plus pratique puisque les préjudices potentiels sont souvent hypothétiques lorsque l’atteinte est constatée pour la première fois et qu’il est possible qu’ils ne se matérialisent pas.

Les renseignements devant être inclus dans une déclaration sont très proches de ceux qui sont actuellement requis en Alberta, sauf pour quelques différences notables. Par exemple, le Règlement exige que la cause de l’atteinte soit, si elle est connue, signalée au commissaire, alors qu’il n’est pas obligatoire de l’indiquer dans la déclaration soumise à l’IPC de l’Alberta. D’autre part, une déclaration à l’IPC de l’Alberta doit contenir une évaluation du risque de préjudice à l’endroit des personnes concernées, alors qu’il n’est pas requis d’inclure une telle évaluation, très difficile à réaliser, dans une déclaration au commissaire.

Avis aux personnes concernées

La LPRPDE exige que l’avis soit bien en vue et que celui-ci soit directement fourni aux personnes concernées (sauf dans des circonstances prescrites) et le plus tôt possible une fois que l’organisation a conclu qu’il y a eu atteinte. De plus, la Loi exige que l’avis contienne suffisamment de renseignements pour permettre à la personne de comprendre l’importance, pour elle, de l’atteinte et de prendre, si cela est possible, des mesures pour réduire le risque de préjudice ou d’atténuer un tel préjudice. Le Règlement établit les modalités selon lesquelles un avis direct doit être donné, les circonstances et les modalités selon lesquelles un avis indirect peut être donné, ainsi que l’information devant être contenue dans l’avis.

En particulier, le règlement exige que les renseignements suivants soient inclus dans l’avis :

  • Les circonstances de l’atteinte.
  • La date ou la période où il y a eu atteinte ou, si elle n’est pas connue, une approximation de la période.
  • La nature des renseignements personnels visés par l’atteinte, pour autant qu’elle soit connue
  • Les mesures que l’organisation a prises afin de réduire le risque de préjudice à l’endroit des personnes concernées qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice.
  • Les mesures que les personnes concernées peuvent prendre afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice.
  • Les coordonnées permettant à la personne concernée de se renseigner davantage au sujet de l’atteinte.

L’avis direct peut être donné à la personne concernée en personne, par téléphone, par la poste, par courriel ou par tout autre moyen de communication qu’une personne raisonnable estimerait acceptable dans les circonstances. Cette souplesse est importante, car elle permet aux organisations ne disposant pas des coordonnées complètes des personnes concernées de recourir à des moyens de communication non traditionnels.

Un avis indirect est requis lorsque le fait de donner l’avis directement est susceptible de causer un préjudice accru à la personne concernée ou de représenter une difficulté excessive pour l’organisation, ou lorsque l’organisation n’a pas les coordonnées de la personne concernée. Il doit être donné indirectement par une communication publique ou par toute mesure similaire dont on peut raisonnablement s’attendre à ce qu’elle permette de joindre la personne concernée.

Les exigences relatives aux avis sont similaires à celles prévues en Alberta. Une différence importante est que l’IPC de l’Alberta a le pouvoir d’ordonner à une organisation d’aviser les personnes concernées, alors que la LPRPDE n’accorde pas au commissaire le pouvoir de rendre des ordonnances. En outre, la PIPA de l’Alberta est également moins contraignante relativement aux modalités selon lesquelles un avis doit être donné.

Tenue d’un registre

La LPRPDE oblige les organisations à tenir et à conserver un registre de toutes les atteintes aux mesures de sécurité, y compris celles qui ne satisfont pas au critère de préjudice aux fins de déclaration et d’avis. Ces registres doivent être fournis au commissaire sur demande de celui-ci. Le Règlement précise que le registre doit être conservé pendant 24 mois à compter de la date à laquelle l’organisation a conclu qu’il y a eu atteinte, et qu’il doit contenir suffisamment de renseignements pour permettre au commissaire de vérifier la conformité aux dispositions de la Loi relatives aux déclarations d’atteintes.

L’exigence de tenir et de conserver un registre de toute atteinte (qui n’est pas une exigence en vertu de la PIPA de l’Alberta) constitue peut-être l’un des aspects les plus problématiques du régime de déclaration des atteintes de la LPRPDE, et elle obligera les organisations à mettre en place des politiques et des procédures pour s’assurer que toutes les atteintes (peu importe leur importance) sont déclarées et consignées de façon uniforme et centralisée.

Pour en savoir davantage, communiquez avec :

Sunny Handa                                         514-982-4008 
Wendy Mee                                            416-863-3161
Catherine Beagan Flood                        416-863-2269

ou un autre membre de notre groupe Protection de la vie privée ou Cybersécurité.

 

Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet.

Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.

Pour obtenir l’autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l’adresse communications@blakes.com. © 2019 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.