Ce site a recours à des fichiers témoins (cookies) dans le but de vous offrir les services les plus adaptés et les plus personnalisés possible. En utilisant ce site, vous consentez à l’utilisation de fichiers témoins. Veuillez lire notre avis sur les fichiers témoins (http://www2.deloitte.com/ca/fr/avis-juridique/temoins.html) pour obtenir de plus amples informations sur la nature des fichiers témoins que nous utilisons et sur la façon de supprimer ou de bloquer ces fichiers.
Certaines des fonctions de notre site ne sont pas prises en charge par votre version de navigateur, ou vous avez peut-être sélectionné le mode de compatibilité. Veuillez désactiver le mode de compatibilité, télécharger Internet Explorer 9 ou une version plus récente, ou essayer d’utiliser un autre navigateur tel que Google Chrome ou Mozilla Firefox.

Exigences de déclaration des atteintes à la protection des données

  • Canada Image

02 sept 2017

Le 2 septembre 2017, le gouvernement du Canada a publié dans la Gazette du Canada un projet de nouveau règlement (le Règlement) qui fait le point et apporte des précisions sur les exigences de déclaration obligatoire des atteintes à la protection des données (les exigences de déclaration des atteintes à la protection des données) en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Les exigences de déclaration des atteintes à la protection des données ont été établies en juin 2015 mais ne sont pas encore en vigueur.

Par suite de la mise en œuvre de la section 1.1 de la LPRPDE, une organisation qui subit une atteinte à la protection des données devra s'acquitter d'un certain nombre d'obligations, y compris :

  • déterminer si l’atteinte présente un « risque réel de préjudice grave » à l’endroit de tout individu dont les renseignements personnels étaient visés par l’atteinte  (« intéressés ») en réalisant pour ce faire une évaluation des risques;
  • le plus tôt possible, aviser les individus de toute atteinte qu’elle estime présenter un risque réel de préjudice grave à leur endroit et signaler cette atteinte au commissaire à la protection de la vie privée du Canada (le commissaire);
  • aviser toute autre organisation susceptible de pouvoir atténuer le risque de préjudice aux intéressés;
  • tenir un dossier de toute atteinte à la protection des données dont l’organisation est au courant et le fournir au commissaire à sa demande.

Le Règlement exigera que les organisations conservent dans un registre des atteintes à la protection des données suffisamment d’information pour faire la preuve qu’elles suivent les intrusions dans les données qui débouchent sur une atteinte à la sécurité des renseignements personnels et qu'elles conservent les dossiers d’atteintes à la protection des données pendant au moins 24 mois.

Consulter un article sur le site web de Lexology (en anglais) et le Règlement sur le site web du gouvernement du Canada.

Correction list for hyphenation

These words serve as exceptions. Once entered, they are only hyphenated at the specified hyphenation points. Each word should be on a separate line.