Gouvernement du Canada : Projet de nouveau règlement sur la déclaration obligatoire des atteintes à la protection des données en vertu de la LPRPDE [Terminé]

Date de publication :

Le 26 mars 2018

Date d’entrée en vigueur :

Le régime de déclaration obligatoire des atteintes à la protection des données en vertu de la LPRPDE entrera en vigueur le 1er novembre 2018.

Dernière mise à jour :

Mars 2018

Vue d’ensemble

Le 26 mars 2018, le gouvernement canadien a annoncé que d'importants changements à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) entreront en vigueur le 1er novembre 2018. Ces changements obligeront les organisations du Canada et étrangères assujetties à la LPRPDE, entre autres choses, a) à aviser les personnes d'atteinte à la vie privée; b) à signaler de telles atteintes au Commissariat à la protection de la vie privée du Canada et à d'autres organismes dans certaines circonstances; et c) à tenir certains registres d'atteintes à la vie privée.

Les dispositions qui entreront en vigueur sont un mélange de dispositions prescrites dans la LPRPDE et d'une série de règles portant sur des questions telles que le contenu des avis et les registres des atteintes à la vie privée. Les nouvelles règles auront d'importantes répercussions en matière de conformité et de risque juridique ainsi que autres effets connexes pour les organisations qui traitent des renseignements sur les Canadiens et Canadiennes, notamment :

Exigences de déclaration des atteintes à la protection des données

En vertu de la LPRPDE, une organisation qui subit une atteinte aux mesures de sécurité relativement à des renseignements personnels dont elle assure la gestion, lorsqu’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un « risque réel de préjudice grave » à l’endroit des personnes concernées, doit :

  1. signaler cette atteinte au commissaire à la protection de la vie privée du Canada (le « commissaire »);
  2. aviser les personnes concernées;
  3. aviser les institutions gouvernementales, toute subdivision d’une telle institution ou d’autres organisations si l’organisation croit que l’institution (ou qu’une subdivision de celle-ci) ou qu’une autre organisation peut être en mesure de réduire ou d’atténuer le risque de préjudice à l’endroit des personnes concernées.

La LPRPDE exige également que les organisations conservent et tiennent un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elles ont la gestion, même celles qui ne satisfont pas au critère de préjudice aux fins de déclaration.

Une organisation qui omet sciemment de déclarer une atteinte ou de la consigner dans un registre conformément à la LPRPDE commet une infraction passible d’une amende pouvant s’élever jusqu’à 100 000 $ CA.

La LPRPDE définit une « atteinte aux mesures de sécurité » comme la communication non autorisée ou perte de renseignements personnels, ou un accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité d’une organisation qui ont trait à des renseignements personnels ou du fait que ces mesures n’ont pas été mises en place.

Déclaration au commissaire

La LPRPDE précise que la déclaration au commissaire doit être faite le plus tôt possible une fois que l’organisation a conclu qu’il y a eu atteinte. Le Règlement établit les modalités selon lesquelles la déclaration doit être faite, de même que les renseignements à inclure dans la déclaration.

En particulier, le Règlement exige que la déclaration soit écrite et transmise au commissaire par tout moyen de communication sécurisé, et qu’elle contienne les renseignements suivants :

  • Les circonstances de l’atteinte et, si elle est connue, la cause de l’atteinte.
  • La date ou la période où il y a eu atteinte ou, si elle n’est pas connue, une approximation de la période.
  • La nature des renseignements personnels visés par l’atteinte, pour autant qu’elle soit connue.
  • Le nombre de personnes visées par l’atteinte ou, s’il n’est pas connu, une approximation de ce nombre.
  • Les mesures que l’organisation a prises afin de réduire le risque de préjudice à l’endroit des personnes concernées qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice.
  • Les mesures que l’organisation a prises ou qu’elle entend prendre afin d’aviser les personnes concernées de l’atteinte, en application de la Loi.
  • Le nom et les coordonnées d’une personne qui peut répondre au nom de l’organisation aux questions du commissaire au sujet de l’atteinte.

Le Règlement prévoit qu’une organisation peut ne pas disposer des renseignements complets au moment de faire une déclaration et permet expressément à une organisation de transmettre tout nouveau renseignement au commissaire après la soumission de la déclaration initiale. Il s’agit d’une amélioration notable par rapport au projet de règlement puisque, bien souvent, les organisations ne possèdent pas les renseignements complets au moment où la déclaration doit être transmise. La version finale du Règlement fait également référence à un préjudice qui « pourrait résulter de l’atteinte » plutôt qu’à un préjudice « résultant de l’atteinte » (selon le libellé du projet de règlement). La formulation utilisée dans la version finale est plus pratique puisque les préjudices potentiels sont souvent hypothétiques lorsque l’atteinte est constatée pour la première fois et qu’il est possible qu’ils ne se matérialisent pas.

Avis aux personnes concernées

La LPRPDE exige que l’avis soit bien en vue et que celui-ci soit directement fourni aux personnes concernées (sauf dans des circonstances prescrites) et le plus tôt possible une fois que l’organisation a conclu qu’il y a eu atteinte. De plus, la Loi exige que l’avis contienne suffisamment de renseignements pour permettre à la personne de comprendre l’importance, pour elle, de l’atteinte et de prendre, si cela est possible, des mesures pour réduire le risque de préjudice ou d’atténuer un tel préjudice. Le Règlement établit les modalités selon lesquelles un avis direct doit être donné, les circonstances et les modalités selon lesquelles un avis indirect peut être donné, ainsi que l’information devant être contenue dans l’avis.

En particulier, le règlement exige que les renseignements suivants soient inclus dans l’avis :

  • Les circonstances de l’atteinte.
  • La date ou la période où il y a eu atteinte ou, si elle n’est pas connue, une approximation de la période.
  • La nature des renseignements personnels visés par l’atteinte, pour autant qu’elle soit connue
  • Les mesures que l’organisation a prises afin de réduire le risque de préjudice à l’endroit des personnes concernées qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice.
  • Les mesures que les personnes concernées peuvent prendre afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice.
  • Les coordonnées permettant à la personne concernée de se renseigner davantage au sujet de l’atteinte.

L’avis direct peut être donné à la personne concernée en personne, par téléphone, par la poste, par courriel ou par tout autre moyen de communication qu’une personne raisonnable estimerait acceptable dans les circonstances. Cette souplesse est importante, car elle permet aux organisations ne disposant pas des coordonnées complètes des personnes concernées de recourir à des moyens de communication non traditionnels.

Un avis indirect est requis lorsque le fait de donner l’avis directement est susceptible de causer un préjudice accru à la personne concernée ou de représenter une difficulté excessive pour l’organisation, ou lorsque l’organisation n’a pas les coordonnées de la personne concernée. Il doit être donné indirectement par une communication publique ou par toute mesure similaire dont on peut raisonnablement s’attendre à ce qu’elle permette de joindre la personne concernée.

Tenue d’un registre

La LPRPDE oblige les organisations à tenir et à conserver un registre de toutes les atteintes aux mesures de sécurité, y compris celles qui ne satisfont pas au critère de préjudice aux fins de déclaration et d’avis. Ces registres doivent être fournis au commissaire sur demande de celui-ci. Le Règlement précise que le registre doit être conservé pendant 24 mois à compter de la date à laquelle l’organisation a conclu qu’il y a eu atteinte, et qu’il doit contenir suffisamment de renseignements pour permettre au commissaire de vérifier la conformité aux dispositions de la Loi relatives aux déclarations d’atteintes.

En savoir davantage

Pour en savoir davantage, consultez les résumés de :

Le Règlement prévoit qu’une organisation peut ne pas disposer des renseignements complets au moment de faire une déclaration et permet expressément à une organisation de transmettre tout nouveau renseignement au commissaire après la soumission de la déclaration initiale. Il s’agit d’une amélioration notable par rapport au projet de règlement puisque, bien souvent, les organisations ne possèdent pas les renseignements complets au moment où la déclaration doit être transmise. La version finale du Règlement fait également référence à un préjudice qui « pourrait résulter de l’atteinte » plutôt qu’à un préjudice « résultant de l’atteinte » (selon le libellé du projet de règlement). La formulation utilisée dans la version finale est plus pratique puisque les préjudices potentiels sont souvent hypothétiques lorsque l’atteinte est constatée pour la première fois et qu’il est possible qu’ils ne se matérialisent pas.

Développements récents

Mars 2018

Le 26 mars 2018, le gouvernement canadien a annoncé que d'importants changements à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) entreront en vigueur le 1er novembre 2018.

Septembre 2017

Le 2 septembre 2017, le gouvernement du Canada a publié dans la Gazette du Canada un nouveau projet de règlement (le Règlement).

Juin 2015

Le 18 juin 2015, la Loi sur la protection des renseignements personnels numériques (aussi appelée projet de loi S-4) a modifié la LPRDPE d’un certain nombre de façons. L’un des changements clés a été l’établissement d’exigences de déclaration obligatoire des atteintes à la protection des données. Ces exigences ont été établies en juin 2015, mais ne sont pas encore en vigueur.

Correction list for hyphenation

These words serve as exceptions. Once entered, they are only hyphenated at the specified hyphenation points. Each word should be on a separate line.