Avril 20, 2018

Le nouveau règlement Canadien sur les fuites de données enfin finalisé

Le gouvernement canadien a émis la version définitive de son Règlement sur les atteintes aux mesures de sécurité, qui entrera en vigueur le 1er novembre 2018. Nous avons désormais un portrait global des obligations relatives à la notification des atteintes à la sécurité des données qui seront applicables au secteur privé dans la plupart des provinces canadiennes à cette date.

Non-compliant organizations will face fines up to $100,000.

Une organisation qui subit une atteinte à ses données privées – appelée une « atteinte aux mesures de sécurité » selon ce règlement – devra tout d’abord déterminer, par une évaluation des risques, si l’atteinte présente un « risque réel de préjudice grave » à l’endroit de tout individu dont les renseignements personnels étaient visés par l’atteinte.

Si l’organisation conclut que cette atteinte pose un tel risque, elle doit alors aviser les individus affectés et rapporter cette déclaration au Commissaire à la Protection de la Vie privée « le plus tôt possible ». Elle doit aussi aviser toute autre organisation susceptible de pouvoir atténuer le risque de préjudice aux intéressés

Que rapporter au Commissaire

La déclaration transmise par l’organisation au Commissaire contient les renseignements suivants :

  • les circonstances de l’atteinte et, si elle est connue, la cause de l’atteinte;
  • la date ou la période où il y a eu atteinte ou, si elle n’est pas connue, une approximation de la période;
  • la nature des renseignements personnels visés par l’atteinte, pour autant qu’elle soit connue;
  • ·le nombre d’individus visé par l’atteinte ou, s’il n’est pas connu, une approximation de ce nombre;
  • les mesures que l’organisation a prises afin de réduire le risque de préjudice à l’endroit des intéressés qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice;
  • les mesures que l’organisation a prises ou qu’elle entend prendre afin d’aviser les intéressés de toute atteinte;
  • le nom et les coordonnées d’une personne qui peut répondre au nom de l’organisation aux questions du commissaire au sujet de l’atteinte.

Étant donné qu’une nouvelle information pourrait émerger pendant une enquête après la déclaration initiale au Commissaire, la version finale de ce règlement permet aux organisations de rapporter certaines informations seulement telles qu’elles sont disponibles au moment de la déclaration. Les organisations peuvent ensuite mettre à jour le rapport si cela est nécessaire.

Avis aux individus affectés

L’avis donné par l’organisation aux individus affectés contient les renseignements suivants :

  • les circonstances de l’atteinte;
  • la date ou la période où il y a eu atteinte ou, si elle n’est pas connue, une approximation de la période;
  • la nature des renseignements personnels visés par l’atteinte, pour autant qu’elle soit connue;
  • les mesures que l’organisation a prises afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte;
  • les mesures que peut prendre tout intéressé afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice;
  • les coordonnées permettant à l’intéressé de se renseigner davantage au sujet de l’atteinte.

Tenue du registre

Les organisations doivent garder un registre de toute atteinte aux mesures de sécurité dont ils auraient connaissance – peu importe la taille de ces atteintes. Elles doivent le fournir au Commissaire à la Protection de la Vie privée sur demande. Le règlement impose aussi que les organisations conservent le registre de toute atteinte aux mesures de sécurité pendant 24 mois après la date à laquelle elle conclut qu’il y a eu atteinte.

Sanctions

Les organisations ne respectant pas ce règlement risquent une amende allant jusqu’à 100 000 $, selon la nature de l’infraction.

Par ailleurs, les entreprises canadiennes qui gèrent des informations personnelles de résidents de l’Union Européenne doivent aussi être conscientes des nouvelles règles européennes regroupées dans le Règlement Général de Protection des Données (RGPD), qui inclut des obligations de déclaration encore plus sévères. Selon le RGPD, qui doit entrer en vigueur à partir du 25 mai 2018, la notification à un régulateur national doit être faite sous 72 heures après que l’organisation ait été informée de l’incident, si cela est faisable. Cela risque de poser un défi significatif aux entreprises canadiennes qui offrent des biens et services aux résidents de l’Union Européenne et qui en surveillent les comportements en ligne.