Obligation de déclarer les atteintes aux mesures de sécurité à compter de novembre 2018

16 avril 2018

Près de trois ans après avoir modifié la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada, de manière à rendre obligatoire la déclaration d’une atteinte aux mesures de sécurité et la tenue de registres, le gouvernement a parachevé certains règlements d’application et annoncé que les nouvelles obligations entreront en vigueur le 1er novembre 2018.

À cette date, les organisations qui sont assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) seront tenues d’aviser les intéressés de toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elles ont la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un « risque réel de préjudice grave à l’endroit d’un individu » et de déclarer l’atteinte au Commissariat à la protection de la vie privée du Canada (CPVP). La déclaration et les avis doivent être donnés le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte.

Les organisations seront également obligées de tenir et conserver des registres de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elles ont la gestion (même celles qui n’atteignent pas le seuil du « risque réel de préjudice grave » et pour lesquelles l’avis aux intéressés ou la déclaration au CPVP n’auraient pas été nécessaires).

Contexte

En juin 2015, la Loi sur la protection des renseignements personnels numériques a introduit plusieurs modifications à la législation sur la protection des renseignements personnels dans le secteur privé au Canada, la LPRPDE, y compris des exigences de déclaration obligatoire des atteintes à la protection des données. Toutefois, contrairement à certains autres amendements que renferme la Loi sur la protection des renseignements personnels numériques (entrés en vigueur à la promulgation de la Loi), les obligations de déclaration et de notification des atteintes n’ont pas été proclamées en vigueur, dans l’attente de l’adoption d’un règlement d’application plus détaillé.

En septembre 2017, le gouvernement a publié le projet de Règlement concernant les atteintes aux mesures de sécurité afin de donner effet à ces dispositions. La version définitive de ce Règlement a été publiée le 18 avril avec une étude d’impact de la réglementation qui explique en partie la démarche qu’a adoptée le gouvernement dans l’établissement du Règlement.

La version définitive du Règlement ne diffère pas du projet de Règlement sur le fond, mais comprend un certain nombre de modifications qui procurent en général davantage de souplesse aux organisations.

À l’entrée en vigueur des dispositions sur l’atteinte à la protection des données de la LPRPDE, les obligations de déclaration et de notification des atteintes à la protection des données qui incombent aux organisations du secteur privé s’appliqueront désormais à l’ensemble des provinces et des territoires canadiens, autres que la Colombie-Britannique et le Québec, qui possèdent chacune leur propre loi provinciale sur la protection des renseignements personnels dans le secteur privé. La province de l’Alberta compte des obligations de déclaration des atteintes à la protection des données dans sa loi sur la protection des renseignements personnels dans le secteur privé depuis 2010. Plusieurs provinces ont également promulgué des lois sur la protection des renseignements personnels dans le secteur de la santé qui rendent la notification des atteintes obligatoire.

Les nouvelles obligations

Les principales obligations de déclaration et de notification sont exposées dans la LPRPDE, y compris la définition du préjudice grave et la description des facteurs qui permettent d’établir si l’atteinte crée un risque réel de préjudice.

Le terme « préjudice grave » est largement défini afin d’y inclure une vaste gamme de préjudices, à savoir : la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles. Les organisations doivent étudier une série de facteurs pour évaluer le risque de préjudice, comme le degré de sensibilité des renseignements personnels en cause et la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être.

La LPRPDE se distingue quelque peu des autres lois sur la notification des atteintes en ce qu’elle contient l’exigence à portée large d’aviser également toute autre organisation ou institution gouvernementale, si l’organisation ou l’institution peut être en mesure de réduire le risque de préjudice pouvant résulter de l’atteinte ou d’atténuer ce préjudice.

 Le Règlement comprend des directives plus détaillées relativement à ce qui suit :

  1. Renseignements obligatoires dans la déclaration écrite d’atteinte à transmettre au CPVP

    L’information à fournir dans la déclaration comprend les principaux détails que l’on s’attend à y trouver : le moment de l’incident, les renseignements personnels en cause, le nombre de personnes concernées, les mesures prises pour réduire le préjudice, les plans de notification, etc. (les détails demandés correspondent généralement aux exigences d’autres régimes de déclaration des atteintes à la protection des données). Contrairement au projet de Règlement, la version définitive reconnaît qu’en cas d’atteinte à la protection des données, l’organisation prend progressivement connaissance de l’atteinte au cours d’une période précise. Par conséquent, le Règlement prévoit expressément que les organisations peuvent transmettre de nouvelles informations au CPVP après avoir fait la première déclaration. Les déclarations peuvent être transmises par tout moyen de communication sécurisé.

  2. Renseignements obligatoires dans l’avis à l’intéressé

    Le Règlement exige là aussi les informations que l’on s’attend à trouver dans l’avis donné aux intéressés : description des circonstances et du moment de l’atteinte, renseignements personnels en cause, mesures prises pour réduire le préjudice, mesures que peut prendre tout intéressé afin de réduire le risque de préjudice, etc. Bien entendu, l’avis doit contenir les coordonnées permettant à l’intéressé de se renseigner davantage; toutefois, contrairement à ce qui était exposé dans le projet de Règlement, la version définitive ne comprend aucune disposition normative à propos du type de coordonnées qui doivent être fournies et laisse aux organisations le choix de la méthode la plus indiquée dans leur situation.

  3. Modalités de l’avis direct donné aux intéressés

    Selon le Règlement, l’avis peut être donné en personne, par téléphone, par courrier, par courriel ou par tout autre moyen de communication qu’une personne raisonnable estimerait acceptable dans les circonstances. La version antérieure du Règlement était plus normative sur ce point.

  4. Circonstances justifiant l’avis indirect et modalités de l’avis

    Aux termes de la LPRPDE, un avis direct doit généralement être donné aux intéressés, mais il est possible de donner un avis indirect dans certaines circonstances prescrites. Le Règlement permet l’avis indirect dans l’une des circonstances suivantes :

    • le fait de donner l’avis directement est susceptible de causer un préjudice accru à l’intéressé;
    • le fait de donner l’avis directement est susceptible de représenter une difficulté excessive pour l’organisation.

    L’avis est donné indirectement par une communication publique ou par toute mesure similaire dont on peut raisonnablement s’attendre à ce qu’elle permette de joindre l’intéressé, ce qui procure davantage de souplesse aux organisations que dans la version antérieure du Règlement, dans laquelle seuls les avis donnés dans les grands médias et les avis sur les sites Web étaient autorisés.

    La possibilité de donner un avis indirect peut avoir une pertinence particulière dans les cas où le risque de préjudice se rapporte essentiellement à un dommage à la réputation causé par l’exposition médiatique, puisqu’en pareille situation, l’envoi d’un avis pourrait en soi accroître l’exposition médiatique de l’activité ou des circonstances donnant naissance au risque.

    En ce qui concerne l’exception de « difficulté excessive » pour l’organisation, sa portée est accrue par rapport à la version antérieure, dans laquelle n’était mentionné que le coût excessif pour l’organisation.

  5. Période de conservation du registre de toute atteinte aux mesures de sécurité et directive générale sur le contenu des registres

    Le Règlement dispose qu’une organisation doit conserver un dossier de toute atteinte à la protection des données pendant une période de 24 mois seulement à partir de la date où l’atteinte a eu lieu, ce qui limite quelque peu le fardeau administratif pour les organisations. Toutefois, le Règlement ne donne pas d’autres directives à propos du contenu obligatoire de ces registres; il précise seulement qu’ils doivent contenir « tout renseignement qui permet au commissaire de vérifier la conformité » aux obligations de déclaration des atteintes à la protection des données de la LPRPDE.

Enjeux

La déclaration des atteintes à la protection des données en vertu de la LPRPDE était une mesure attendue depuis longtemps et les entreprises canadiennes ont toujours largement appuyé l’inclusion de dispositions de déclaration obligatoire des atteintes dans la loi. En ce qui concerne notamment les entreprises internationales, qui sont déjà assujetties à des obligations de déclaration obligatoire des atteintes dans de nombreux autres territoires, y compris dans l’UE et dans la plupart des États des É-U., elles devraient être en mesure de se conformer aux nouvelles exigences fédérales canadiennes de déclaration des atteintes sans difficulté particulière, même s’il faut s’attendre au départ à ce qu’il règne un certain degré d’incertitude dans l’interprétation et la mise en œuvre du seuil de « risque réel de préjudice grave ».

L’obligation qui pourrait peut-être créer le plus de difficulté aux entreprises est l’obligation juridique de déclarer les atteintes aux autres organisations susceptibles de pouvoir atténuer le risque de préjudice aux intéressés, puisque le type d’organisations qu’une entreprise pourrait être tenue d’aviser ne tombe pas toujours sous le sens. Par exemple, dans le cas où le risque de vol d’identité fait partie du risque de préjudice, les entreprises seront-elles obligées de déclarer les atteintes directement aux agences d’évaluation du crédit, aux institutions financières ou autres? Dans l’affirmative, qu’attend-on de ces organisations ? Selon la LPRPDE, ces tiers n’ont aucune obligation juridique de prendre des mesures liées aux atteintes qui leur sont déclarées, non plus qu’ils sont tenus d’en garder le détail confidentiel.

Finalement, nous prévoyons que de nombreuses organisations peineront à se conformer à leur nouvelle obligation de consigner « toutes les atteintes aux mesures de sécurité », puisque l’obligation n’est assortie d’aucun seuil d’importance relative : même les atteintes superficielles visant une seule personne devront être consignées. Pour de nombreuses entreprises, comme les entreprises de détail dont les employés sont en contact direct avec la clientèle, la mise en œuvre de cette nouvelle obligation pourrait être difficile. En outre, la nouvelle obligation de consigner les atteintes, à l’instar des dispositions de déclaration et de notification des atteintes à la protection des données, est l’une des rares dispositions de la LPRPDE dont le non-respect constitue une infraction.

MISE EN GARDE : Cette publication a pour but de donner des renseignements généraux sur des questions et des nouveautés d’ordre juridique à la date indiquée. Les renseignements en cause ne sont pas des avis juridiques et ne doivent pas être traités ni invoqués comme tels. Veuillez lire notre mise en garde dans son intégralité au www.stikeman.com/avis-juridique.

Restez au fait grâce à Notre savoir