Un pas de plus vers l’application du nouveau régime d’avis obligatoires en cas d’incidents de sécurité

Innovation, Science et Développement économique Canada publiait tout récemment un document visant à recueillir l’avis des Canadiens quant à ce que devrait contenir le règlement futur en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (ou PIPEDA selon son acronyme anglais habituel) quant aux avis obligatoires que prescrira bientôt la législation canadienne en cas d’atteinte à la protection des données.

On s’en souviendra, la loi canadienne en matière de renseignements personnels contient un ensemble de règles, généralement non prescriptives, dictant comment les entreprises devraient gérer les renseignements personnels qu’elles détiennent, communiquent ou utilisent. Cette fois, cependant, les modifications de 2015 ont cela de nouveau que l’obligation en matière de sécurité, elle, serait de nature PRESCRIPTIVE. Cette responsabilité sera donc de nature OBLIGATOIRE pour les entreprises, avec des conséquences juridiques précises si cela n’est pas respecté. Il s’agit là d’une nouveauté qui devrait attirer l’attention des entreprises.

Plus précisément, notre loi était modifiée en 2015 pour prévoir certaines obligations particulières pour les organisations en cas d’incident de sécurité pouvant mener à la divulgation des renseignements personnels qu’elles détiennent. Ainsi, avec l’adoption des modifications de 2015, le Canada s’est doté d’une obligation incombant aux entreprises de rapporter toute « atteinte aux mesures de sécurité » (p. ex. une intrusion informatique) qui implique un « risque réel de préjudice grave » pour les individus touchés. De plus, les organisations (y compris les entreprises) devront dorénavant aviser le commissaire à la protection de la vie privée, en plus de tenir un registre des atteintes en question, que pourra consulter le commissaire sur demande.

Le règlement qu’il est ici question d’adopter viserait à conférer davantage de clarté et de précision aux nouvelles règles pour mettre en oeuvre l’obligation de divulgation. Le document « pour discussion » ainsi récemment publié vise donc à recueillir le point de vue des Canadiens, afin d’en tenir compte en préparant le projet de règlement.

Pour ce faire, le document donne du contexte quant à chaque règle (y compris ce que font à son sujet d’autres juridictions) et pose une série de questions visant à orienter les efforts de rédaction du législateur, notamment :

  • Devrait-on préciser dans le règlement les facteurs d’évaluation du « risque de préjudice grave »?
  • Devait-on préciser ce que doit contenir l’avis aux individus et le rapport à faire au Commissariat pour déclarer un incident et, si oui, que devraient-ils contenir?
  • Quelles devraient être les méthodes de notification permises pour les organisations?
  • Dans quelles circonstances devrait-on permettre aux organisations d’aviser indirectement les individus, et alors, en utilisant quel moyen(s) de communication?
  • Devrait-on énoncer dans le règlement les champs à inclure dans le registre tenu par chaque organisation?
  • Quelle devait être la durée de conservation des registres sur les atteintes à la protection des données?

Les intéressés ont jusqu’au  31 mai 2016 pour soumettre leurs commentaires par courriel à l’adresse ic.ised.breach-atteinte.isde.ic@canada.ca.