Un aperçu du contenu éventuel du règlement en matière d’incidents de sécurité?

Le Commissaire à la protection de la vie privée du Canada faisait récemment part de sa vision de ce que devrait contenir le règlement éventuel en matière de divulgation (par les entreprises) des incidents de sécurité dont elles sont victimes. Comme on s’en souviendra, nous attendons toujours l’adoption du règlement dont il est ici question pour que les nouvelles dispositions de la loi canadienne en matière de renseignements personnels (telle qu’amendée par le projet de loi S-4) entrent en vigueur. La position du commissariat nous donne un aperçu de ce que pourrait contenir ce règlement.

Le Commissariat se prononce ainsi sur plusieurs points, notamment:

1. Les registres d’incidents que tiendront les entreprises devraient comporter suffisamment d’information pour démontrer que l’entreprise s’est conformée à la loi et permettre au Commissaire de vérifier le tout, en temps et lieu, y compris comment l’entreprise a évalué les incidents qui sont survenus et si un avis devait être donné ou non aux victimes. On devrait donc y décrire les incidents et les renseignements personnels exposés au risque, en plus de permettre de comprendre l’analyse de l’organisation quant au fait que l’incident présentait ou non un « risque réel de préjudice grave ».

2. Selon le Commissaire, les critères qu’énonce S-4 pour ce qui est de déterminer si un incident présente un « risque réel de préjudice grave » s’avèrent suffisants. Selon lui, pas besoin d’en dire plus. On s’en souviendra, cet article énonce que:

Les éléments servant à établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave à l’endroit de l’intéressé sont notamment le degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être et tout autre élément prévu par règlement.

3. Le Commissariat se prononce aussi contre l’idée de prévoir que de facto, la perte de données qui étaient chiffrées ne peut entraîner une atteinte aux mesures de sécurité qui doit être divulguée. Selon lui, peu importe que des données soient chiffrées ou non, on devrait évaluer chaque incident quant aux facteurs applicables et voir s’il y a ou non un risque de préjudice grave.

4. Le Commissariat considère que les victimes (dont les renseignements auraient été compromis) devraient généralement être contactées directement, en évitant de limiter les avis en question à des messages affichés simplement en ligne, par exemple.

5. Le Commissariat prend aussi position quant à ce que devraient contenir les éventuels avis avertissant qu’un problème de sécurité est survenu. Selon lui, les avis devraient comprendre:

  • La description de l’incident et des renseignements divulgués ou perdus, y compris sa date;
  • La façon dont l’organisation a composé avec l’incident;
  • Ce que l’individu peut faire pour mitiger son préjudice;
  • Les coordonnées d’une personne ressource au sein de l’organisation, que les individus peuvent contacter à ce sujet;
  • Les renseignements quant aux recours que pourraient avoir les victimes en vertu de la loi.

Bien que l’opinion du Commissariat ne prescrive pas le contenu éventuel du règlement, il est permis de penser qu’il aura une influence majeure sur celui-ci, puisque c’est lui qui est responsable de l’application de cette loi. L’énoncé du Commissariat s’avère donc une lecture très pertinente pour toute personne s’intéressant à la question.

C’est à suivre…