Photo by Agê Barros on Unsplash

Déclaration obligatoire d’atteintes aux mesures de sécurité des entreprises dès le 1er novembre 2018

C’est maintenant officiel : les modifications à la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE », ou « PIPEDA » de son acronyme en anglais) concernant les atteintes aux mesures de sécurité entreront en vigueur le 1er novembre 2018.

Le gouvernement publiait en effet il y a quelques jours une ordonnance fixant l’entrée en vigueur des dispositions introduites par la Loi sur la protection des renseignements personnels numériques (suite au projet de loi « S-4 »).

Jusqu’à maintenant, les modifications en question demeuraient non applicables, sans doute pour donner plus de temps aux entreprises canadiennes pour s’y préparer. Cette période de transition prendra fin le 1er novembre.

En vertu  de la nouvelle Section 1.1 de la LPRPDE, de nouvelles obligations incomberont aux entreprises visées en cas d’incidents de sécurité, y compris en cas d’intrusions informatiques. En l’occurrence, dorénavant, quand une entreprise s’avèrera victime d’une atteinte à la protection de ses données (comprenant des renseignements personnels), elle aura l’obligation de le déclarer de diverses façons. Ce sera particulièrement le cas quand l’atteinte présentera un « risque réel de préjudice grave » pour les individus touchés. À noter que ce préjudice peut se qualifier comme tel même s’il s’avère purement économique, comme dans le cas d’une fraude ou d’un vol d’identité appréhendés, etc. Dans de tels cas, on devra aviser non seulement le Commissariat à la protection de la vie privée du Canada, mais aussi (et surtout) tous les individus touchés. Ces avis devront généralement être communiqués directement à chaque individu touché, tout dépendant notamment du genre de renseignements exposés.

Les nouveaux articles obligeront aussi toute entreprise (visée par la LPRPDE, évidemment) à tenir un registre des atteintes à la protection des données qu’elle subit au fil du temps, registre que le Commissariat pourra inspecter de temps à autre.

Pour les entreprises auxquelles s’applique la LPRPDE et qui tardent toujours à porter attention à cette question, prenez note : vous ne disposez plus que moins de six (6) mois pour vous informer et adapter vos pratiques.

Il n’est pas, à ma connaissance, question d’introduire une telle obligation dans la loi québécoise pour l’instant.