Photo by Aliis Sinisalu on Unsplash
Cybercriminalité / Cybersécurité / LPRPDE (PIPEDA) / Renseignements personnels / Sécurité informatique

Règlement finalisé quant aux atteintes aux mesures de sécurité chez les entreprises, en vertu de la LPRPDE

Publié par

Suite à l’annonce récente de l’entrée en vigueur prochaine de nouvelles dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE », ou « PIPEDA » de son acronyme en anglais), on annonçait cette semaine que le règlement d’application a été finalisé.

Le nouveau règlement a été publié officiellement à la Gazette cette semaine. (Le règlement spécifique dont je traite ici se trouve aux pages 149 à 166 du document .pdf.)

Bien qu’un projet avait été publié l’an dernier, nous ne connaissions pas encore la teneur exacte des détails d’application quant à quand et comment les entreprises vont devoir consigner et signaler leurs incidents de sécurité, ce que la loi canadienne nomme des « atteintes aux mesures de sécurité ».

Le nouveau règlement fixe ainsi, notamment, la manière de contacter les victimes directement pour les aviser en cas de problème, qui pourra se faire par courriel, par téléphone, etc. Pas de grosse surprise ici.

La réglementation confirme les types de situations où, au contraire, les victimes pourront n’être avisées qu’indirectement, par des moyens comme un avis publié en ligne ou sur les réseaux sociaux. Cela pourra comprendre, par exemple, quand le fait de contacter les victimes directement imposerait un fardeau démesuré à l’entreprise.

Le règlement fixe aussi la liste des éléments que devront obligatoirement contenir les avis expédiés aux individus et au commissaire. Encore une fois, rien de révolutionnaire dans cette liste qui se limite à des éléments tels la description des circonstances de l’incident, les renseignements exposés, comment pallier au risque, etc. On devra aussi fournir aux victimes des coordonnées leur permettant d’obtenir de plus amples renseignements.

Finalement, le règlement fixe la durée pour laquelle les entreprises auront l’obligation de conserver les données de leur registre d’incidents de sécurité : vingt-quatre (24) mois à compter de chaque incident.

Les nouvelles dispositions en matière d’atteintes aux mesures de sécurité (et, par le fait même, ce règlement) entreront en vigueur le 1er novembre prochain.

Laisser un commentaire

Entrer les renseignements ci-dessous ou cliquer sur une icône pour ouvrir une session :

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.