Photo by Kevin Ku on Unsplash

État de la situation quant à la nouvelle obligation des entreprises de déclarer leurs incidents de sécurité informatique

Suite à une conjonction de facteurs, on assiste dans les dernières semaines à une recrudescence de l’intérêt des entreprises canadiennes pour les questions de renseignements personnels et de sécurité. Pas de doute, le contexte actuel s’avère propice à attirer l’attention de tous sur des questions pareilles, qui s’avèrent pertinentes pour un nombre toujours croissant d’entreprises.

Dernier exemple en date : le gouvernement annonçait récemment l’entrée en vigueur, plus tard en 2018, du nouveau régime juridique touchant ce que la loi fédérale désigne comme des « atteintes aux mesures de sécurité ». Essentiellement, la loi fédérale déterminera désormais quand et de quelle manière les entreprises ont l’obligation d’aviser les individus fichés chez eux en cas de fuite de leurs renseignements.

Ainsi, en vertu des amendements récents (Projet de loi S-4 de 2015), dès novembre, quand une entreprise visée par la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») sera victime d’un incident de sécurité, elle pourra avoir l’obligation de le déclarer. En fait, pour être plus précis, les nouvelles obligations pourront s’appliquer, que l’incident survenu soit carrément une intrusion informatique ou tout autre incident (la perte d’une clé USB, par exemple) dont le résultat peut être de donner accès à autrui (sans droit) aux renseignements qu’on détient sur un individu.

Quand surviendra un tel incident, la loi obligera les entreprises à poser différents gestes, lesquels dépendront essentiellement de la gravité de ce qui est arrivé dans l’optique de la sécurité. Un incident mineur pourra entraîner peu de démarches, alors qu’une intrusion plus sérieuse pourra nécessiter une panoplie de gestes de la part de l’entreprise.

Par exemple, quand la perte de données ou l’accès non autorisé aux données d’individus s’avèrera suffisamment grave pour le justifier, l’entreprise pourra devoir aviser les individus dont les données ont été volées ou auxquelles un tiers a accédé sans droit. Le seuil alors dépendra des conséquences possibles de l’incident pour les individus touchés. En l’occurrence, quand l’incident de sécurité implique un « risque réel de préjudice grave » pour les individus touchés, l’entreprise devra aviser ces personnes, en plus du Commissariat à la protection de la vie privée du Canada (le « Commissariat »). C’est l’essentiel des nouvelles dispositions dont nous traitons ici.

Il est à noter qu’aux fins de la nouvelle Section 1.1 de la LPRPDE (à ce sujet), on considérera qu’un « préjudice grave » peut inclure non seulement des choses évidentes (lésions corporelles, dommages aux biens, pertes financières, etc.), mais aussi de possibles effets indésirables, tels le vol d’identité, l’effet négatif sur le dossier de crédit ou même de l’humiliation, un dommage à la réputation ou la perte de possibilités d’emploi pour les individus touchés. On comprendra que la définition ratisse large!

Par ailleurs, la norme de ce qu’on entend par un « risque réel » n’exigera évidemment pas qu’on sache à coup sûr que les individus touchés subiront ces effets, mais plutôt simplement que de tels effets s’avèrent raisonnablement envisageables dans les circonstances.

Terminé le temps, donc, où les entreprises canadiennes pouvaient cacher les intrusions dans leurs systèmes informatiques, afin d’éviter de mal paraître ou de sembler vulnérables. Désormais, si un incident enfreint la sécurité d’une entreprise et que cela met en péril la confidentialité des renseignements personnels d’individus (des clients, par exemple), il faudra généralement le déclarer.

L’avis aux individus devra généralement se faire directement, mais pourra parfois se faire indirectement (par publication en ligne, par exemple) pour les cas moins graves.

Les nouvelles dispositions de la LPRPDE comprennent d’ailleurs aussi l’obligation, à compter de novembre, de tenir à jour un registre (interne) des incidents de sécurité que subirait l’entreprise de temps à autre. À noter qu’on devra consigner dans ce registre tous les incidents de sécurité touchant des renseignements personnels, et non seulement ceux qui pourraient entraîner un préjudice grave (contrairement à l’obligation d’aviser les victimes). Le Commissariat pourra d’ailleurs en tout temps demander d’inspecter le registre de telle ou telle entreprise, et agir contre elle au besoin.

On publiait d’ailleurs tout récemment la version finale du règlement d’application qui encadrera ces nouvelles dispositions de la LPRPDE. Ce règlement donne plus de détails quant à ce qui sera requis et quand. Le règlement donne des détails notamment quant au contenu que les avis à donner devront comporter pour être valables et aux moyens à utiliser pour les communiquer. Le règlement vient aussi fixer à vingt-quatre (24) mois la durée pour laquelle on devra laisser au registre les détails relatifs à chaque incident de sécurité.

Finalement, fait non négligeable au sujet de ces nouvelles dispositions, la LPRPDE comprendra dorénavant des sanctions pénales associées au fait de ne pas avoir avisé le commissaire et/ou certaines victimes dont les renseignements ont été exposés par un cas d’atteinte aux mesures de sécurité. En l’occurrence, la loi prévoit que contrevenir aux nouvelles dispositions constitue une infraction pouvant résulter en une condamnation assortie d’une amende dont le montant pourrait, en principe, aller jusqu’à 100 000$ pour chaque personne qu’une entreprise n’a pas avisée conformément à ce qui précède.  Avec de tels montants en jeu, les entreprises ont tout avantage à faire le nécessaire pour comprendre et respecter les nouvelles dispositions de la LPRPDE, pas de doute.

Bien qu’on parle d’une nouveauté ici, en fait le Canada est, encore une fois, loin d’innover en matière de protection des renseignements personnels. De telles obligations existent déjà dans de nombreux autres États. Comme cela a historiquement été le cas, le Canada demeure à la remorque de l’Europe, notamment. Par ailleurs, la loi québécoise en matière de renseignements personnels, elle, ne comporte toujours rien de tel, si bien qu’une partie seulement des entreprises québécoises devront composer avec le nouveau régime de divulgation obligatoire des atteintes aux mesures de sécurité. La nouvelle s’avère néanmoins d’importance pour l’ensemble de la communauté des affaires.