L’automne avance: le nouveau régime quant aux atteintes aux mesures de sécurité approche

Le gouvernement canadien publiait récemment, par l’entremise du Commissariat à la protection de la vie privée (le « Commissariat »), un document de foire aux questions intitulé Ce que vous devez savoir sur la déclaration obligatoire des atteintes aux mesures de sécurité. Deux semaines avant l’entrée en vigueur, on tente ainsi d’informer les entreprises des nouvelles obligations en vertu de la loi canadienne.

Cette page Web s’avère un bon outil pour permettre aux entreprises de se familiariser avec les nouvelles dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »). Le document comprend notamment les sections suivantes :

• Partie 1 – Vos obligations relatives à la déclaration des atteintes
• Partie 2 – Soumettre un rapport d’atteinte au Commissariat
• Partie 3 – Vous devez conserver un registre de toutes les atteintes
• Partie 4 – Quand et comment aviser les individus
• Partie 5 – Avis aux organisations
• Partie 6 – Évaluer le risque réel de préjudice grave
• Formulaire : Rapport d’atteinte à la LPRPDE

Le nouveau régime entre en vigueur le 1er novembre prochain. Dès lors, toute entreprise régie par la LPRPDE devra obligatoirement aviser tous les individus dont les renseignements sont perdus ou volés, notamment (mais pas exclusivement) quand cela se produit à la suite d’une intrusion informatique. À noter que les entreprises devront aussi signaler leurs atteintes au Commissariat dès que possible.

Bien que ces obligations ne s’appliquent pas systématiquement pour tous les cas, elles s’appliqueront pour les cas d’« atteinte aux mesures de sécurité » qui dépassent un seuil minimal. Ce seuil sera fonction d’un « risque réel de préjudice grave » (un « RRPG »). Si le risque est mineur, pas de divulgation à faire; sinon, elle sera requise.

La loi (comme le document d’information) prend la peine de préciser comment on peut déterminer si l’on est en présence d’un RRPG qui déclencherait l’application du nouveau régime, à savoir :

Le préjudice grave comprend la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles.

Le risque réel de préjudice grave doit être établi en fonction d’une évaluation du degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être.

Rappelons que les nouveaux articles de la LPRPDE prévoient aussi l’obligation pour les entreprises de tenir un registre de leurs problèmes de sécurité, au fil du temps, registre que le Commissariat pourra chercher à consulter, au besoin.