Photo by Matthew Henry from Burst

Le régime de divulgation obligatoire des atteintes aux mesures de sécurité entre en vigueur

Juste à temps pour l’entrée en vigueur du nouveau régime, le Commissariat à la protection de la vie privée publiait cette semaine des lignes directrices visant la déclaration obligatoire des atteintes aux mesures de sécurité. Comme chacun le sait, depuis le 1er novembre 2018, toutes les organisations assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE », ou « PIPEDA », selon son acronyme en anglais) doivent dorénavant divulguer certaines des intrusions informatiques (et autres problèmes de sécurité) dont elles sont victimes au fil du temps.

Après avoir déjà publié un projet du document en question, le Commissariat publiait cette semaine la version finale, intitulée Ce que vous devez savoir sur la déclaration obligatoire des atteintes aux mesures de sécurité.

La mouture ultime du document reprend la majorité du contenu des ébauches antérieures, mais en y ajoutant un élément qui demeurait objet de spéculation pour ceux qui s’intéressent aux renseignements personnels : les entités responsables de déclarer les problèmes de sécurité quand ils surviennent. En l’occurrence, le document vient clarifier explicitement que les entités qui ont cette obligation sont celles qui possèdent le contrôle sur les renseignements personnels qui ont été exposés à une perte ou un vol. En somme, quand une « organisation principale » a transféré des renseignements personnels à un tiers à des fins de traitement, c’est elle qui aura la responsabilité de veiller au grain quant au régime de déclaration obligatoire des atteintes aux mesures de sécurité, pas son fournisseur. Le Commissariat vient ainsi écarter la thèse que les fournisseurs de services (hébergeurs de serveurs ou de sites, etc.) soient, par exemple, obligés de divulguer les problèmes rencontrés avec les données de leurs clients qui sont, eux, en relation directe avec les individus dont les renseignements ont été compromis.

Malgré cet énoncé, la réalité s’avère souvent plus complexe et le document confirme qu’il faudra évaluer, au cas par cas, quelle organisation a la « gestion » des renseignements personnels. Par conséquent, on sait déjà qu’il pourra parfois s’avérer incertain de savoir qui, exactement, a la responsabilité de se conformer et de poser les gestes requis en vertu du nouveau régime, particulièrement quand la trame de faits implique une série d’entités ou des relations commerciales plus complexes.

Rappelons que le nouveau régime exige notamment que les entreprises tiennent un registre de leurs problèmes de sécurité. Il exige aussi qu’en cas de problème de sécurité impliquant un risque réel de préjudice grave (un « RRPG ») pour des individus touchés, on avise ces individus ainsi que le Commissariat. Le document d’information finalisé cette semaine offre d’ailleurs une façon pour les organisations d’évaluer si une intrusion s’avère susceptible d’impliquer un RRPG, une expression dont la définition est très large en vertu de la loi, allant jusqu’à inclure tout effet négatif sur le dossier de crédit des individus ou même la perte de possibilités d’emploi ou d’occasions d’affaires.

Le document publié cette semaine contient aussi des directives sur le contenu à inclure dans un rapport au Commissariat, ainsi qu’un formulaire que les organisations pourront utiliser pour signaler leurs incidents de sécurité, le cas échéant.

Comme ses moutures précédentes, le document couvre le contenu à inclure dans les avis aux individus touchés en cas de problème (renseignements requis par le Règlement), à savoir :

  • les circonstances de l’atteinte;
  • la date ou la période où il y a eu atteinte ou, si elle n’est pas connue, une approximation de la période;
  • la nature des renseignements personnels visés par l’atteinte, pour autant qu’elle soit connue;
  • les mesures que l’organisation a prises afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte;
  • les mesures que peut prendre tout intéressé afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice;
  • les coordonnées permettant à l’intéressé de se renseigner davantage au sujet de l’atteinte.

Fait intéressant en pratique, la version finale du document entre aussi dans les détails de ce qu’on doit inclure exactement dans le registre d’intrusions de chaque entreprise, à savoir :

« (…) tout renseignement permettant au Commissariat de vérifier la conformité aux obligations en matière de déclaration et de notification des atteintes aux mesures de sécurité (…), y compris les exigences relatives à l’évaluation du risque réel de préjudice grave (…) au minimum (…) :

  • la date ou la date estimée de l’atteinte ;
  • une description générale des circonstances de l’atteinte ;
  • la nature des renseignements concernés par l’atteinte ;
  • si l’atteinte a été déclarée ou non au Commissariat à la protection de la vie privée du Canada et si les individus concernés ont été avisés ;

Le registre devrait également contenir suffisamment de détails pour permettre au Commissariat à la protection de la vie privée du Canada d’évaluer si une organisation a dûment appliqué la norme du risque réel de préjudice grave et, par ailleurs, s’est acquittée de son obligation de déclarer les atteintes qui présentent un risque réel de préjudice grave et d’aviser les individus concernés . Cela pourrait comprendre une brève explication des raisons pour lesquelles l’organisation a déterminé qu’il n’y avait pas de risque réel de préjudice grave dans les cas où l’organisation n’a pas déclaré l’atteinte au Commissaire à la protection de la vie privée et n’a pas avisé les individus concernés. »

À l’instar du reste de la LPRPDE, le régime de déclaration obligatoire des atteintes aux mesures de sécurité s’applique aux entreprises de compétence fédérale et aux organisations de provinces non dotées de lois en matière de renseignements personnels pourvu qu’elles ne transfèrent pas de tels renseignements entre diverses juridictions. Ce faisant, le nouveau régime s’applique à une partie non négligeable des entreprises, même dans des provinces qui se sont, comme le Québec, dotées de leur propre loi en la matière.