Nouvelles exigences de déclaration des atteintes à la vie privée en vertu de la LPRPDE

Download Télécharger

Le 1er novembre 2018, de nouvelles exigences de déclaration obligatoire des atteintes à la vie privée entreront en vigueur pour toutes les organisations régies par la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »). En préparation pour cette date, le Commissariat à la protection de la vie privée du Canada (« CPVP ») a publié un document d’orientation sur la déclaration obligatoire des atteintes. Ce document est actuellement à l’état d’ébauche et ouvert à la consultation auprès des intervenants jusqu’au 2 octobre 2018, après quoi une version définitive sera publiée.

Quand déclarer une atteinte

Les exigences de déclaration obligatoire des atteintes obligeront les organisations à déclarer seulement les atteintes qui créent un « risque réel de préjudice grave » à une personne. S’il y a un risque réel de préjudice grave, l’atteinte doit être déclarée, quel que soit le nombre de personnes touchées par l’atteinte.

Qu’est-ce qu’un risque réel de préjudice grave?

Le CPVP définit un « préjudice grave » comme comprenant « la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles ».

Pour déterminer l’existence d’un risque réel de préjudice grave, il faut faire une évaluation fondée sur la sensibilité des renseignements personnels en cause et sur la probabilité que les renseignements personnels aient été mal utilisés ou soient sur le point de l’être.

Évaluer la sensibilité

Pour évaluer la sensibilité des renseignements personnels, il est important d’examiner le contexte. Certains renseignements, comme les dossiers médicaux ou financiers, seront toujours considérés comme sensibles, tandis que d’autres renseignements, comme le nom et l’adresse, peuvent être considérés sensibles dans certaines circonstances. Pour cette raison, l’évaluation de la sensibilité nécessite l’examen :

  • des renseignements personnels qui font l’objet de l’atteinte ;
  • des circonstances de l’atteinte ;
  • des préjudices que pourrait subir la personne touchée.

Probabilité d’un mauvais usage

Le CPVP a créé une liste de questions à examiner pour déterminer la probabilité que les renseignements personnels soient utilisés à mauvais escient. Voici certaines de ces questions :

  • Qu’est-il arrivé et quels sont les risques qu’une personne subisse un préjudice en raison de l’atteinte?
  • Qui a eu accès ou aurait pu avoir accès aux renseignements personnels?
  • L’intention malveillante a-t-elle été démontrée?
  • Plusieurs éléments de renseignements personnels ont-ils fait l’objet de l’atteinte?
  • Un préjudice s’est-il matérialisé?
  • Les renseignements personnels ont-ils été récupérés?
  • Les renseignements personnels sont-ils cryptés ou anonymisés?

La personne ou entité à qui les enseignements personnels ont été exposés est l’un des facteurs fondamentaux pour déterminer la probabilité d’un mauvais usage. La probabilité de mauvais usage est supérieure lorsqu’une personne ou une entité représente en elle-même un risque pour la personne en cause ou lorsque les renseignements ont été divulgués à un grand nombre de personnes, ou à des personnes ou entités inconnues, comparativement aux cas de divulgation accidentelle à des personnes ou à des entités qui risquent peu de communiquer les renseignements.

Comment déclarer une atteinte

Le CPVP a aussi publié un formulaire de rapport d’atteinte à la LPRPDE pour permettre aux organisations du secteur privé de déclarer les atteintes. On le retrouve sur le site Web du CPVP et il exige une description de l’atteinte, notamment :

  • le nombre de personnes visées par l’atteinte ;
  • la date à laquelle l’atteinte a eu lieu ;
  • le type d’atteinte ;
  • une description des circonstances ;
  • une description des mesures de sécurité pertinentes en place au moment de l’atteinte ;
  • une description des renseignements personnels visés par l’atteinte ;
  • une description des mesures que l’organisation a prises afin de réduire le risque de préjudice ou d’atténuer le préjudice.

Exigence de conservation d’un registre

Qu’il existe ou non un véritable risque de préjudice grave, les organisations sont tenues de conserver un registre de toutes les atteintes aux renseignements personnels dont elles ont le contrôle. Le registre doit contenir des renseignements permettant au CPVP de vérifier la conformité, notamment :

  • la date ou la date estimée de l’atteinte ;
  • une description générale des circonstances ;
  • la nature des renseignements concernés ;
  • si l’atteinte a été déclarée ou non au CPVP et si les personnes concernées ont été avisées ;
  • si l’atteinte n’a pas été déclarée, la raison pour laquelle il a été déterminé que l’atteinte ne présentait pas de risque réel de préjudice grave.

Le registre doit être conservé pendant au moins deux ans après la date de l’atteinte.

Aviser les personnes touchées

Lorsqu’une atteinte présente un risque réel de préjudice grave, les personnes touchées doivent être avisées dès que possible une fois que le risque a été établi. L’avis doit être donné directement (en personne, par téléphone, par courrier ou par courriel) et doit comprendre :

  • une description des circonstances ;
  • la date (ou la période) où il y a eu atteinte ;
  • une description de la nature des renseignements personnels visés par l’atteinte ;
  • une description des mesures prises afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte ;
  • une description des mesures que peut prendre une personne afin de réduire le préjudice qui pourrait résulter de l’atteinte ;
  • les coordonnées permettant à la personne de se renseigner davantage (c.-à-d. le chef de la protection de la vie privée de l’organisation ou son délégué).

Si l’avis est susceptible de causer un préjudice accru à la personne touchée ou une difficulté excessive pour l’organisation ou si l’organisation n’a pas les coordonnées de la personne, un avis indirect peut être donné au moyen d’une communication publique (c.-à-d. une annonce publique).

Lorsqu’elles avisent les personnes touchées, les organisations sont aussi tenues d’aviser les institutions ou organisations gouvernementales susceptibles de réduire le risque de préjudice ou d’atténuer le préjudice. Mentionnons comme exemples les forces policières, les banques et les centres de traitement des paiements.

À notre avis

Les organisations assujetties à la LPRPDE devraient prendre le temps nécessaire pour se familiariser avec ces nouvelles exigences de déclaration des atteintes et examiner leurs politiques sur la protection de la vie privée en vue d’en assurer la conformité. Pour atténuer le risque d’atteinte, les organisations devraient également veiller à la mise en place de mesures de sécurité adéquates pour la protection des renseignements personnels et veiller à ce que tous les employés soient convenablement formés sur la façon de recueillir et de traiter de façon sûre les renseignements personnels.

Si vous voulez davantage d’information, veuillez communiquer avec Sébastien Huard au 613-940-2744.