Skip Ribbon Commands
Skip to main content

La déclaration obligatoire des atteintes aux mesures de sécurité

2018-10-10


​​Cet article, écrit par Tom Beaupré avec le support de Corey Anne Bloom, a été initialement publié sur Droit inc. et reproduit ici avec leur accord.

Par Tom Beaupre avec le support de Corey Anne Bloom​​

Alors que le Règlement général sur la protection des données (RGPD) de l'Union européenne est entré en vigueur en mai 2018, c'est au tour des organisations canadiennes d'être tenues d'observer le Règlement sur les atteintes aux mesures de sécurité à compter du 1er novembre 2018.

En effet, ce nouveau règlement de la Loi sur la protection des renseignements personnels numériques (« LPRPN ») exige de déclarer immédiatement aux autorités de réglementation fédérales les atteintes à la protection des données qui peuvent présenter un ''risque réel de préjudice grave''. Aux vues des brèches de sécurité médiatisées récemment telles Air Canada, ou BMO, on se dit que ce nouveau cadre règlementaire arrive à point nommé.

Impacts pour l'ensemble des organisations canadiennes

Bien que la LPRPN et la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») s'appliquent expressément aux organisations qui recueillent, utilisent et communiquent de l'information personnelle dans le cours de leurs activités commerciales au Canada, le nouveau Règlement sur les atteintes aux mesures de sécurité aura une portée plus large et s'appliquera de manière générale à toutes les organisations canadiennes, y compris les petites entreprises, conformément au programme « Lentille des petites entreprises » mis de l'avant par le gouvernement du Canada.

Déterminer le « préjudice grave »

Les organisations doivent tenir compte de plusieurs facteurs pour le déterminer. Au-delà du vol d'identité, les organisations doivent aussi soupeser le caractère sensible de l'information et de quelle façon les malfaiteurs pourraient s'en servir. L'information pourrait-elle servir à humilier la personne touchée? est-ce que l'atteinte a pour effet de nuire à la réputation ou aux relations de la personne ? pourrait-elle subir des dommages financiers?  L'atteinte peut-elle entraîner la perte d'un bien ou encore la perte de d'emploi, d'occasions d'affaires ou d'activités professionnelles?

Responsabilités en matière de déclaration

Si une organisation est victime d'une atteinte à la sécurité pouvant présenter un « risque réel de préjudice grave », elle doit s'acquitter des obligations suivantes :

1. Déterminer si l'atteinte présente un « risque réel de préjudice grave » (et dans quelle mesure).

2. Aviser tous les clients touchés en décrivant l'atteinte à la sécurité et les circonstances dans lesquelles elle s'est produite,

3. Aviser le ou la commissaire à la protection de la vie privée du Canada des circonstances et de la cause (si elle est connue) de l'atteinte à la sécurité

4. Maintenir un dossier de l'atteinte à la sécurité pendant au moins 24 mois.

5. Observer le Règlement de la LPRPN et conserver les documents d'attestation de conformité à portée de main.

Au-delà de la compréhension des risques

Bien qu'il soit fortement recommandé que chaque organisation assujettie à la LPRPDE prenne les mesures nécessaires pour protéger les renseignements personnels au moyen d'un plan d'action, il est aujourd'hui encore observé un certain déni des entreprises face aux risques réels de cyber attaques.  On peut penser que ce nouveau cadre réglementaire poussera la réflexion plus loin et que le succès de sa mise en place résidera dans la volonté et la capacité d'une organisation à aligner sa direction, ses ressources, ses processus internes et les technologies qu'elle utilise. C'est là d'ailleurs où les avocats, les spécialistes en enquête et sécurité technologique (juricomptabilité) et les professionnels de la cybersécurité seront de précieux alliés, notamment lors de la classification et l'identification des données sensibles, la préservation ou la récupération de celles-ci, la détermination des priorités, ou encore la mise à mettre en place d'un programme de protection.

Enfin, ce nouveau mandat pour les entreprises canadiennes devrait aussi aider au développement de meilleures pratiques en ce qui a attrait à la protection des données personnelles et de manière générale, à relever le niveau de cybersécurité des entreprises, un moindre mal car les cyber fraudeurs, eux, ne cessent d'innover dans leurs façons de faire.