Brèches de sécurité des données : Rappelez-vous de notifier!

À partir du 1er novembre 2018, le signalement d’atteintes à la sécurité des données au Commissariat à la protection de la vie privée du Canada (« CPVP ») et aux intéressés dont les données ont été compromises sera obligatoire pour les organisations relevant de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »). L’omission de s’y conformer peut coûter jusqu’à 100 000 $.

Ce n’est pas vraiment une nouveauté, car la notification obligatoire en matière d’atteinte à la sécurité des données est déjà exigée par le Règlement général européen sur la protection des données (« RGPD ») ainsi que par la loi de l’Alberta intitulée Loi sur la protection des renseignements personnels (« LPRP »). Aux États-Unis, quarante-sept États, le District de Columbia, Porto-Rico et les Îles Vierges ont déjà pris des initiatives en matière de notification d’atteinte.

Cela signifie concrètement qu’à partir du 1er novembre, les organisations devront informer le CPVP et les personnes concernées de « toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont [l’organisation] a la gestion s’il est raisonnable de croire, dans les circonstances, que l’atteinte représente un risque réel de préjudice grave à leur endroit ». Ces atteintes surviennent habituellement en raison d’un piratage, d’un vol, d’une perte ou d’une divulgation accidentelle de renseignements personnels à des personnes mal intentionnées.

Le préjudice grave vise notamment l’humiliation, la lésion corporelle, la perte financière, le vol d’identité, le dommage à la réputation ou aux relations, le dommage aux biens ou leur perte et les effets négatifs sur les dossiers de crédit. En outre, l’Alberta a publié des lignes directrices sur ce que constitue un risque réel de préjudice grave. On peut citer :

• le degré de sensibilité des informations en cause ;
• la probabilité que les informations aient été mal utilisées ou soient en train ou sur le point de l’être ; et
• tout autre élément prévu par règlement. La notification doit intervenir dès que possible d’un point de vue raisonnable, soit directement :
• par courriel ou toute autre forme sûre de communication si la personne concernée a consenti à recevoir des informations de la part de l’organisation sous cette forme ;
• par lettre remise à la dernière adresse résidentielle connue de la personne concernée ;
• par téléphone ; ou
• en main propre.

La notification indirecte est également autorisée si :

• la notification directe entraînerait un préjudice pour la personne concernée ;

le coût d’une notification directe est prohibitif pour l’organisation ; et

• l’organisation ne dispose pas des coordonnées de la personne concernée ou les informations qu’elle possède ne sont pas à jour.

La notification indirecte peut être effectuée au moyen d’un message bien en vue publié sur le site Web de l’organisation pendant 90 jours au moins, ou au moyen d’une publicité susceptible d’atteindre les personnes concernées.

La notification au CPVP doit décrire :

• les circonstances et la cause de l’atteinte, si elle est connue ;
• la date et la durée de l’atteinte ;
• les renseignements personnels concernés ;
• le nombre de personnes concernées ;
• les mesures prises pour atténuer le risque de préjudice pour les intéressés ;
• les mesures prises par l’organisation pour informer les intéressés de l’atteinte ; et
• le nom d’une personne-ressource désignée par l’organisation afin de répondre aux questions du CPVP concernant l’atteinte ;

La notification aux personnes concernées doit décrire :

• les circonstances et la cause de l’atteinte, si elle est connue ;
• la date et la durée de l’atteinte ;
• les renseignements personnels concernés ;
• les mesures prises par l’organisation pour atténuer le risque de préjudice pour les intéressés ;
• les mesures que les personnes concernées pourraient prendre pour diminuer ou atténuer le risque de préjudice ; et
• le processus interne de traitement des plaintes de l’organisation ainsi que le droit de l’intéressé de déposer une plainte auprès du CPVP.

La notification adressée à l’intéressé doit également mentionner un numéro sans frais ou une adresse courriel que les personnes concernées peuvent utiliser afin d’obtenir davantage d’informations.

Enfin, les organisations doivent conserver des registres des atteintes aux données pendant 24 mois.

Bien que cette disposition relative à la notification en matière d’atteinte à la sécurité des données puisse sembler constituer une autre pirouette réglementaire à laquelle les organisations doivent se soumettre, elle constitue également une mesure d’égalisation. Les organisations ayant omis de signaler les violations par le passé afin d’éviter une mauvaise presse et des représailles commerciales éventuelles auront maintenant l’obligation d’être transparentes concernant la sécurité de leurs données.

Pour obtenir davantage d’informations concernant la notification d’atteinte à la sécurité des données ou pour toute autre question relative à la protection de la vie privée, veuillez communiquer avec nous à l’adresse suivante : www.bcf.ca.