Des questions à propos de l’obligation de déclarer les violations? Le CPVPC publie un projet de lignes directrices sur ce que vous devez savoir
Le Commissariat à la protection de la vie privée du Canada (« CPVPC ») a publié un projet de lignes directrices (les « Lignes directrices ») sur l’obligation de déclarer les violations en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») et du Règlement sur les atteintes aux mesures de sécurité.
À partir du 1er novembre 2018, les organisations assujetties à la LPRPDE devront :
- Déclarer au CPVPC les atteintes aux mesures de sécurité impliquant des renseignements personnels qui posent un risque réel de préjudice grave aux personnes;
- Notifier les personnes concernées de ces atteintes, et
- Consigner chaque atteinte dans un registre (qu’elle satisfasse ou non au critère du préjudice de l’obligation de déclaration).
Une organisation pourra aussi être dans l’obligation de notifier d’autres organisations ou institutions gouvernementales de l’atteinte si ces entités sont en mesure de mitiger ou de réduire le risque de préjudice aux personnes concernées.
Que devraient savoir les organisations à propos de la déclaration des atteintes?
Les peines. L’omission de déclarer une atteinte ou de tenir les registres obligatoires est une infraction en vertu de la LPRPDE et la non-conformité est passible d’une amende allant jusqu’à 100 000 $.
Qui devrait faire la déclaration. De façon générale, l’organisation qui a la gestion du renseignement personnel touché par l’atteinte doit déclarer cette atteinte.
Que doit-on déclarer. Une organisation doit déclarer au CPVPC une atteinte aux mesures de sécurité impliquant des renseignements personnels dont elle a la gestion s’il est raisonnable dans les circonstances de penser que l’atteinte engendre un risque réel de préjudice grave à la personne. On ne s’attend pas à ce que toutes les atteintes soient déclarées par les organisations (mais souvenez-vous, les organisations doivent enregistrer toutes les atteintes).
Les Lignes directrices suggèrent que les organisations mettent sur pied un cadre d’analyse afin d’évaluer le risque réel de préjudice grave. Cette méthode doit contribuer à ce que les atteintes soient évaluées de façon uniforme.
Que veut dire « un risque réel de préjudice grave »?
L’expression « préjudice grave » comprend un préjudice corporel, une humiliation, un dommage à la réputation ou à des relations, une perte d’emploi, d’une occasion d’affaires ou d’une opportunité professionnelle, une perte financière, un vol d’identité, les effets négatifs sur un dossier de crédit ainsi que les dommages et les pertes aux biens.
L’évaluation d’un « risque réel de préjudice grave » doit être fondée sur un examen de la confidentialité du renseignement personnel concerné par l’atteinte et la probabilité que le renseignement personnel ait été, soit ou sera utilisé à mauvais escient.
Les Lignes directrices fournissent des détails supplémentaires en vue d’aider une organisation à faire cette évaluation.
Comment déclarer. Le CPVPC a créé un formulaire utile (présentement en version projet, les commentaires sont les bienvenus) que les organisations peuvent utiliser pour déclarer une atteinte au commissaire.
L’atteinte doit être déclarée au CPVPC dès que possible après que l’organisation ait décidé qu’une atteinte s’est matérialisée, même si toutes les circonstances entourant l’atteinte ne sont pas encore connues ou confirmées. Les organisations peuvent mettre le formulaire à jour lorsque qu’elles apprennent des renseignements manquants.
Qu’en est-il de la notification des personnes?
Quand notifier. À moins que la loi ne l’interdise, chaque fois qu’une organisation décide qu’une atteinte pose un risque réel de préjudice grave à une personne, l’organisation doit notifier la personne concernée. Cette notification doit comprendre les renseignements prescrits.
La notification doit être effectuée aussitôt que possible après que l’organisation ait décidé qu’une atteinte est survenue.
Comment notifier. La notification doit être explicite et être donnée directement à la personne (sauf dans les circonstances prévues dans le règlement où la notification indirecte est permise).
Les Lignes directrices fournissent des détails supplémentaires à propos de ce que doit comprendre la notification et comment cette notification doit être réalisée.
Exigences de tenue de registre – quelles sont-elles?
Les organisations assujetties à la LPRPDE doivent tenir registre de toutes les atteintes aux renseignements personnels dont elles ont la gestion – qu’il y ait ou non risque réel de préjudice grave.
Le contenu d’un registre.
Les Lignes directrices indiquent que, au minimum, un registre doit comprendre :
- La date exacte ou présumée de l’atteinte;
- Une description générale des circonstances entourant l’atteinte;
- La nature des renseignements concernés par l’atteinte;
- La déclaration ou non de l’atteinte au Commissariat à la protection de la vie privée du Canada ou aux personnes concernées; et
- Si l’atteinte n’a pas été déclarée au Commissariat à la protection de la vie privée du Canada et aux personnes concernées, une courte explication indiquant pourquoi l’atteinte a été considérée comme ne posant pas un « risque réel de préjudice grave ».
Les Lignes directrices prévoient que le registre ne doit pas comprendre de renseignements personnels, à moins que cela ne soit nécessaire pour expliquer la nature et la confidentialité du renseignement.
Combien de temps le registre doit-il être conservé.
La LPRPDE requiert que le registre soit conservé pour une période de 24 mois à partir du jour où l’organisation a décidé qu’une atteinte a eu lieu.
À titre d’information contextuelle, en 2015, la Loi sur la protection des renseignements personnels numériques a apporté des modifications importantes à la LPRPDE, notamment la création d’une obligation de déclaration des atteintes aux renseignements et des exigences en matière de tenue de registres. En avril 2018, le gouvernement fédéral a publié le Règlement sur les atteintes aux mesures de sécurité qui vient prévoir les exigences du nouveau régime de déclaration obligatoire. Ce règlement entre en vigueur le 1er novembre 2018.
Les Lignes directrices publiées le 17 septembre 2018 invitent les intéressés à donner leur avis au plus tard le 2 octobre 2018.