N’oubliez pas ! L’obligation de déclarer les atteintes à la sécurité entre en vigueur le 1er novembre
Par Catherine Lovrics et Amanda Branch
Les exigences tant attendues quant à l’obligation de déclarer les atteintes à la sécurité des données entreront en vigueur le 1er novembre 2018, conformément au décret annoncé par le gouvernement fédéral le 26 mars 2018.
Le nouveau mécanisme s’applique aux organisations qui sont régies par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Il concerne les organisations qui gèrent les renseignements personnels de la plupart des Canadiens dans le cadre d’activités commerciales. Une réglementation différente est en vigueur en Alberta, en Colombie-Britannique et au Québec. Des exigences relatives à l’obligation de déclarer les atteintes à la sécurité des données sont imposées en Alberta depuis des années, et on s’attend à ce que la Colombie-Britannique et le Québec fassent de même afin de veiller à ce que leur réglementation sur la protection de la vie privée reste essentiellement semblable à la LPRPDE.
Suivant le nouveau mécanisme, si une organisation est victime d'une atteinte à la sécurité susceptible de donner lieu à un « risque réel de préjudice grave », elle devra i) déclarer l'incident au Commissariat à la protection de la vie privée du Canada ; ii) aviser les personnes touchées et iii) aviser tout tiers qui serait en mesure d’atténuer le risque de préjudice pour les personnes touchées. Une telle déclaration devra être faite dès que possible après que l’organisation aura découvert qu’il y a eu atteinte à la sécurité.
Des exigences relatives à la déclaration d’atteintes à la sécurité étaient comprises dans la Loi sur la protection des renseignements personnels numériques, adoptée en 2015. Près de trois ans plus tard, les articles 10, 11 et 14, et les paragraphes 17(1) et (4), ainsi que les articles 19 et 22 à 25 sont entrés en vigueur et venaient modifier la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). En septembre 2017, le gouvernement fédéral a publié une version provisoire des règlements et a indiqué que l’entrée en vigueur des règlements suggérés serait reportée afin de donner aux organisations le temps d’adapter leurs politiques et leurs procédures.
Le gouvernement a essayé d’atteindre l’équilibre de façon à ce que les consommateurs soient informés explicitement de toute atteinte constituant un « risque réel de préjudice grave ». Si un bon équilibre est atteint, les consommateurs seront attentifs et prendront des mesures pour se protéger et atténuer tout autre dommage. Dans le cas contraire, il y aura un déferlement de notifications, entraînant un véritable risque d’insensibilité aux notifications.
insensibilité aux notifications
/ɛ̃sɑ̃sibilite/oz-/nɔtifikasjɔ̃/
Expression
– insouciance causée par l’épuisement mental résultant du traitement d’un déferlement de notifications
– détachement ou désintérêt engendré par des tentatives excessives d’attirer l’attention de quelqu’un par l’envoi de notifications
– réduction de l’efficacité du processus mental après la réception d’un déferlement de notifications