Projet de règlement sur la déclaration obligatoire des atteintes à la protection des données : la période de commentaires est ouverte

Le 2 septembre 2017, le gouvernement du Canada a publié un projet de règlement (Règlement) dans la Gazette du Canada, qui énonce des détails concernant les exigences de déclaration obligatoire des atteintes à la protection des données (modifications de la LPRPDE) en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Les modifications de la LPRPDE ont été adoptées en juin 2015, mais ne sont pas encore en vigueur.

Aperçu

Le Règlement établit les exigences proposées relativement à la déclaration des atteintes aux mesures de sécurité (chacune, une atteinte). En vertu des modifications de la LPRPDE, une déclaration au commissaire à la protection de la vie privée du Canada (commissaire) est requise s’il est raisonnable dans les circonstances de croire que l’atteinte présente un « risque réel de préjudice grave » à l’endroit de tout individu. Le Règlement comprend des détails sur i) le contenu d’une déclaration d’atteinte adressée au commissaire; ii) le contenu d’un avis à l’endroit d’un intéressé touché par une atteinte; iii) la manière dont les avis doivent être fournis; et iv) les exigences concernant les registres à tenir.

À l’heure actuelle, l’Alberta est le seul territoire canadien dans lequel la déclaration des atteintes à la protection des données est obligatoire. Le seuil du « risque réel de préjudice grave » établi dans les modifications de la LPRPDE et dans les exigences en matière de déclaration en vertu du Règlement sont essentiellement similaires aux exigences en vertu de la législation en matière de protection de la vie privée dans le secteur privé de l’Alberta, la Personal Information Protection Act (PIPA de l’Alberta). La pratique et l’expérience en Alberta pourraient par conséquent être prises en compte dans l’interprétation des nouvelles exigences fédérales.

Avis au commissaire

La déclaration d’une atteinte auprès du commissaire doit être faite par écrit et doit contenir les renseignements précis énoncés dans le Règlement. Il n’y a rien de surprenant dans le contenu requis pour une déclaration au commissaire, qui reflète le formulaire actuel fourni par le commissaire aux fins de déclaration volontaire et qui est similaire aux exigences de la PIPA de l’Alberta.

L’Office of the Information and Privacy Commissioner de l’Alberta (commissariat de l’Alberta) publie actuellement les décisions en matière d’avis d’atteinte lorsqu’un risque réel de préjudice grave a été déterminé et qu’un avis aux intéressés était requis. Ces décisions comprennent le nom de l’organisation qui a subi l’atteinte et comprend l’analyse par le commissariat de l’Alberta du préjudice touchant les intéressés. Il reste à voir si le commissaire adoptera cette pratique. S’il le fait, les organisations doivent être prêtes à ce qu’une atteinte soit rendue publique lorsqu’elle est déclarée au commissaire.

Avis aux intéressés

En vertu des modifications de la LPRPDE, les organisations doivent aviser un intéressé touché par une atteinte lorsqu’il est raisonnable de croire que l’atteinte crée un risque réel de préjudice grave pour l’intéressé.

La majeure partie du contenu de ces avis requis reflète les exigences en vertu de la PIPA de l’Alberta en ce qui a trait à la déclaration obligatoire des atteintes et les exigences de déclaration à l’endroit du commissaire aux fins d’avis volontaire aux intéressés, avec certains ajouts. Plus particulièrement, une exigence proposée consisterait à inclure une description des mesures que l’intéressé pourrait prendre afin de réduire le risque de préjudice.

Le Règlement énonce la manière de fournir un avis directement aux intéressés. Un avis « par courriel ou par tout autre moyen de communication sécurisé » semble être permis seulement si l’intéressé a consenti à recevoir des renseignements de l’organisation de cette manière. Selon le projet actuel, il n’est pas tout à fait clair si le consentement est nécessaire pour les avis par courriel ou seulement pour les avis envoyés « par tout autre moyen de communication sécurisé ». Les avis sur papier (livrés ou envoyés par courrier ordinaire), par téléphone et en personne peuvent être utilisés sans consentement. À notre avis, l’exigence de consentement devrait être supprimée pour permettre la transmission d’un avis par moyen électronique lorsque ce moyen a déjà été utilisé par l’organisation afin de communiquer avec les intéressés. De plus, une préférence pour la communication personnelle plutôt qu’électronique est démodée.

Le Règlement énonce également les circonstances dans lesquelles l’avis aux intéressés peut être donné indirectement, notamment lorsque les coûts d’un avis donné directement sont excessifs pour l’organisation. Ceci pourrait être bénéfique pour les entreprises dans certaines circonstances, particulièrement pour les petites et moyennes entreprises visées par des atteintes qui touchent plusieurs personnes. Toutefois, afin de fournir un avis indirectement, l’organisation devrait publier bien en vue des renseignements sur l’atteinte sur son site Web ou publier une annonce susceptible de joindre les intéressés.

Exigences en matière de tenue de registres

Le Règlement oblige les organisations à tenir un registre de toute atteinte pendant 24 mois après la date à laquelle il a été conclu que l’atteinte a eu lieu. Cette exigence relative aux registres a été critiquée comme étant excessivement vaste puisqu’elle exige la tenue de registres à l’égard de toutes les atteintes, incluant celles qui ne comportent pas de « risque de préjudice grave » pour les individus et qui n’auraient pas à être déclarées au commissaire.

Ces registres doivent comprendre des renseignements qui permettent au commissaire de vérifier la conformité aux exigences en matière de déclaration et d’avis en vertu de la LPRPDE. Lorsqu’une déclaration au commissaire a été faite, cette déclaration peut être utilisée à titre de registre pour respecter l’exigence en matière de tenue de registres.

Prochaines étapes

Les membres du public peuvent présenter leurs observations au sujet du Règlement jusqu’au 2 octobre 2017¹.

Il est prévu qu’une fois la version définitive du Règlement publiée, il y aura une période de transition avant que les modifications de la LPRPDE et le Règlement entrent en vigueur. Le gouvernement n’a pas indiqué la durée de cette période de transition, quoique le résumé de l’étude d’impact de la réglementation indique que les parties intéressées ont proposé des périodes de transition allant de six à dix-huit mois. Puisqu’il y a eu une consultation à ce sujet en 2016, les modifications de la LPRPDE et le Règlement pourraient être finalisés assez rapidement. Par conséquent, les organisations doivent se préparer à mettre à jour leur plan d’intervention en cas d’atteinte afin de répondre aux exigences des modifications de la LPRPDE et du Règlement une fois qu’ils seront finalisés.

Note

¹ Soulignons qu’il y a eu une consultation l’an dernier sur ce qui devrait être inclus aux termes du Règlement (avant qu’une ébauche du Règlement n’ait été publiée). Certaines réponses dans le cadre de cette consultation ont manifestement été prises en compte dans la rédaction du Règlement.