Prendre le temps d’évaluer le RRPG : obligations en matière de tenue de registres et de notification d’atteinte en vertu de la LPRPDE

Compte tenu d’une récente publication du Commissariat à la protection de la vie privée du Canada, les entreprises devraient connaître l’importance des activités de conformité en matière d’atteinte qui sont parfois oubliées, notamment la consignation des atteintes à la sécurité des données et la manière de mettre en œuvre un système de gestion des atteintes efficace, qui peuvent constituer un outil de conformité important. 

Le Commissariat à la protection de la vie privée (CPVP) fédéral a récemment publié son rapport sur les Inspections des registres d’atteintes à la vie privée 2019 (rapport)¹ sur la manière dont les organisations traitent les questions liées aux obligations en matière de tenue de registre des atteintes et de notification en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)². Le rapport fournit aux organisations des directives sur l’évaluation et la consignation du « risque réel de préjudice grave » (RRPG), qui nécessite la notification des organismes de réglementation et des personnes. 

L’un des principaux points à retenir du rapport est l’importance pour les organisations de mettre en place un système de gestion des atteintes qui évalue de manière cohérente et appropriée l’existence d’un RRPG en cas d’atteinte. De plus, un système de tenue de registre qui consigne de manière appropriée une telle évaluation peut servir de preuve de conformité en ce qui concerne la notification obligatoire des atteintes. 

Pratiques lors de l’évaluation des RRPG

La LPRPDE exige non seulement qu’une organisation signale toutes les atteintes pouvant mener à un RRPG, mais aussi qu’elle les consigne, que ces atteintes doivent être signalées ou non. Dans les cas où aucun RRPG n’est présent, une organisation devrait également s’assurer que le dossier comprenne suffisamment de détails sur l’évaluation du RRPG en cas d’enquête future par le CPVP. Parmi les pratiques décrites par le CPVP, mentionnons les suivantes :

• Privilégier le travail d’équipe dans le cadre de l’évaluation du RRPG. Le CPVP encourage le travail d’équipe pour améliorer la capacité d’une organisation à cerner tous les facteurs pouvant influencer l’évaluation du RRPG pour chaque atteinte, et pour sensibiliser à la protection de la vie privée et promouvoir une uniformité dans la manière dont l’organisation aborde le RRPG et traite les incidents d’atteinte.
• Considérer le contexte. Le CPVP fait remarquer que divers facteurs peuvent influencer l’évaluation du RRPG des différentes atteintes et il présente quatre exemples d’atteinte à cet égard. Ces exemples sont conformes aux directives précédentes du CPVP et reconnaissent l’importance de l’évaluation i) de la sensibilité des renseignements personnels visés par l’atteinte; et ii) de la probabilité que les renseignements personnels fassent l’objet d’une utilisation à mauvais escient. Ils illustrent également la manière dont cette évaluation est adaptée au contexte – un RRPG peut survenir compte tenu de la situation particulière d’une personne (p. ex. ses relations, sa situation financière, son état de santé ou si les renseignements de la personne ont été exposés auparavant, etc.).
• Meilleurs outils pour évaluer le RRPG. Le CPVP constate que les entreprises peuvent avoir recours à divers outils pour évaluer le RRPG. Le type d’outil – que ce soit une matrice des risques, une liste de contrôle ou une liste de questions – dépendra des activités et des besoins de l’organisation.  

Pratiques lors de la consignation d’une évaluation du RRPG 

Les registres sur les atteintes doivent contenir suffisamment de renseignements pour que le CPVP vérifie la conformité d’une organisation à l’égard des obligations de déclaration et de notification des atteintes. Le rapport décrit aussi les pratiques suivantes relativement à la tenue de registres :

• Donner suffisamment d’information. Les registres des atteintes doivent contenir suffisamment de détails pour déterminer si l’atteinte présentait un RRPG ou non. Par exemple, le registre pourrait comprendre une explication de la raison pour laquelle l’organisation a déterminé que l’atteinte ne présentait pas de RRPG. Il devrait également comprendre des renseignements sur la sensibilité des renseignements personnels en cause et sur la probabilité que les renseignements personnels fassent l’objet d’une utilisation à mauvais escient. Selon le rapport, une organisation peut démontrer qu’elle respecte les obligations de notification des atteintes prévues dans la LPRPDE en fournissant suffisamment de détails sur l’évaluation du RRPG dans ses registres des atteintes.
• Secret professionnel. Les registres ou des parties des registres d’une organisation peuvent être assujettis au secret professionnel. Néanmoins, selon le rapport, même si une organisation est d’avis que le secret professionnel de l’avocat s’applique à une partie ou à la totalité d’un dossier au registre des atteintes, elle doit tout de même conserver au dossier les renseignements prescrits de manière à pouvoir les fournir au CPVP si celui-ci en fait la demande. En conséquence, l’organisation devra consigner et mettre en œuvre des procédures pour s’assurer qu’elle est en mesure de respecter le secret professionnel à l’égard de ces registres (ou parties de registres) tout en respectant cette exigence. Un moyen efficace de le faire serait d’en tenir compte dans la conception d’un cadre de travail pour évaluer le RRPG.
• Période de conservation des dossiers adéquate. Le CPVP propose de conserver les registres pendant plus de 24 mois afin que le système de gestion des atteintes de l’organisation améliore sa capacité de détecter les tendances, les problèmes systémiques et les angles morts. 

En plus d’inclure les éléments susmentionnés dans son système de gestion des atteintes, le rapport recommande que les organisations vérifient et améliorent continuellement ces systèmes (notamment pour s’assurer que le personnel d’une organisation signale suffisamment les atteintes). Une organisation peut donc vouloir réévaluer son système de gestion des atteintes pour s’assurer qu’il comporte les éléments indiqués dans le rapport, ainsi que des procédures pour vérifier et améliorer continuellement le système.

Les auteures désirent remercier Roxanne Caron, étudiante en droit, pour son aide dans la préparation de cette actualité juridique.