Parler maintenant ou se taire à jamais!

Les consultations sur la réglementation des avis d’atteintes aux mesures de sécurité en vertu de la LPRPDE sont maintenant en cours

En juin 2015, le Parlement du Canada a adopté la Loi sur la protection des renseignements personnels numériques (Loi) qui modifie la LPRPDE afin de prévoir la déclaration obligatoire des atteintes aux mesures de sécurité au commissaire à la protection de la vie privée et aux personnes touchées dans des circonstances très proches de celles que prévoit la Personal Information Protection Act de l’Alberta. Cependant, les exigences de déclaration n’entreront pas en vigueur tant que le règlement concernant les détails de l’avis n’a pas été édicté.

C’est donc maintenant que vous devez participer à l’élaboration du règlement qui définira vos obligations à l’avenir.

Rappelons que la Loi exige la déclaration d’une atteinte aux mesures de sécurité lorsqu’il est raisonnable, dans les circonstances, de croire que celle-ci crée un risque réel de préjudice grave. Elle prévoit trois critères dont il faut tenir compte pour déterminer la réponse à cette question.

Les parties prenantes se verront poser quelque 26 questions sur une variété de sujets, notamment si les critères visant la déclaration des atteintes aux mesures de sécurité doivent être précisés davantage, si le contenu de l’avis devrait être prévu et si les détails de toute violation devraient être conservés – même dans le cas d’une violation ne répondant pas aux critères relatifs à l’avis obligatoire – et ce, pendant combien de temps.

Préserver la flexibilité de la déclaration

En vertu de la Loi et de la législation albertaine, les entreprises disposent actuellement d’une latitude considérable quant aux moyens de communiquer l’information relative à une atteinte aux mesures de sécurité (courriel, en personne, poste) et au contenu de cette communication à l’intention des personnes touchées, pourvu que l’avis soit suffisamment détaillé pour permettre à celles-ci d’atténuer le préjudice qu’elles subissent. Cette souplesse a été bien utile aux entreprises dans le cadre des violations visées par la législation albertaine; si les parties prenantes estiment qu’il faut la préserver, elles doivent se prononcer maintenant.

Il serait également utile de fournir des commentaires sur les propositions concernant l’envoi de l’avis de l’atteinte aux mesures de sécurité aux tiers qui sont en mesure d’atténuer le risque de préjudice.

Des ajustements pour certains secteurs sont possibles

Le règlement qui sera adopté pourrait avoir une incidence sur l’ensemble des entreprises canadiennes. Comme le gouvernement a indiqué qu’il était disposé à moduler certaines dispositions du règlement pour répondre aux besoins spécifiques des entreprises de certains secteurs, il est important que ces entreprises fassent part de leurs besoins dès maintenant.

Cette première période de consultation se termine à la fin du mois de mai. Par la suite, le gouvernement publiera un projet de règlement et sollicitera d’autres commentaires du public. Cependant, il est toujours préférable de s’impliquer dans l’élaboration du règlement avant sa publication que de tenter de le faire modifier après sa rédaction.