De nouvelles règles relatives à la déclaration obligatoire des atteintes à la vie privée – Ce que doivent savoir les entreprises sous réglementation fédérale

Le régime de signalement des atteintes la vie privée et de tenue de registres établi en vertu de la loi fédérale relative à la protection des données, la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») est entrée en vigueur le 1^er novembre 2018. En vertu de ces nouvelles dispositions, les organisations seront tenues d'informer les personnes visées et le Commissariat à la protection de la vie privée du Canada (le « Commissariat ») des atteintes à la vie privée, dans certaines circonstances précises décrites ci-dessous. 

Bien que ces changements aient une incidence sur les entreprises d'un bout à l'autre du pays, elles touchent particulièrement les entreprises sous réglementation fédérale. Ces dernières sont sujettes au nouveau régime portant sur les renseignements personnels sous leur contrôle, à la fois en matière d'employés et de particuliers.  Ainsi, les personnes visées peuvent comprendre les employés d'entreprises sous réglementation fédérale, leurs clients ou toute autre personne dont les renseignements personnels ont été recueillis.  

Dans ce bulletin, nous examinons les dispositions pertinentes de la LPRPDE et de la règlementation applicable, entre autres, le Règlement sur les atteintes aux mesures de sécurité (le « Règlement ») . Nous formulons également quelques observations en ce qui concerne les répercussions de ce régime pour les entreprises assujetties à la LPRPDE. Pour en savoir plus sur les mesures concrètes qui devraient être envisagées pour s'assurer de la conformité au nouveau Règlement, veuillez lire notre bulletin intitulé Directives pratiques pour se conformer aux nouvelles règles relatives aux atteintes à la vie privée au Canada.

Contexte

Le 18 juin 2015, le Canada a adopté le projet de loi S-4, la Loi sur la protection des renseignements personnels numériques, qui a apporté plusieurs modifications importantes à la LPRPDE. La plupart des modifications sont entrées en vigueur le 18 juin 2015. Toutefois, les dispositions de la loi relatives au signalement obligatoire des atteintes à la protection des données et à la tenue de registre que nous décrivons dans ce bulletin ne sont entrées en vigueur que le 1^er novembre 2018.

Critère : un risque réel de préjudice grave

L'article 10.1 de la LPRPDE oblige les organisations à aviser les personnes visées (sauf si la loi l'interdit) et à déclarer les atteintes à la protection des données personnelles au Commissariat s'il est raisonnable de croire que l'atteinte présente « un risque réel de préjudice grave à l'endroit d'un individu ».

La définition de « préjudice grave » aux termes de la LPRPDE comprend, parmi d'autres préjudices, l'humiliation, le dommage à la réputation ou aux relations et le vol d'identité. Afin de déterminer s'il existe un « risque réel », il faut considérer le degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements soient utilisés de manière abusive et de tout autre élément prescrit. Le Règlement n'identifie aucun autre facteur, toutefois le Commissariat a publié des lignes directrices à cet égard (les « Ligne directrices du Commissariat »).

La personne visée doit être informé de toute atteinte à la vie privée, et un rapport doit être envoyé au Commissariat, « dès que possible » et suivant les modalités prescrites.

Déclaration au Commissariat

En vertu de l'article 2 du Règlement, toute rapport au Commissariat doit être faite par écrit (envoyée par un moyen de communication sécurisé) et doit contenir les renseignements suivants :

• les circonstances de l'atteinte et, si elle est connue, sa cause;
• la date ou la période où il y a eu atteinte ou, si elles ne sont pas connues, une approximation de la période;
• les renseignements personnels visés par l'atteinte, dans la mesure où ces renseignements sont connus;
• le nombre d'individus visés par l'atteinte ou, s'il n'est pas connu, leur nombre approximatif;
• les mesures que l'organisation a prises pour réduire le risque ou atténuer le préjudice résultant de l'atteinte à l'endroit des personnes visées;
• les mesures que l'organisation a prises ou qu'elle entend prendre pour aviser les personnes visées;
• le nom et les coordonnées d'une personne qui peut répondre, au nom de l'organisation, aux questions du Commissariat au sujet de l'atteinte.

Le Résumé de l'étude d'impact de la réglementation (REIR), qui a été publié en même temps que le Règlement, prévoit que le signalement au Commissariat doit seulement fournir les renseignements ci-dessus à l'égard des personnes visées qui risquent réellement de subir un préjudice grave. Le signalement au Commissariat ne doit pas inclure de renseignements en ce qui a trait à d'autres personnes visées ne risquant pas de subir un préjudice grave, ou risquant seulement un  risque de préjudice minime.

Une organisation peut soumettre au Commissariat tout nouveau renseignement mentionné ci-dessus  dont l'organisation prend connaissance après avoir soumis le rapport. Tel qu'énoncé dans le REIR, ceci a pour objet de répondre aux situations où une organisation découvre une atteinte à la vie privée (et, par conséquent, doit la signaler aussitôt que possible), mais l'ampleur réelle de l'atteinte pourrait ne pas être connue avant plusieurs semaines ou mois jusqu'à ce que l'enquête est conclue. Les éléments proposés ci-dessus sont, pour la plupart, conformes aux obligations en matière de signalement d'atteintes à la vie privée en vigueur en Alberta depuis plusieurs années, ainsi que la pratique canadienne courante en matière de signalement.

Avis aux personnes visées

La LPRPDE prévoit que le signalement doit contenir suffisamment d'information pour permettre à la personne visée de comprendre l'importance de l'atteinte et de prendre des mesures, si possible, pour réduire le risque de préjudice qui pourrait découler de ladite atteinte.  De plus, en vertu de l'article 3 de la règlementation, les signalement doivent contenir les éléments particuliers qui suivent :

• une description des circonstances de l'atteinte;
• la date ou la période où il y a eu atteinte ou, si elles ne sont pas connues, une approximation de la période;
• une description des renseignements personnels visés par l'atteinte, dans la mesure où ces renseignements sont connus;
• une description des mesures que l'organisation a prise afin de réduire le risque de préjudice découlant de l'atteinte;
• une description des mesures que les personnes visées peuvent prendre afin de réduire le risque de préjudice découlant de l'atteinte ou d'atténuer ce préjudice;
• le nom et les coordonnées d'une personne que la personne visée peut utiliser pour obtenir de plus amples renseignements au sujet de l'atteinte.

L'avis doit être manifeste et être donné directement à la personne visée, sauf dans certaines circonstances où il peut être donné indirectement (p. ex. par affichage sur un site Web).

En vertu de l'article 4 du Règlement, l'avis aux personnes visées est donné directement « en personne, par téléphone, par courrier, par courriel ou par tout autre moyen de communication qu'une personne raisonnable estimerait acceptable dans les circonstances ». Cette disposition neutre sur le plan technologique donnera une flexibilité considérable aux organisations canadiennes sur la façon dont les avis sont fournis à partir de maintenant et à l'avenir.

Selon l'article 5 du Règlement, un avis indirect doit être donné à une personne visée dans l'une ou l'autre des circonstances suivantes :

• le fait de donner l'avis directement serait susceptible de causer un préjudice accru à l'individu;
• un avis direct serait susceptible de causer des difficultés excessives pour l'organisation;
• l'organisation n'a pas les coordonnées de la personne visée.

La possibilité de fournir un avis indirect pourrait s'avérer important pour les organisations de petite ou de moyenne taille en présence d'une atteinte ayant une incidence sur un grand nombre de personnes (compte tenu des coûts de l'avis et de leurs ressources limitées).  Toutefois, les dispositions ci-dessus pourraient créer des situations complexes auquel cas il faudrait évaluer les exigences en matière d'avis au cas par cas. Certaines des personnes visées par une atteinte devront être avisées directement alors qu'il suffirait pour d'autres de les en  aviser  indirectement. Par exemple, dans le cas où une organisation ne possède pas les coordonnées d'une partie des membres du groupe visé, elle pourrait être tenue de donner un avis indirect en plus de devoir donner un avis direct aux membres du groupe dont elle possède les coordonnées.

En outre, l'article 5 du Règlement prévoit la manière dont un avis indirect doit être donné. Un avis indirect doit être fournit  par le biais d'une « communication publique ou par toute mesure similaire dont on peut raisonnablement s'attendre à ce qu'elle permette de joindre la personne visée ». Cette obligation générale offre beaucoup de flexibilité sur la façon dont les avis indirects peuvent être donnés. Néanmoins, il est prévisible que des disputes surviendront à savoir si cette exigence a été remplie dans une situation donnée.

L'organisation qui avise un individu doit, en vertu de l'article 10.2 de la LPRPDE, aussi le signaler aux  autres organisations et aux autres institutions gouvernementales si cet avis est susceptible de réduire les risques ou d'atténuer le préjudice. Cette communication peut se faire sans le consentement de la personne visée.

En outre, le Commissariat peut publier de l'information au sujet des signalement s'il estime qu'il est dans l'intérêt public de le faire.

Obligation de tenir des registres de toutes les atteintes

L'article 10.3 de la LPRPDE oblige les organisations à tenir et à conserver un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elles ont la gestion.  Il n'y a pas de critère minimal à respecter en ce qui concerne la tenue des registres. L'organisation doit tenir un registre de toutes les atteintes, indépendamment de la question de savoir si elles donnent lieu ou non à un risque réel de préjudice grave.

Cette obligation ne s'appliquant qu'aux renseignements personnels sous le contrôle de l'organisation, les fournisseurs de services ne devraient pas avoir d'obligation directe en vertu de la LPRPDE en ce qui à trait à la conservation de registres des atteintes portant sur les renseignements personnels qu'ils traitent pour d'autres organisations (même si ces dernières sont assujetties à la LPRDPE et doivent s'assurer que les fournisseurs sont contractuellement tenus de leur fournir les renseignements dont elles ont besoin pour respecter leurs obligations en matière de tenue de registre).  Les lignes directrices du Commissariat affirment ce qui précède, mais soulignent également que « les relations d'affaires peuvent être très complexes et qu'il faut évaluer au cas par cas quelle organisation a la « gestion » des renseignements personnels ».

L'article 6 du Règlement prévoit que les registres doivent contenir « tout renseignement qui permet au Commissariat de vérifier la conformité aux [dispositions relatives à la déclaration et au signalement d'atteintes] ». Autrement dit, le Commissariat doit être en mesure de confirmer que l'organisation a déclaré l'atteinte et en a avisé la personne visée comme l'exige la LPRPDE dans chaque cas.  Les lignes directrices du Commissariat ajoutent à cette exigence générale, puisqu'ils'attend à ce que les registres d'atteintes contiennent (au minimum) ce qui suit :

• la date ou la date présumée de l'atteinte;
• une description générale des circonstances de l'atteinte;
• la nature des renseignements en cause;
• le fait que l'atteinte ait été ou non signalée au Commissariat et que les personnes visées aient ou non été informés de l'atteinte;
• si l'atteinte a été déclarée et que les personne visées ont été informé, l'information qui montre que l'organisation s'est acquittée de ses obligations de signalement au Commissariat et d'avis aux individus; et
• si l'atteinte n'a pas été signalée ou que les personnes visées n'ont pas été informé de l'atteinte de la façon prévue dans la LPRPDE, des détails suffisants pour permettre au Commissariat d'évaluer si la norme relative au risque réel de préjudice important a été correctement appliquée, détails qui pourraient comprendre une brève explication de la raison pour laquelle l'organisation a jugé qu'il n'existait aucun risque réel de préjudice grave.

Les registres des atteintes ne devraient pas contenir de renseignements personnels à moins que cela ne soit nécessaire à l'explication de la nature et de l'aspect sensible des renseignements.

Les organisations doivent fournir ces registres au Commissariat sur demande.  Le Commissariat peut rendre publics les renseignements contenus dans les registres en question s'il estime que cette communication est dans l'intérêt public. Le Commissariat peut également lancer une enquête ou procéder à une vérification sur la foi des renseignements contenus dans le dossier relatif à l'atteinte.

L'obligation de tenir des registres est une considération importante en matière de conformité, qui a le potentiel d'occasionner des coûts et des risques pour les organisations. Suivant le REIR, l'exigence de conserver des registres en matière d'atteintes offre aux organisations la possibilité de suivre et d'analyser leurs expériences en la matière et d'en tirer des leçons. Toutefois, l'exigence de tenir des registres crée également un certain nombre de risques éventuels, incluant la possibilité que ces renseignements soient réclamés par des tiers.  Par exemple, dans le cadre de poursuites en matière de protection de la vie privée intentées au Canada, il arrive souvent que les avocats des demandeurs plaident leur cause de manière à réclamer un grand nombre de documents, de politiques et de renseignements internes portant sur des atteintes antérieures jugées pertinentes dans le cadre du processus de divulgation de la preuve. On pourrait donc s'attendre à ce que les avocats des demandeurs réclament la production du « dossier relatif à une atteinte » au cours de la communication de la preuve dans les procès pour atteinte au droit à la vie privée et à ce qu'ils plaident leurs causes de manière à atteindre cet objectif. Cette tactique est déjà répandue dans les litiges en matière d'atteinte à la vie privée et dans les recours collectifs. Ceci pourrait s'avérer très important dans le cadre de litiges (p. ex., cela pourrait servir de fondement à des réclamations pour dommages-intérêts punitifs ou majorés) et pourrait ouvrir la porte à des litiges supplémentaires. Comme nous le soulignons plus loin, les organisations devront conserver les registres d'atteintes pendant au moins deux ans à compter de la date à laquelle une atteinte a été confirmée, ce qui coïncide avec le délai de prescription des actions civiles dans la plupart des provinces canadiennes. Par conséquent, il est concevable que si un demandeur arrivait à obtenir un dossier d'atteinte dans le cadre du processus de divulgation de la preuve et qu'il y découvrait  d'autres réclamations potentielles relatives aux atteintes (y compris des atteintes qui n'ont pas entraîné d'avis aux personnes visées), l'organisation soit exposée au risque de litiges supplémentaires relativement à ces questions.

Les assureurs éventuels contre les menaces à la cybersécurité pourraient également souhaiter consulter le « dossier relatif à l'atteinte » au cours du processus de souscription à la police d'assurance, soit au moment de l'évaluation du risque, en plus de poser les questions habituelles au sujet des atteintes et des incidents antérieurs.

De plus, les organisations envisageant de sous-traiter des services à un fournisseur de services considèreront peut-être la possibilité de demander l'accès au dossier relatif à l'atteinte dans le cadre d'une vérification diligente et de la surveillance de leurs fournisseurs actuels ou éventuels, sous réserve de considérations relatives à la confidentialité. Les parties à une transaction commerciale pourront également souhaiter examiner ces renseignements dans le cadre d'une vérification diligente pour les aider à déterminer la valeur et les risques associés à une transaction.

Enfin, compte tenu du pouvoir du Commissariat d'exiger à tout moment la production de dossiers relatifs aux atteintes, il est intéressant de constater que le REIR énonce que « les déclarations d'atteintes au Commissariat seront aussi présentées de façon à pouvoir comparer et regrouper les incidents et constituer ainsi un répertoire d'information sur les incidents touchant la sécurité des données au Canada ». Bien que cette affirmation porte sur les déclarations d'atteintes et non sur la tenue de registres, il est fort possible d'envisager la possibilité que le Commissariat exige la consultation des dossiers relatifs aux atteintes afin de pouvoir constituer un répertoire plus complet de renseignements sur les atteintes à la sécurité de donnéeset d'élaborer des politiques fondées sur des données probantes. D'ailleurs, le REIR envisage cette utilisation lorsqu'il énonce qu'« un répertoire efficace permettant au [Commissariat] d'acquérir une compréhension générale de la nature et de l'ampleur des atteintes survenant au Canada peut être créé ». Les organisations régies par la LPRPDE devraient envisager la possibilité que le Commissariat demande de pouvoir consulter leurs dossiers relatifs aux atteintes.

Autres questions en matière de conformité

Avant la publication du projet de Rrèglement et de sa version définitive, le gouvernement canadien a mené de vastes consultations publiques sur la déclaration d'atteintes et la tenue de registres. Voici quelques questions importantes qui ont surgi au cours des consultations, mais qui ne se sont pas retrouvées dans le Règlement :

• Atteintes et obligations de fournisseurs de services : L'organisation ayant le contrôle des renseignements devra s'assurer de sa conformité avec les exigences de la LPRPDE en matière de tenue de registres et de signalement et tenir compte d'une vaste gamme de mesures, notamment contractuelles, pour assurer la gestion des risques et la conformité découlant des atteintes par un fournisseur de services (p. ex., en prévoyant des dispositions obligeant le fournisseur de services à aviser le client des atteintes soupçonnées, à collaborer avec le client et à partager des renseignements pour faire enquête sur ces atteintes, et à fournir au client les renseignements nécessaires pour lui permettre de respecter ses obligations en matière de déclaration d'atteintes et de tenue de registres). Bien que ces questions ne soient pas nouvelles, la mise en œuvre d'exigences en matière de déclaration obligatoire des atteintes et de tenue de registres accroît la nécessité de bien examiner les contrats des vendeurs et les autres mesures pour s'assurer qu'ils contiennent l'éventail complet des dispositions nécessaires.
• Chiffrement : Le Règlement ne prévoit pas que les atteintes impliquant des renseignements personnels chiffrés présenteront nécessairement un risque de préjudice plus faible, ou qu'elles feront l'objet d'une exemption en matière de signalement. Le Commissariat s'est opposé à cette solution en constatant qu'il fallait tenir compte du niveau et de l'efficacité du chiffrement ainsi que de la possibilité que les clés de chiffrement soient compromises. Bien que cela n'exclue pas nécessairement l'examen du chiffrement lorsqu'il s'agit d'évaluer le risque, le Règlement ne va pas aussi loin que l'auraient souhaité certains intervenants.

Conclusion

Jusqu'à maintenant, une grande partie du secteur privé canadien n'a pas eu à se préoccuper de la question du signalement obligatoire des atteintes à la vie privée. Pendant un certain nombre d'années, l'Alberta était la seule province canadienne dotée d'une loi d'application générale en matière de protection des renseignements personnels qui obligeait les entreprises du secteur privé à signaler les atteintes.

L'entrée en vigueur des dispositions de la LPRPDE relatives au signalement obligatoire d'atteintes à la vie privée et à la tenue de registres constitue un changement radical dans la conduite des activités commerciales au Canada. Les règles entraîneront de nouveaux coûts, de nouveaux risques et de nouveaux défis pour les organisations, peu importe leur taille, notamment en ce qui concerne la gestion des risques juridiques, la conformité, la planification des réponses et les réponses aux incidents, ainsi qu'un risque accru de responsabilité et d'expositions aux litiges et à la règlementation. Par exemple, selon l'expérience en matière de signalement des atteintes aux États-Unis et au Canada, le risque de poursuites et de recours collectifs dans le sillage d'une atteinte à la protection des données personnelles est susceptible d'augmenter à la suite d'un signalementn.

Les nouvelles règles augmenteront également l'intérêt déjà marqué et sans cesse croissant en matière d'assurance contre les menaces à la cybersécurité au Canada, qui couvre souvent les enquêtes, la déclaration, la responsabilité, la défense et d'autres coûts liés à la réponse aux atteintes à la protection des données. L'instauration de la déclaration obligatoire d'atteintes à la protection de la vie privée dans d'autres pays a été perçue comme un moment critique dans la croissance vigoureuse du marché de la cyberassurance.

Compte tenu des nouvelles règles ajoutées à la LPRPDE, les organisations doivent, maintenant plus que jamais, s'assurer qu'elles adoptent des mesures de sauvegarde et des politiques et des procédures internes leur permettant d'adéquatement détecter et désamorcer les incidents d'atteinte à la vie privée et d'y réagir adéquatement. Par exemple, il est indispensable que les organisations adoptent un plan de réponse aux incidents et offrent à leur personnel une formation à cet égard leur permettant de désamorcer et de signaler toute atteinte soupçonnée de manière à satisfaire aux nouvelles exigences de la LPRPDE. Une violation des dispositions en matière de signalement des atteintea peut constituer une infraction et entraîner l'imposition d'amendes, ainsi qu'avoir des répercussions potentielles dans le cadre d'un litige civil.  Le fait de ne pas répondre à une atteinte à la protection de la vie privée conformément à la LPRPDE risque d'aggraver considérablement la responsabilité à cet égard.