Passer au contenu principal
Ce site utilise des témoins de connexion (« cookies ») en conformité avec notre politique de vie privée. En continuant à utiliser ce site, vous acceptez notre utilisation des témoins de connexion.
Bulletin

Nouvelles règles importantes en matière de déclaration obligatoire d’atteinte à la vie privée et de tenue de registres au Canada

Fasken
Temps de lecture 31 minutes
S'inscrire

Bulletin Protection des renseignements confidentiels, vie privée et cybersécurité

Le 18 avril 2018, le gouvernement canadien a publié la version définitive du règlement portant sur la déclaration obligatoire des atteintes à la vie privée en application de la loi fédérale canadienne relative à la protection des données, la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »). Le nouveau règlement que vous trouverez ici entrera en vigueur le 1er novembre 2018.

La version définitive du Résumé de l'étude d'impact de la réglementation (le « REIR ») qui accompagne la publication du règlement explique les divers aspects et souligne certaines des dispositions qui ont été créées ou non créées en réponse aux consultations menées auprès des intervenants et aux observations du commissaire à la protection de la vie privée du Canada (le « commissaire »). Bien que le REIR n'ait pas force de loi, il fournit un contexte et des renseignements importants sur les intentions du gouvernement et l'interprétation du règlement.

Comme l'explique le REIR, publié avec la version définitive du règlement, le gouvernement a tenté d'aligner les règles canadiennes avec les règles de déclaration d'atteinte à la vie privée du Règlement général sur la protection des données (le « RGPD ») de l'Union européenne (l'« UE ») qui entrera bientôt en vigueur. L'alignement avec le RGPD est jugé important à l'égard des échanges commerciaux entre le Canada et l'UE. L'UE a longtemps considéré que la LPRPDE offrait un niveau de protection de la vie privée adéquat, ce qui a permis la libre circulation des renseignements personnels entre les organisations de l'UE et celles du Canada. De toute évidence, le Canada souhaite maintenir le statu quo.

Nous avons précédemment analysé le projet de règlement et le REIR initial : consultez l'article « Nouvelles règles en matière de déclaration obligatoire d'atteintes à la vie privée au Canada » à cet égard. La version définitive du règlement intègre un certain nombre de changements favorables par rapport au projet de règlement. Dans cet article, nous actualisons l'analyse des dispositions pertinentes de la LPRPDE et de la version définitive du règlement qui entrera en vigueur le 1er novembre 2018 et nous formulons des observations quant à leurs répercussions essentielles sur les organisations assujetties à la LPRPDE.

Contexte

Les dispositions de la LPRPDE relatives à la déclaration des atteintes

Le 18 juin 2015, le Canada a adopté la Loi sur la protection des renseignements personnels numériques (aussi appelée projet de loi S-4) qui a apporté plusieurs modifications importantes à la LPRPDE. La plupart des modifications sont entrées en vigueur le 18 juin 2015. Toutefois, les dispositions de la loi relatives à la déclaration obligatoire des atteintes à la protection des données et à la tenue d'un registre que nous décrivons dans cet article ne sont pas encore entrées en vigueur. Comme nous l'avons récemment rapporté dans l'article intitulé « Nouvelles règles en matière de déclaration obligatoire d'atteintes à la vie privée au Canada », ces règles entreront en vigueur le 1er novembre 2018.

Lorsque ces dispositions entreront en vigueur, la LPRPDE obligera les organisations à aviser les intéressés et le commissaire des atteintes à la protection des données dans certaines circonstances précises que nous décrirons ci-dessous. 

L'article 10.1 de la LPRPDE obligera les organisations à aviser les intéressés (à moins d'une interdiction prévue par la loi) et à déclarer les atteintes à la protection des données au commissaire s'il est raisonnable de croire que l'atteinte présente « un risque réel de préjudice grave à l'endroit d'un individu ». La définition que la LPRPDE donne du terme « préjudice grave » comprend l'humiliation, le dommage à la réputation ou aux relations et le vol d'identité. Pour déterminer s'il existe un « risque réel », on peut notamment tenir compte du degré de sensibilité des renseignements personnels en cause, de la probabilité que les renseignements aient été mal utilisés et de tout autre élément prévu par règlement. La version définitive du règlement n'énumère aucun autre facteur, mais le commissaire publiera des directives à ce sujet.

L'intéressé doit être avisé et la déclaration au commissaire doit être faite en respectant les modalités réglementaires et « le plus tôt possible » après qu'il ait été établi qu'il y a eu atteinte. L'avis doit contenir suffisamment d'information pour permettre à l'intéressé de comprendre l'importance pour lui de l'atteinte et de prendre, si cela est possible, des mesures pour réduire le risque de préjudice qui pourrait en découler. L'avis doit être manifeste et être directement donné à l'intéressé, sauf dans certaines circonstances, dans lesquelles il peut être indirectement donné (par ex. par affichage sur un site Web). De plus amples détails sur ces questions sont donnés dans la version définitive du règlement comme décrit ci-dessous. Le commissaire peut publier des renseignements au sujet des avis s'il estime qu'il est dans l'intérêt public de le faire.

L'organisation qui avise un intéressé doit, en vertu de l'article 10.2 de la LPRPDE, en aviser les autres organisations ou les autres institutions gouvernementales si cet avis est susceptible de réduire les risques ou d'atténuer le préjudice. Cette communication peut se faire sans le consentement de l'intéressé.

Obligation de tenir des registres de toutes les atteintes

L'article 10.3 de la LPRPDE oblige les organisations à tenir et à conserver un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elles ont la gestion.  Cela signifie que les fournisseurs de services n'auront pas d'obligation directe en vertu de la LPRPDE de conserver des registres des atteintes portant sur les renseignements personnels qu'ils traitent pour d'autres organisations (même si ces dernières sont assujetties à la LPRDPE et doivent s'assurer que les fournisseurs sont contractuellement tenus de leur fournir les renseignements dont elles ont besoin pour respecter leurs obligations en matière de tenue de registre).

Sur demande, les organisations doivent fournir ces registres au commissaire. Le commissaire peut rendre publics les renseignements contenus dans les registres en question s'il estime que cette communication est dans l'intérêt public. Le commissaire peut également lancer une enquête ou procéder à un audit sur la foi des renseignements contenus dans le dossier relatif à l'atteinte.

Il n'y a pas de critère minimal à respecter en ce qui concerne l'exigence de tenue des registres. L'organisation doit tenir un registre de toutes les atteintes, indépendamment de la question de savoir si elles donnent lieu ou non à un risque réel de préjudice grave. Il n'y a pas non plus de critère minimal à respecter avant qu'une organisation soit obligée de communiquer son « dossier relatif à l'atteinte » au commissaire.

L'obligation de tenir des registres est un facteur important en matière de conformité qui risque d'engendrer des coûts et de créer des risques pour les organisations. Par exemple, dans les poursuites en matière de protection de la vie privée intentées au Canada, il arrive souvent que les avocats des demandeurs formulent leur demande de manière à réclamer une vaste gamme de documents, de politiques et de renseignements internes portant sur des incidents d'atteinte antérieurs jugés pertinents au processus de communication de la preuve. On pourrait donc s'attendre à ce que les avocats des demandeurs réclament la production du « dossier relatif à une atteinte » au cours de la communication de la preuve dans les procès pour atteinte au droit à la vie privée et à ce qu'ils plaident leurs causes de manière à atteindre cet objectif. Cette tactique est déjà répandue dans les litiges d'atteinte à la vie privée et dans les actions collectives. Elle pourrait jouer un rôle important dans le cadre de litiges (p. ex., elle pourrait fonder des demandes d'obtention de dommages-intérêts punitifs ou majorés) et donner ouverture à des litiges éventuels supplémentaires. Comme nous le soulignons plus loin, les organisations devront conserver les registres d'atteintes pendant au moins deux ans après la date où une atteinte a été confirmée, ce qui coïncide avec le délai de prescription des actions civiles dans la plupart des provinces canadiennes. Par conséquent, il est dès lors imaginable que dans le cas où un demandeur devrait obtenir un dossier d'atteinte dans le cadre de la communication de la preuve et qu'il découvrirait d'autres réclamations potentielles relatives aux atteintes (y compris des atteintes qui n'ont pas entraîné d'avis aux intéressés), l'organisation soit exposée au risque d'autres litiges relativement à ces questions.

Les assureurs éventuels contre les menaces à la cybersécurité souhaiteront également peut-être consulter le « dossier relatif à l'atteinte » au cours du processus de souscription de la police au moment de l'évaluation du risque, en plus de poser les questions habituelles au sujet des atteintes et des incidents antérieurs.

De plus, les organisations qui envisagent la possibilité d'externaliser des services à un fournisseur de services envisageront peut-être aussi la possibilité de demander l'accès au dossier relatif à l'atteinte dans le cadre d'une vérification diligente et de la surveillance de leurs fournisseurs actuels ou éventuels, sous réserve de considérations relatives à la confidentialité. Les parties à une opération commerciale pourront également souhaiter examiner ces renseignements dans le cadre d'une vérification diligente pour les aider à déterminer la valeur et les risques associés à une opération.

Version définitive du règlement relatif à la déclaration obligatoire d'atteinte à la protection des données et à la tenue de registres en vertu de la LPRPDE

Contenu et modalités des déclarations au commissaire

En vertu de l'article 2 de la version définitive du règlement, une déclaration au commissaire doit être faite par écrit (envoyée par un moyen de communication sécurisé) et contenir les renseignements suivants :

  • les circonstances de l'atteinte et, si elle est connue, sa cause;
  • la date ou la période où il y a eu atteinte ou, si elles ne sont pas connues, la période approximative;
  • les renseignements personnels visés par l'atteinte, dans la mesure où ces renseignements sont connus;
  • le nombre de personnes touchées par l'atteinte, ou s'il n'est pas connu, leur nombre approximatif;
  • les mesures que l'organisation a prises afin de réduire le risque ou d'atténuer le préjudice résultant de l'atteinte à l'endroit des intéressés;
  • les mesures que l'organisation a prises ou qu'elle entend prendre afin d'aviser les intéressés;
  • le nom et les coordonnées d'une personne qui peut répondre au nom de l'organisation aux questions du commissaire au sujet de l'atteinte.

Le REIR prévoit que la déclaration au commissaire doit seulement couvrir les éléments ci-dessus à l'égard des intéressés qui risquent réellement de subir un grave préjudice. Dans le cas où d'autres personnes sont touchées par une atteinte, mais qu'elles risquent peu ou pas de subir un préjudice, ces situations ne doivent pas être traitées dans la déclaration au commissaire.

Une organisation peut soumettre tout autre nouveau renseignement mentionné ci-dessus au commissaire que l'organisation découvre après avoir effectué la déclaration. Comme le prévoit le REIR, cette disposition vise à répondre aux situations dans lesquelles une organisation conclut qu'elle a subi une atteinte (et qu'elle doit par conséquent la déclarer aussitôt que possible), mais que l'ampleur réelle de l'atteinte pourrait ne pas être connue avant plusieurs semaines ou mois jusqu'à ce que l'enquête ait été réalisée.

Les éléments proposés ci-dessus correspondent dans l'ensemble aux obligations en matière de déclaration d'atteinte qui sont en vigueur en Alberta depuis un certain nombre d'années ainsi qu'aux pratiques canadiennes en matière de déclaration d'atteinte.

Contenu et modalités de l'avis aux intéressés

Comme nous l'avons exposé ci-dessus, la LPRPDE exige de façon générale que les avis aux intéressés contiennent suffisamment de renseignements pour permettre à ces derniers de comprendre l'importance, pour eux, de l'atteinte et de prendre, si cela est possible, des mesures pour réduire le risque de préjudice.  De plus, en vertu de l'article 3 de la version définitive du règlement, les avis doivent contenir les éléments particuliers qui suivent :

  • une description des circonstances de l'atteinte;
  • la date ou la période où il y a eu atteinte, ou si elles ne sont pas connues, la période approximative;
  • une description des renseignements personnels visés par l'atteinte, dans la mesure où ces renseignements sont connus;
  • une description des mesures que l'organisation a prises afin de réduire le risque de préjudice découlant de l'atteinte;
  • une description des mesures que les personnes touchées peuvent prendre afin de réduire le risque de préjudice découlant de l'atteinte ou d'atténuer ce préjudice;
  • le nom et les coordonnées d'une personne que la personne touchée peut utiliser pour obtenir de plus amples renseignements au sujet de l'atteinte.

Les exigences définitives énumérées ci-dessus comprennent certains changements positifs par rapport au projet de règlement précédemment publié. Par exemple, la version définitive du règlement offre la flexibilité d'inclure des coordonnées dans un avis. Le projet de règlement comprenait l'exigence particulière de fournir un numéro sans frais ou une adresse électronique qui a été critiquée et qui n'a pas été incluse dans la version définitive du règlement.

La version définitive du règlement ne comprend également pas l'exigence qui était comprise dans le projet de règlement d'assortir l'avis donné à l'intéressé de renseignements sur le processus interne de traitement des plaintes de l'organisation, ainsi que de renseignements sur le droit de l'intéressé de déposer une plainte auprès du commissaire. Il s'agit également d'un changement positif, car une telle exigence n'aurait pas été conforme aux pratiques actuelles, n'aurait pas servi l'objectif d'assurer que les intéressés reçoivent un avis des atteintes et aurait pu être interprété comme un encouragement aux intéressés à déposer des plaintes, ce qui absorberait des ressources considérables de l'organisation et du commissaire.

En vertu de l'article 4 de la version définitive du règlement, l'avis aux intéressés est donné directement « en personne, par téléphone, par courrier, par courriel ou par tout autre moyen de communication qu'une personne raisonnable estimerait acceptable dans les circonstances ». Cette disposition neutre sur le plan technologique donnera une flexibilité considérable aux organisations canadiennes sur la façon dont les avis sont donnés maintenant et à l'avenir. Il s'agit d'un changement positif par rapport aux exigences inutilement limitées qui étaient proposées dans le projet de règlement et qui exigeaient qu'un avis soit donné uniquement selon l'un des quatre moyens suivants : a) par courriel ou par tout autre moyen de communication sécurisé auquel l'intéressé a consenti pour recevoir des renseignements de l'organisation; b) par courrier à la dernière adresse de résidence connue de l'intéressé; c) par téléphone; d) en personne.

Avis indirect

L'article 5 de la version finale du règlement prévoit une obligation de donner un avis indirect d'atteintes dans certaines circonstances.

L'avis doit être donné indirectement « par une communication publique ou par toute mesure similaire dont on peut raisonnablement s'attendre à ce qu'elle permette de joindre l'intéressé ». Cette obligation générale offre beaucoup de flexibilité sur la façon dont les avis indirects peuvent être donnés même s'il est d'ores et déjà prévisible qu'il pourrait y avoir des disputes sur la question de savoir si l'exigence a été satisfaite dans une affaire donnée.

Un avis indirect pourrait être important pour les organisations de petite ou de moyenne taille dans le cas d'une atteinte ayant une incidence sur un grand nombre de personnes (compte tenu des coûts de l'avis et de leurs ressources limitées). Dans le règlement proposé, l'avis indirect doit être donné à un intéressé dans l'une ou l'autre des circonstances suivantes :

  • le fait de donner directement l'avis serait susceptible de causer un préjudice supplémentaire à l'intéressé;
  • un avis direct serait susceptible de causer des difficultés excessives pour l'organisation;
  • l'organisation n'a pas les coordonnées de l'intéressé.

Les dispositions ci-dessus pourraient créer des situations complexes où il faudrait évaluer les exigences en matière d'avis au cas par cas. Certaines des personnes visées par une atteinte devront être avisées directement alors qu'il suffira d'en aviser d'autres indirectement. Par exemple, dans le cas où une organisation ne possède pas les coordonnées d'une partie des membres du groupe visé, elle devra donner un avis indirect en plus de devoir donner un avis direct aux membres du groupe dont elle possède les coordonnées.

Tenue des registres relatifs aux atteintes

En vertu de l'article 6 de la version définitive du règlement, les organisations doivent conserver un registre de toutes les atteintes aux mesures de sécurité pendant au moins 24 mois après la date à laquelle l'organisation a conclu que l'atteinte avait eu lieu. L'exigence de tenue de registre est applicable à toutes les atteintes et pas seulement à celles qui donnent ouverture à un risque réel de préjudice grave. Comme l'explique le REIR, le gouvernement a rejeté la demande du commissaire de conserver les registres d'atteintes pendant une période de cinq ans.

Comme l'énonce le REIR, le gouvernement a expressément rejeté les demandes des intervenants pour que l'exigence de tenue de registre se limite aux atteintes « substantielles » ou importantes, et « le but du Parlement était de permettre au commissaire de vérifier que les organisations font le suivi de toutes les atteintes afin de déterminer si une atteinte entraîne l'obligation d'aviser les intéressés ».

Le paragraphe 6 (2) de la version définitive du règlement prévoit que les registres d'atteintes doivent contenir « tout renseignement qui permet au commissaire de vérifier la conformité aux [dispositions relatives à la déclaration et de signalement d'atteinte] » -  autrement dit, le commissaire doit être en mesure de confirmer que l'organisation a déclaré l'atteinte et en a avisé l'intéressé comme l'exige la LPRPDE dans chaque cas. Ces dispositions pourraient éventuellement soulever des doutes au sujet de la quantité et du type de renseignements qui doivent être conservés, même si elles donnent de la flexibilité aux organisations à l'égard de la façon dont elles satisfont l'exigence de tenue de registre.

L'exigence ci-dessus donne à penser que, relativement aux atteintes qui ne font pas l'objet d'avis aux intéressés, il serait prudent de verser dans les registres d'atteintes les renseignements qui ont amené l'organisation à conclure qu'il n'y avait pas de risque réel de préjudice grave et qu'il n'était donc pas nécessaire d'aviser les intéressés. Toutefois, il faut également mentionner, comme l'énonce le REIR, que le gouvernement a rejeté la demande du commissaire que les déclarations et les registres d'atteintes comprennent les détails de l'évaluation des risques menée par l'organisation : « [l]'imposition d'une obligation de fournir au commissaire des détails sur une évaluation des risques pour chacune des atteintes subies par les organisations assujetties à la LPRPDE constituerait un fardeau inutilement lourd pour les organisations sous réglementation fédérale, et n'est pas nécessaire pour atteindre les objectifs de l'avis qui est de fournir les individus avec l'information nécessaire pour qu'il puisse mitiger le risque résultant de l'atteinte ».

Comme l'énonce le REIR, une partie de la justification de donner de la flexibilité à l'égard des renseignements qui doivent être conservés selon l'exigence de tenue de dossiers est d'assurer la protection de ces renseignements d'une communication en vertu de la Loi sur l'accès à l'information dans un scénario où le commissaire recueille des renseignements de l'organisation puis reçoit une demande d'y avoir accès en vertu de cette loi.

Suivant le REIR, l'exigence de conserver des registres des atteintes offre aux organisations la possibilité de suivre et d'analyser leur expérience en matière d'atteinte et d'en tirer des leçons. Toutefois, comme nous l'avons déjà observé dans cet article, l'exigence de tenir des registres crée également un certain nombre de risques éventuels et de possibilités que ces renseignements soient réclamés par des tiers.

Enfin, compte tenu du pouvoir du commissaire de réclamer en tout temps la production de dossiers relatifs aux atteintes, il est intéressant de signaler que le REIR énonce qu'en vertu du règlement, « les déclarations d'atteinte au commissaire seront aussi présentées de façon à pouvoir comparer et regrouper les incidents et constituer ainsi un dépôt, grandement nécessaire, d'information sur les incidents touchant la sécurité des données au Canada ». Bien que cette affirmation porte sur les déclarations d'atteintes et non sur la tenue de registres, on peut sans crainte de se tromper envisager la possibilité que le commissaire demande de pouvoir consulter les dossiers relatifs aux atteintes pour pouvoir constituer un répertoire de renseignements sur les atteintes à la sécurité afin d'élaborer des politiques fondées sur des données probantes. D'ailleurs, le REIR envisage cette utilisation lorsqu'il énonce qu'un répertoire efficace permettant au commissaire d'acquérir une compréhension générale de la nature et de l'ampleur des atteintes survenant au Canada peut être créé. Les organisations régies par la LPRPDE devraient envisager la possibilité que le commissaire demande de pouvoir consulter leurs dossiers relatifs aux atteintes.

Questions clés non abordées dans le règlement 

Avant la publication du projet de règlement et de sa version définitive, le gouvernement canadien a mené de vastes consultations publiques sur la déclaration d'atteinte et la tenue de registres. Voici quelques commentaires concernant un certain nombre de questions importantes qui se sont posées au cours des consultations, mais qui n'ont pas été traitées dans le règlement proposé ou dans sa version finale :

  • Atteintes et obligations des fournisseurs de services : Certains intervenants réclamaient des directives au sujet des circonstances dans lesquelles un fournisseur de services devait aviser les intéressés lorsque l'atteinte à la protection des données survenait chez lui et qu'elle touchait des renseignements détenus au nom d'une organisation. Toutefois, conformément aux pratiques actuelles en la matière, le REIR du projet de règlement (disponible ici) a souligné que la plupart des intervenants sont d'avis qu'il convient de suivre le principe de la responsabilité existante énoncé dans la LPRPDE. Par conséquent, l'organisation qui contrôle les renseignements devra s'assurer de sa conformité avec les exigences en matière de tenue de registres sur les atteintes et de déclaration et tenir compte d'une vaste gamme de mesures, notamment contractuelles, pour assurer la gestion des risques et la conformité découlant des atteintes par un fournisseur de services (par ex., en prévoyant des dispositions obligeant le fournisseur de services à aviser le client des atteintes soupçonnées, à collaborer avec le client et à partager des renseignements pour faire enquête sur ces atteintes, et à fournir au client les renseignements nécessaires pour lui permettre de respecter ses obligations en matière de déclaration d'atteinte et de tenue de registres). Bien que ces questions ne soient pas nouvelles, l'introduction d'exigences en matière de déclaration obligatoire et de tenue de dossiers sur les atteintes souligne la nécessité de bien examiner les contrats des vendeurs et les autres mesures pour s'assurer qu'ils contiennent l'éventail de dispositions nécessaires.
  • Évaluation d'un « risque réel de préjudice grave » : Au lieu d'inclure d'autres facteurs dont les organisations peuvent tenir compte pour déterminer si une atteinte présente un « risque réel de préjudice grave » dans le règlement, le commissaire s'est engagé à publier ultérieurement des directives à ce sujet.
  • Chiffrement : Le règlement ne prévoit pas que les atteintes impliquant des renseignements personnels chiffrés présenteront nécessairement un faible risque de préjudice ou qu'elles feront l'objet d'une exemption de déclaration. Le commissaire s'est opposé à cette solution en faisant observer qu'il fallait tenir compte du niveau et de l'efficacité du chiffrement ainsi que du compromis éventuel des clés de chiffrement. Bien que cela n'exclue pas nécessairement l'examen du chiffrement lorsqu'il s'agit d'évaluer le risque, le règlement ne va pas aussi loin que l'auraient souhaité certains intervenants.
  • Évaluation des divers types de préjudices : Contrairement aux règles de l'Alberta, le règlement proposé n'oblige pas les organisations à assortir leurs déclarations d'atteinte d'une évaluation du type de préjudices susceptibles de découler de l'atteinte. On estime qu'il serait difficile surtout pour les petites et moyennes entreprises de faire une telle évaluation, n'ayant bien souvent ni l'expertise ni les ressources nécessaires à cet égard.

Conclusion

Jusqu'à maintenant, une grande partie du secteur privé canadien n'a pas eu à se préoccuper de la question de la déclaration obligatoire des atteintes à la vie privée. Pendant un certain nombre d'années, l'Alberta était la seule province canadienne qui avait une loi d'application générale en matière de protection des renseignements personnels qui obligeait les entreprises du secteur privé à déclarer les atteintes.

L'entrée en vigueur de la déclaration obligatoire d'atteinte à la vie privée et de la tenue de registres dans la LPRPDE constitue un changement radical dans la conduite des activités commerciales au Canada. Les règles introduiront de nouveaux coûts, de nouveaux risques et de nouveaux défis pour les organisations, peu importe leur taille, notamment en ce qui concerne la gestion des risques juridiques, la conformité, la planification des réponses et les réponses aux incidents, ainsi qu'un risque accru de responsabilité et d'expositions réglementaires. Par exemple, selon l'expérience en matière de déclaration des atteintes aux États-Unis et au Canada, le risque de poursuites et d'actions collectives dans le sillage d'une atteinte à la protection des données est susceptible d'augmenter à la suite d'une déclaration.

Les nouvelles règles augmenteront également l'intérêt déjà marqué et sans cesse croissant pour l'assurance contre les menaces à la cybersécurité au Canada qui couvre souvent les enquêtes, la déclaration, la responsabilité, la défense ainsi que les autres coûts liés à la réponse aux atteintes à la protection des données. L'introduction de la déclaration obligatoire d'atteinte à la protection des données dans d'autres pays a été perçue comme un tournant dans la croissance vigoureuse du marché de la cyberassurance.

Compte tenu des nouvelles règles contenues dans la LPRPDE, les organisations doivent, maintenant plus que jamais, s'assurer qu'elles adoptent des mesures de sauvegarde, des politiques et des procédures internes leur permettant d'adéquatement détecter et désamorcer les incidents d'atteinte à la vie privée et d'adéquatement y réagir. Par exemple, il est indispensable que les organisations adoptent un plan de réponse aux incidents et offrent à leur personnel une formation à cet égard leur permettant de désamorcer et de signaler toute atteinte soupçonnée de manière à satisfaire aux nouvelles exigences de la LPRPDE. Une violation des dispositions en matière de déclaration d'atteinte peut constituer une infraction et entraîner l'imposition d'amendes, ainsi qu'avoir des répercussions potentielles dans le cadre d'un litige civil.

Les organisations assujetties à la LPRPDE doivent prendre des mesures pour veiller à respecter leurs obligations en vertu des nouvelles règles d'ici leur entrée en vigueur, le 1er novembre 2018.

    Abonnement

    Recevez des mises à jour de notre équipe

    S'inscrire