Le 4 mars 2016, Innovation, Sciences et Développement économique Canada (le « ministère ») a publié un document de consultation où il sollicite les commentaires des intervenants sur l’élaboration du règlement qui régira la déclaration obligatoire des atteintes à la protection des données prévue par la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »). Les parties intéressées ont jusqu’au 31 mai 2016 pour soumettre leurs observations par écrit.

CONTEXTE

En juin 2015, le Parlement du Canada a promulgué la Loi sur la protection des renseignements personnels numériques (la « LPRPN »), qui a apporté un certain nombre de modifications à la LPRPDE (pour en savoir davantage, consultez notre Bulletin Blakes de juin 2015 intitulé Sanction royale pour la Loi sur la protection des renseignements personnels numériques, mais un certain retard pour les dispositions sur le signalement). Même si la plupart de ces modifications sont en vigueur, celles prévoyant un mécanisme de signalement obligatoire des atteintes à la protection des données ne prendront effet qu’une fois adopté le règlement édictant les exigences prescrites. Les commentaires recueillis auprès des intervenants serviront à guider et à appuyer l’élaboration du projet de règlement. Toutefois, comme un deuxième processus de consultation aura lieu après la publication du projet de règlement, il est peu probable que le règlement définitif soit adopté avant la fin de l’automne 2016.

MÉCANISMES DE DÉCLARATION DES ATTEINTES

Lorsque ces modifications entreront en vigueur, les organisations visées par une « atteinte aux mesures de sécurité » seront tenues de faire ce qui suit :

  • déterminer si l’atteinte présente un « risque réel de préjudice grave » occasionné à l’individu dont les renseignements personnels sont en cause;
  • aviser le plus tôt possible les individus de toute atteinte présentant un « risque réel de préjudice grave » à leur endroit;
  • signaler le plus tôt possible au commissaire à la protection de la vie privée toute atteinte à la protection des données présentant un « risque réel de préjudice grave »;
  • aviser, s’il y a lieu, tout tiers qu’elles croient être en mesure d’atténuer le risque de préjudice;
  • tenir un registre des atteintes à la protection des données et donner accès à ce registre au commissaire à la protection de la vie privée à la demande de celui‑

L’expression « atteinte aux mesures de sécurité » désigne une « [c]ommunication non autorisée ou perte de renseignements personnels, ou [un] accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité d’une organisation prévues à l’article 4.7 de l’annexe 1 ou du fait que ces mesures n’ont pas été mises en place ». L’article 4.7 de l’annexe 1 de la LPRPDE exige que les organisations protègent les renseignements personnels au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

QUESTIONS SOULEVÉES DANS LE DOCUMENT DE CONSULTATION

Pour chaque disposition où l’on envisage d’édicter par règlement les exigences prescrites, le document de consultation énonce divers facteurs à considérer aux fins de déterminer la portée de tels règlements, dont l’objectif de la disposition et comment des objectifs analogues sont abordés dans les lois sur la protection des données d’autres territoires, comme l’Alberta, les États-Unis et l’Europe, de même que dans les lignes directrices sur la notification volontaire des atteintes à la protection des données du Commissariat à la protection de la vie privée du Canada (le « CPVP »). Le document renferme aussi des questions de réflexion précises. Le ministère souhaite avant tout recevoir des commentaires concernant les secteurs d’activité particuliers, les organisations multinationales, les organisations exerçant des activités dans divers territoires ainsi que les petites et moyennes organisations.

Déterminer le risque réel de préjudice grave

Les modifications créeront un cadre fondé sur le risque rendant obligatoire la déclaration d’une atteinte à la protection des données qui pose un « risque réel de préjudice grave » aux individus en cause. À cette fin, les organisations devront établir le degré de sensibilité des renseignements personnels en cause de même que la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être. Dans le document de consultation, on demande aux intervenants s’il faut prescrire par règlement d’autres facteurs devant être pris en compte dans l’évaluation du risque, et si le règlement devrait spécifier que le risque de préjudice est présumé faible lorsqu’une méthode appropriée de chiffrement a été utilisée.

Déclaration au commissaire

Le ministère reconnaît que les déclarations au CPVP doivent contenir suffisamment d’information pour assurer la conformité des organisations avec les obligations en matière de déclaration des atteintes qui leur incombent et pour normaliser le suivi de graves atteintes à la protection des données au Canada. Toutefois, elles ne doivent pas imposer de fardeau déraisonnable aux organisations. Aussi, dans le document de consultation, les intervenants sont invités, d’une part, à réfléchir aux renseignements qu’il y aurait lieu d’inclure dans leur rapport au CPVP, et, d’autres part, à considérer si les organisations devraient être tenues d’inclure une évaluation du risque dans leur rapport, si la déclaration peut être effectuée en plusieurs étapes (dépôt d’un rapport provisoire suivi d’un rapport définitif une fois tous les facteurs dévoilés) et si le format du rapport, ainsi que les moyens de déclaration permis, devraient être prescrits (par exemple, par écrit ou sous forme électronique; déclaration par courriel, par courrier ou par l’intermédiaire d’un portail électronique sécurisé). Ils n’ont cependant pas à préciser si, à leur avis, les protections offertes au titre du secret professionnel ou des obligations de confidentialité devraient s’appliquer à ces rapports, point qui sera particulièrement pertinent dans les cas où une action collective sera possible, surtout si le règlement exige que le rapport contienne une évaluation du type de préjudice susceptible de découler d’une atteinte ainsi que de l’éventualité d’un tel préjudice.

Avis aux intéressés

Conformément aux modifications, les organisations sont tenues d’inclure dans leur avis suffisamment d’information pour permettre à l’intéressé de comprendre les risques que pose cette atteinte et de prendre, si possible, des mesures visant à réduire ces risques ou à atténuer le préjudice. Dans le document de consultation, on demande aux intervenants si cela suffit ou si le règlement devrait spécifier les renseignements à inclure dans l’avis. De plus, les intervenants doivent donner leur point de vue sur les méthodes de notification permises (par exemple, par courriel, courrier de première classe, etc.) et les circonstances dans lesquelles la notification pourrait être faite par des moyens indirects (par exemple, un avis dans une publication plutôt qu’une communication directe avec les personnes visées). Même si les organisations multinationales et les autres organisations œuvrant dans divers territoires sont invitées à commenter, il n’est nullement mentionné dans le document de consultation que les exigences contradictoires dans les différents territoires risquent de poser problème, ni que les avis pourraient prêter à confusion ou être difficiles à comprendre si une organisation se conformait à toutes les exigences qui la visent dans chaque territoire.

Notification à d’autres organisations

En outre, dans le document de consultation, on demande aux intervenants si le règlement devrait préciser les circonstances dans lesquelles les organisations seraient tenues d’aviser systématiquement les tiers d’une atteinte aux données.

Tenue de registres

Même lorsqu’une organisation établit qu’une atteinte à ses mesures de sécurité ne présente aucun risque réel de préjudice grave, elle doit conserver un registre si elle découvre une telle atteinte. Pendant la consultation, on a demandé aux intervenants si le règlement devrait indiquer les champs de données obligatoires des registres, la durée de conservation de ces registres ainsi que les personnes au sein de l’organisation qui sont responsables de les tenir, et si l’obligation de tenir des registres devrait également s’appliquer aux « atteintes présumées » lorsque l’organisation n’a pas connaissance d’une telle atteinte.

Par ailleurs, les intervenants sont invités à fournir des commentaires sur tout autre sujet qu’il y aurait lieu d’étudier dans le cadre de l’élaboration du règlement.