ATTEINTES À LA VIE PRIVÉE AU CANADA : DES OBLIGATIONS LE 1ER NOVEMBRE
Règlement concernant les atteintes aux mesures de sécurité
Vincent Bureau, 2018
La loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) pour le secteur privé évolue avec des exigences de tenu de registre et de déclaration des atteintes à la protection des données qui seront en vigueur au Québec et au Canada le 1er novembre prochain (réf.1).
En Alberta depuis 8 ans, pour la santé en Ontario, au Nouveau-Brunswick et à Terre-Neuve-et-Labrador, aux États-Unis, en Europe avec l’avènement du RGPD, des obligations sur la notification des atteintes à la vie privée sont déjà en place.
Quelles en sont les implications pour les organisations québécoises?
QUE DEVEZ-VOUS FAIRE ?
Une agence travaille sur la performance du ciblage pour le lancement d’un produit pharmaceutique avec des données personnelles en provenance de divers secteurs économiques. Le fournisseur de services professionnels TI de l’agence l’informe d’une activité inhabituelle dans les derniers 24/h sur les bases RH et clients (cas fictif).
Le registre des atteintes
Toutes les atteintes à la protection des renseignements personnels doivent être documentées dans le registre, risque réel de préjudice grave ou non.
Sans être obligatoire, l’analyse conduisant à une conclusion d’absence de risque réel pourrait être avantageusement incluse dans le registre, en prenant en compte toutefois la possibilité de publication par le commissaire à la protection de la vie privée.
Le registre est tenu par l’organisation qui a la gestion des données personnelles. Cette organisation responsable devrait s’assurer contractuellement d’avoir accès à l’information nécessaire au registre auprès de ses fournisseurs de service afin de tenir ses obligations.
L’évaluation du risque réel
Les avis et déclarations doivent être communiqués seulement en cas de « risque réel de préjudice grave à l’endroit d’un individu ». La définition de préjudice grave comprend l’humiliation, le dommage à la réputation ou aux relations, le vol d’identité.
La détermination d’un risque réel tient compte du degré de sensibilité des renseignements personnels et de la probabilité de mauvaise utilisation. Soit la définition classique du niveau de Risque = Impact x
Probabilité. Les directives complémentaires à venir du commissaire à la protection de la vie privée seront bienvenues et essentielles pour le maintien de la conformité opérationnelle.
L’avis aux intéressés, direct ou indirect
L’avis contient :
- Les circonstances de l’atteinte,
- La période de l’atteinte,
- Les renseignements personnels impliqués,
- Les mesures prises pour atténuer le risque ou le préjudice,
- Les mesures que les personnes touchées peuvent prendre afin de réduire le risque de préjudice,
- Les coordonnées d’une personne pour obtenir plus de renseignements sur l’atteinte.
L’avis est communiqué directement aux intéressés par un moyen de communication au choix de l’organisation responsable des traitements de données personnelles.
Un avis pourrait être diffusé indirectement par une communication publique si l’avis direct causait un préjudice supplémentaire à l’intéressé, si l’avis direct causait des difficultés excessives à l’organisation, si l’organisation n’avait pas les coordonnées des personnes.
La déclaration au commissaire
La déclaration au commissaire à la protection de la vie privée est faite par écrit et contient :
- Les circonstances de l’atteinte,
- La période de l’atteinte,
- Les renseignements personnels impliqués,
- Le nombre de personnes touchées,
- Les mesures prises pour atténuer le risque ou le préjudice,
- Les mesures de communication auprès des intéressés,
- Les coordonnées d’une personne qui peut répondre aux questions pour l’organisation.
L’avis aux organisations pour atténuer les préjudices
En cas d’analyse de risque élevé, l’entreprise responsable du traitement des données avisera les organisations ou institutions gouvernementales qui pourraient réduire le risque ou le préjudice éventuellement sans le consentement des personnes concernées.
Les délais de déclaration et de conservation
La notification doit être communiquée « dès que possible » après la violation de données. Les enregistrements du registre sont conservés deux ans obligatoirement.
SOMMES-NOUS CONCERNÉS AU QUÉBEC?
Oui, nos organisations québécoises sont concernées :
- Pour toute opération interprovinciale,
- Pour toute opération internationale,
- Pour les entreprises fédérales, banques, télécommunication, transport,
- Pour vous préparer à l’évolution globale de la loi fédérale,
- Pour vous préparer à l’évolution de la loi québécoise.
QUELS BÉNÉFICES POUR LE QUÉBEC?
Les objectifs visés par le règlement sont :
- La réduction des risques pour les personnes concernées, La réduction des risques organisationnels lors des attaques cybernétiques,
- Le renforcement de la confiance pour la croissance du commerce électronique,
- L’alignement avec le Règlement général sur la protection des données (RGPD) de l’Union européenne.
- Le Résumé de l’étude d’impact de la réglementation (REIR, réf.2) pourrait être consulté pour mieux comprendre l’orientation gouvernementale et interpréter le règlement.
QUEL POUVOIR POUR L’AUTORITÉ DE CONTRÔLE?
Le Commissaire à la protection de la vie privée du Canada peut :
- Demander la consultation du registre relatif aux atteintes,
- Communiquer les renseignements du registre dans l’intérêt public,
- Lancer une enquête sur la base du registre.
COMMENT VOUS PRÉPARER?
The Office of the Australia Information Commissioner communique des leçons apprises intéressantes pour les organisations canadiennes sur les mesures de déclaration des atteintes rentrées en vigueur récemment : « Le risque d’atteinte à la protection des données peut être grandement réduit par la mise en œuvre de pratiques telles que les évaluations d’impact sur la protection des données, les évaluations des risques en matière de sécurité de l’information et la formation de tout le personnel chargé de traiter les renseignements personnels. » (réf.3)
Le plan et les procédures de communication devraient être particulièrement travaillés dans le cadre des nouvelles obligations de la LPRPDE.
ÉCARTS AVEC LE RGPD
- Délais de déclaration : selon la LPRPDE la déclaration doit être réalisée dès que possible. Un point de différenciation important avec le RGPD qui impose une notification à l’autorité de contrôle en maximum 72h après que le responsable du traitement ai pris connaissance d’une violation à risque ou à risque élevé de données à caractère personnel.
- Renseignements sur les droits de la personne concernée : l’information du droit à déposer une plainte auprès du commissaire n’est pas imposée par la LPRPDE, contrairement au RGPD.
- Documents électroniques vs papiers : C’est la Loi sur la protection des renseignements personnels numériques de 2015 modifiant la LPRPDE qui apporte les mesures relatives à la déclaration obligatoire des atteintes à la protection des données et à la tenue d’un registre en s’appliquant au 1er novembre. Le RGPD ne fait pas de distinction entre supports de l’information personnelle.
OBSERVATIONS
Le règlement concernant les atteintes aux mesures de sécurité est une évolution significative du cadre de la protection des données personnelles au Canada. Les changements organisationnels et opérationnels que doivent entreprendre les organisations sont également significatifs.
Cette modification du régime de la protection de la vie privée préfigure un changement plus fondamental de la LPRPDE en 2020 qui permettra au Canada de préserver le rare statut d’adéquation avec l’Union européenne.
Les mesures d’enregistrement et de déclaration des atteintes sont une triple opportunité pour les organisations québécoises :
1. Implanter une gouvernance intégrant la protection des données,
2. Développer une culture de la protection des données personnelles dans une perspective
d’alignement Loi québécoise – LPRPDE – RGPD,
3. Profiter de la mise en conformité pour améliorer la performance organisation