Règlement sur les atteintes aux mesures de sécurité : DORS/2018-64

La Gazette du Canada, Partie II : volume 152, numéro 8

Enregistrement

Le 27 mars 2018

LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS ET LES DOCUMENTS ÉLECTRONIQUES

C.P. 2018-368 Le 26 mars 2018

Sur recommandation du ministre de l’Industrie et en vertu du paragraphe 26(1) référencea de la Loi sur la protection des renseignements personnels et les documents électroniques référenceb, Son Excellence la Gouverneure générale en conseil prend le Règlement sur les atteintes aux mesures de sécurité, ci-après.

Règlement sur les atteintes aux mesures de sécurité

Définition

Définition de Loi

1 Dans le présent règlement, Loi s’entend de la Loi sur la protection des renseignements personnels et les documents électroniques.

Déclaration au commissaire

Contenu et modalités de la déclaration

2 (1) La déclaration d’atteinte aux mesures de sécurité visée au paragraphe 10.1(2) de la Loi est faite par écrit et contient les renseignements suivants :

Nouveaux renseignements

(2) L’organisation peut transmettre au commissaire tout nouveau renseignement visé au paragraphe (1) dont elle prend connaissance après avoir fait la déclaration.

Moyen de communication

(3) La déclaration peut être transmise au commissaire par tout moyen de communication sécurisé.

Avis à l’intéressé

Contenu de l’avis

3 L’avis donné par l’organisation, en application du paragraphe 10.1(3) de la Loi à l’intéressé, relativement à l’atteinte aux mesures de sécurité, contient les renseignements suivants :

Avis direct — modalités

4 Pour l’application du paragraphe 10.1(5) de la Loi, l’avis est donné directement à l’intéressé en personne, par téléphone, par courrier, par courriel ou par tout autre moyen de communication qu’une personne raisonnable estimerait acceptable dans les circonstances.

Avis indirect — circonstances

5 (1) Pour l’application du paragraphe 10.1(5) de la Loi, l’avis est donné indirectement par l’organisation dans l’une ou l’autre des circonstances suivantes :

Avis indirect — modalités

(2) Pour l’application du paragraphe 10.1(5) de la Loi, l’avis est donné indirectement par une communication publique ou par toute mesure similaire dont on peut raisonnablement s’attendre à ce qu’elle permette de joindre l’intéressé.

Tenue du registre

Registre — modalité

6 (1) Pour l’application du paragraphe 10.3(1) de la Loi, l’organisation conserve le registre de toute atteinte aux mesures de sécurité pendant vingt-quatre mois après la date à laquelle elle conclut qu’il y a eu atteinte.

Conformité

(2) Le registre visé au paragraphe 10.3(1) de la Loi contient tout renseignement qui permet au commissaire de vérifier la conformité aux paragraphes 10.1(1) et (3) de la Loi.

Entrée en vigueur

L.C. 2015, ch. 32

7 Le présent règlement entre en vigueur à la date d’entrée en vigueur de l’article 10 de la Loi sur la protection des renseignements personnels numériques ou, si elle est postérieure, à la date de son enregistrement.

RÉSUMÉ DE L’ÉTUDE D’IMPACT DE LA RÉGLEMENTATION

(Ce résumé ne fait pas partie du Règlement.)

Enjeux

Le 18 juin 2015, la Loi sur la protection des renseignements personnels numériques (aussi appelée projet de loi S-4) a modifié la loi canadienne sur le respect de la vie privée, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE ou la Loi), d’un certain nombre de façons. L’un des changements clés a été l’établissement d’exigences de déclaration obligatoire des atteintes à la protection des données.

Ces nouvelles obligations sont énoncées à la section 1.1 de la LPRPDE, mais elles ne sont pas encore en vigueur. Le Règlement apportera des éclaircissements relativement à certaines de ces exigences légales et précisera les modalités d’entrée en vigueur du Règlement.

Contexte

Cadre législatif

La LPRPDE vise la collecte, l’utilisation ou la communication de renseignements personnels par toute organisation dans le cadre d’une activité commerciale. Une activité commerciale est définie comme toute activité régulière ainsi que tout acte isolé de nature commerciale, y compris la vente, le troc ou la location de listes de donneurs, d’adhésion ou de collecte de fonds.

Le gouvernement fédéral peut exclure de l’application de la LPRPDE des organisations ou des activités dans les provinces qui ont adopté, dans le domaine de la protection de la vie privée, une loi essentiellement similaire. À ce jour, le Québec, la Colombie-Britannique et l’Alberta ont adopté à l’égard du secteur privé des lois jugées essentiellement similaires à la LPRPDE, ce que l’Ontario, le Nouveau-Brunswick, la Nouvelle-Écosse et Terre-Neuve-et-Labrador ont fait dans le domaine des renseignements personnels en santé.

Même dans les provinces ayant adopté des lois qui sont essentiellement similaires à la loi fédérale sur la protection de la vie privée, la LPRPDE continue de s’appliquer : (i) à toute opération interprovinciale ou internationale effectuée par toute organisation visée par la Loi; (ii) aux organisations sous réglementation fédérale — « les entreprises fédérales » — telles que les banques, les sociétés de télécommunications et les entreprises de transport dans le cadre de leurs activités commerciales.

Le but de la LPRPDE est de faciliter la croissance au sein de l’économie numérique en s’assurant que les Canadiens ont confiance en ce qui a trait à la façon dont les organisations traitent leurs renseignements personnels. La Loi s’appuie sur des principes permettant de trouver un équilibre entre le droit des individus à la vie privée et la nécessité pour les entreprises d’utiliser ou d’échanger des renseignements à des fins légitimes.

Déclaration obligatoire des atteintes à la protection des données en vertu de la LPRPDE

À la suite de la mise en œuvre de la section 1.1 de la LPRPDE, une organisation qui subit une atteinte à la protection des données — appelée dans la Loi « atteinte aux mesures de sécurité » — devra s’acquitter d’un certain nombre d’obligations, en l’occurrence :

L’alinéa 26(1)c) de la LPRPDE confère au gouverneur en conseil le pouvoir de prendre tout règlement nécessaire en vertu de la Loi. L’objectif du projet de règlement est d’entourer d’une certaine précision certains éléments des exigences de déclaration des atteintes à la protection des données énoncées à la section 1.1 de la Loi.

Objectifs

Les objectifs du Règlement sont les suivants :

  1. Faire en sorte que tous les Canadiens reçoivent des informations cohérentes au sujet des atteintes à la protection des données présentant un risque réel de préjudice grave à leur endroit.
  2. Faire en sorte que les avis renferment suffisamment d’information pour permettre aux individus de comprendre l’importance de l’atteinte et de ses conséquences possibles.
  3. Faire en sorte que le commissaire reçoive des informations cohérentes et comparables au sujet des atteintes à la protection des données présentant un risque de préjudice grave.
  4. Faire en sorte que le commissaire soit capable d’exercer une surveillance efficace et de vérifier que les organisations se conforment à l’obligation d’aviser les intéressés d’une atteinte à la protection des données et de déclarer l’atteinte au commissaire.

Description

En ce qui a trait aux exigences légales de déclaration des atteintes à la protection des données prévues à la section 1.1 de la LPRPDE, le Règlement :

Compte tenu du large éventail d’organisations assujetties à la LPRPDE, le Règlement permettra aux organisations de s’acquitter de leurs obligations réglementaires avec un maximum de souplesse et d’une manière compatible avec leur situation particulière.

Déclaration d’atteinte à la protection des données au commissaire

Le Règlement énumère les catégories d’information devant figurer dans une déclaration au commissaire, mais il n’empêche pas une organisation de fournir des renseignements complémentaires au commissaire si elle souhaite approfondir sa compréhension de l’incident.

Le Règlement correspond étroitement à ce que recommande le Commissariat à la protection de la vie privée du Canada (CPVP) dans sa directive sur la déclaration volontaire des atteintes à la protection des données et aux exigences relatives à leur déclaration obligatoire en Alberta référence1 et au sein de l’Union européenne (UE) référence2.

Le Règlement permet à l’organisation d’inclure dans sa déclaration d’atteinte à la protection des données les meilleurs renseignements disponibles au moment de la production du rapport. Elle peut ainsi signaler une atteinte dans un délai approprié même si elle ne détient pas encore toute l’information. Cela lui permet d’apporter ultérieurement des mises à jour à sa déclaration si elle obtient d’autres renseignements pertinents.

Le Règlement prévoit que les déclarations d’atteinte peuvent être fournies au CPVP de façon sécuritaire, compte tenu de la nature confidentielle des renseignements et afin de protéger les renseignements en conséquence.

Avis d’une atteinte à la protection des données aux intéressés

Le Règlement énumère les catégories d’information devant figurer dans un avis aux intéressés. Cela n’empêche toutefois pas les organisations d’inclure des renseignements additionnels ou d’adapter l’avis à leurs destinataires.

Cette approche éclaire les organisations sur ce qu’elles doivent minimalement faire pour se conformer aux exigences de la loi en matière d’avis. Cela leur offre également une certaine marge de manœuvre quant au support, à la présentation et au moyen à utiliser pour envoyer des avis, permettant aux organisations d’aviser les intéressés conformément à leurs attentes et aux pratiques courantes.

Le Règlement fournit des exemples de moyens de communication d’usage courant qui sont appropriés pour aviser directement les individus, en plus de prévoir l’utilisation de tout autre moyen considéré comme raisonnable dans les circonstances.

Le Règlement précise les circonstances où l’envoi d’avis indirects aux intéressés est autorisé à la place des avis directs. Plus particulièrement, le Règlement établit que cela est approprié lorsqu’un avis direct pourrait causer d’autres préjudices aux intéressés; lorsque l’organisation n’a pas les coordonnées des intéressés; et lorsque l’envoi d’avis directs à toutes les personnes concernées dans les délais requis créerait une contrainte excessive pour l’organisation.

En ce qui concerne le format acceptable de l’avis indirect, le Règlement confirme également que les annonces publiques, comme les notifications, sont des moyens appropriés d’aviser indirectement les individus.

Tenue de dossiers sur les atteintes à la protection des données

Le Règlement affirmera que la tenue de dossiers sur les atteintes à la protection des données a pour objet d’aider le commissaire à s’acquitter de son devoir de surveillance des obligations des organisations en matière de déclaration des atteintes et d’avis. Cela incitera les organisations par la suite à se doter de meilleures pratiques de sécurité des données.

À cette fin, le Règlement exigera que les organisations conservent dans un registre des atteintes à la protection des données suffisamment d’information pour faire la preuve qu’elles suivent les intrusions dans les données qui débouchent sur une atteinte à la sécurité des renseignements personnels, afin de déterminer si elles présentent un risque de préjudice pour les personnes.

Le Règlement permet d’interpréter au sens large ce qu’est un « registre » (ou « dossier ») aux fins de la LPRPDE. Cette approche assure la protection de tout document susceptible d’être fourni au commissaire en réponse à une demande de dossiers d’atteintes à la sécurité des données en vertu de la Loi sur l’accès à l’information (LAI). Le fait de ne pas préciser ce qu’est un dossier dans la réglementation permet d’étendre l’exemption de la LAI mise en œuvre par la Loi sur la protection des renseignements personnels numériques à tout document considéré comme étant un dossier aux fins de la section 1.1 de la Loi.

Le Règlement spécifie qu’une organisation doit conserver un dossier d’atteinte à la protection des données pendant une période de temps minimum, plus particulièrement 24 mois à partir de la date où l’atteinte a été confirmée par l’organisation. Cette période vise à prescrire une obligation minimale, motivant ainsi une organisation à conserver les registres pour plus de deux ans si d’autres obligations, pratiques ou exigences le requièrent.

Le CPVP a recommandé que le registre soit conservé pendant cinq ans, mais cela est jugé comment étant un fardeau trop lourd pour les organismes réglementés étant donné que l’exigence de tenue du registre concerne toutes les infractions, peu importe le risque de préjudice.

Entrée en vigueur

Pour qu’il soit plus facile aux organisations de se conformer au nouveau régime de déclaration obligatoire des atteintes à la protection des données en vertu de la LPRPDE, il est prévu que le Règlement entre en vigueur en même temps que les exigences connexes énoncées à la section 1.1 de la LPRPDE, soit le 1er novembre 2018.

La règle du « un pour un »

La règle du « un pour un » ne s’applique pas, puisque le Règlement ne devrait pas accroître directement le fardeau administratif des entreprises.

Les coûts pour les organismes réglementés découlant de cette proposition réglementaire sont considérés comme étant minimes, étant donné que le fardeau administratif lié à la tenue de dossiers découle des obligations légales imposées par la Loi sur la protection des renseignements personnels numériques. Le Règlement fournit simplement des précisions supplémentaires sur ces obligations. En ce qui concerne les exigences en matière de rapports, le Règlement reflète les meilleures pratiques existantes établies par l’initiative de déclaration volontaire du CPVP et en vertu d’une loi équivalente dans certaines provinces.

Lentille des petites entreprises

La lentille des petites entreprises ne s’applique pas à ce règlement, parce que les coûts estimés à l’échelle du pays sont inférieurs à un million de dollars par année.

Consultation

Durant l’examen parlementaire de la Loi sur la protection des renseignements personnels numériques, plusieurs intervenants représentant les entreprises, les consommateurs et la collectivité juridique ont présenté leurs points de vue sur le régime proposé de déclaration des atteintes à la protection des données. La majorité était généralement favorable à l’approche proposée, qui indiquait que le Règlement fournirait des renseignements supplémentaires sur les exigences légales en matière de déclaration des atteintes à la protection des données, d’avis aux intéressés et de tenue de dossiers.

Après la sanction royale de la Loi sur la protection des renseignements personnels numériques, les intervenants ont été expressément consultés sur l’utilisation proposée d’un règlement. Innovation, Sciences et Développement économique Canada (ISDE) a publié un document de discussion exhaustif posant une série de questions précises et a invité les intervenants à exprimer leur point de vue sur la façon dont le gouvernement devrait exercer son pouvoir réglementaire. Le document de discussion a été publié sur le portail de consultation du gouvernement (www.consultation-des-canadiens.gc.ca) et a été distribué directement à des groupes d’intervenants bien précis. ISDE a également tenu des réunions et des téléconférences bilatérales et multilatérales avec des parties intéressées pour leur permettre d’exprimer leurs points de vue sur le règlement ainsi proposé.

Le 2 septembre 2017, le projet de règlement, intitulé Règlement concernant les atteintes aux mesures de sécurité, a été publié dans la Partie I de la Gazette du Canada aux fins de consultation publique pour une période de 30 jours. Ce projet de règlement peut être consulté au lien suivant : http://www.gazette.gc.ca/rp-pr/p1/2017/2017-09-02/html/reg1-fra.html. ISDE a reçu environ 20 observations écrites de la part d’associations commerciales, de la société civile, d’universitaires, d’experts dans les domaines du droit relatif à la protection de la vie privée et de la sécurité des données, ainsi que du CPVP. Les commentaires ont été examinés soigneusement et ont été pris en compte lors de l’examen du règlement définitif.

En général, les répondants ont formulé des propositions constructives pour mettre au point le libellé du projet de règlement afin de fournir plus de clarté et de certitude sur l’étendue des obligations de l’organisation. Toutefois, dans certains cas, les répondants ont demandé l’apport de changements au Règlement qui iraient au-delà du pouvoir de réglementation prévu par la Loi sur la protection des renseignements personnels numériques, ou qui modifieraient les dispositions législatives adoptées par le Parlement; plus particulièrement pour limiter les exigences en matière de tenue de dossiers sur les atteintes à la protection des données pour les atteintes importantes ou « substantielles ».

Rapport soumis au commissaire

Plusieurs répondants ont exprimé des préoccupations concernant le fait que le texte du projet de règlement ne reconnaît pas explicitement que les organisations peuvent ne pas posséder tous les renseignements requis pour présenter un rapport au commissaire dès que l’organisation détermine que l’atteinte s’est produite. Les organisations qui ont subi une atteinte indiquent qu’il faut souvent des semaines ou des mois pour mener une enquête approfondie sur l’incident, et que les théories initiales au sujet de l’échéancier, de la cause ou de la portée de l’atteinte se révèlent souvent fausses.

Compte tenu de la complexité et de la nature changeante des enquêtes sur les atteintes, et du fait que des renseignements supplémentaires pourraient être obtenus après qu’une organisation s’acquitte de son obligation de soumettre un rapport au commissaire, le Règlement prévoit que les organisations peuvent faire rapport de certains renseignements dans la mesure où ils sont disponibles au moment de la présentation du rapport, et que les organisations peuvent mettre à jour le rapport à une date ultérieure.

Certains répondants ont souligné l’utilisation de différents termes relatifs à l’atteinte; plus particulièrement, ils ont noté que les termes « atteinte aux mesures de sécurité » et « atteinte qui présente un risque réel de préjudice grave » sont utilisés tout au long de l’article 2 du Règlement et on ne sait pas précisément s’il faut faire une distinction entre les deux. Le règlement définitif précise que tous les renseignements requis dans un rapport au commissaire devraient se rapporter expressément à une atteinte qui présente un risque réel de préjudice grave pour les personnes. Lorsque les conséquences d’une atteinte varient d’une personne à l’autre (présente un risque réel de préjudice grave pour certains, mais peu ou pas de risque pour d’autres), les renseignements soumis doivent uniquement porter sur le premier cas. Toutefois, cela n’empêche pas les organisations d’inclure de l’information sur les circonstances de l’atteinte dans leur ensemble, si cela peut être utile pour aider le commissaire à comprendre l’incident.

Certains répondants ont soulevé des préoccupations au sujet de la sécurité des renseignements contenus dans un rapport lors de la transmission au CPVP, et ont demandé que le Règlement permette expressément aux organisations de fournir des renseignements dans des fichiers protégés par mot de passe ou chiffrés. Compte tenu du caractère délicat et confidentiel des renseignements contenus dans un rapport d’atteinte, le Règlement permet expressément aux organisations de soumettre un rapport d’atteinte au CPVP par un moyen sécurisé. Le Règlement n’indique pas quels moyens sont considérés comme « sécuritaires » afin d’offrir une certaine souplesse aux organisations en l’absence d’autres directives du CPVP.

Contenu des avis

La majorité des répondants du milieu des affaires s’opposait fermement à l’exigence proposée d’inclure des renseignements dans un avis aux intéressés au sujet du processus interne de dépôt de plaintes de l’organisation ou du droit de la personne de déposer une plainte auprès du CPVP. Ces répondants ont indiqué qu’il n’est pas clair comment une telle exigence favoriserait la réalisation de l’objectif énoncé du règlement, soit veiller à ce que les consommateurs reçoivent des renseignements cohérents au sujet de l’atteinte. Certains répondants préviennent également que cela va à l’encontre des pratiques de gestion en matière de protection de la vie privée bien établies, qui encouragent les individus à résoudre les plaintes en matière de protection de la vie privée directement avec les organisations avant de soumettre une plainte auprès du commissaire. Le Règlement a été modifié pour éliminer cette exigence.

Conformément aux changements apportés à la disposition portant sur les exigences en matière de rapports, les renseignements qui doivent être inclus dans les avis aux intéressés seraient également des renseignements fournis au meilleur de la connaissance de l’organisation au moment de la déclaration.

Moyens d’aviser

En ce qui concerne les avis directs aux intéressés, les répondants se sont dits préoccupés par le fait que la formulation du projet de règlement n’est pas neutre sur le plan de la technologie et ne permet pas nécessairement d’utiliser de nouvelles formes de communication qui peuvent être préférées chez certains groupes d’intervenants, par exemple des notifications internes et des messages textes. Le règlement définitif emploie un langage qui permettra l’utilisation de toute forme de communication pour l’envoi d’avis directs qu’une personne raisonnable estimerait acceptable dans les circonstances, comme par la poste, par courriel, par téléphone ou en personne.

Dans un même ordre d’idée, les répondants se sont dits préoccupés par le fait que le projet de règlement limitait les avis indirects aux individus pour l’utilisation d’un « message bien en vue » ou d’une « annonce ». Cette formulation est jugée trop normative compte tenu de l’évolution rapide des technologies de communication. Le règlement définitif prévoit l’envoi d’avis indirects par tout moyen de communication publique.

Avis indirect

De nombreux répondants ont souligné que l’utilisation du terme « excessifs » ou l’utilisation d’un concept de coûts excessifs à l’alinéa 5(1)b) du Règlement n’est pas claire. Par conséquent, le seuil pour déterminer s’il faut envoyer un avis indirect a été précisé et comprend désormais la notion plus générale de « contrainte excessive ». Ce concept juridique remplace le concept de coûts excessifs pour accorder aux organisations la latitude requise pour tenir compte des facteurs plus généraux et des caractéristiques uniques des organisations pour déterminer si l’envoi d’avis indirects aux intéressés est justifié.

Tenue de dossiers

De nombreux répondants ont profité de l’occasion pour réitérer leurs préoccupations au sujet du fardeau imposé par l’exigence de tenir un registre de toutes les atteintes à la protection des données, et ont demandé de restreindre l’exigence aux atteintes « substantielles » ou importantes. Toutefois, avec l’adoption de dispositions sur la tenue de dossiers dans la Loi sur la protection des renseignements personnels numériques, le but du Parlement était de permettre au commissaire de vérifier que les organisations font le suivi de toutes les atteintes afin de déterminer si une atteinte entraîne l’obligation d’aviser les intéressés.

Plusieurs répondants ont également demandé que le Règlement précise que la quantité d’information requise dans un registre des atteintes à la protection des données ne devrait pas excéder celle requise dans un rapport sur les atteintes soumis au commissaire. Comme il est indiqué dans le résumé de l’étude d’impact de la réglementation publié dans le projet de règlement le 2 septembre 2017, le Règlement ne précise pas intentionnellement le contenu d’un dossier afin d’offrir aux organisations la souplesse nécessaire relativement à la façon dont le suivi est mis en œuvre.

Les commentaires sur le projet de règlement soumis par le CPVP réitéraient la nécessité d’avoir des déclarations d’atteinte et des dossiers d’atteintes à la sécurité des données qui comprennent des détails sur l’évaluation des risques menée par une organisation, indiquant que ces renseignements sont essentiels pour favoriser une compréhension et un apprentissage commun de la portée et de la nature des atteintes au Canada. Toutefois, avec l’adoption de la Loi sur la protection des renseignements personnels numériques, le but du Parlement était que les organisations sous réglementation fédérale soient responsables d’effectuer des évaluations des risques par rapport aux atteintes qui les concernent, étant donné qu’elles sont les mieux placées pour comprendre les circonstances. Le Parlement avait pour but d’offrir aux organisations la souplesse nécessaire relativement à la façon dont elles mènent leur analyse. L’imposition d’une obligation de fournir au commissaire des détails sur une évaluation des risques pour chacune des atteintes subies par les organisations assujetties à la LPRPDE constituerait un fardeau inutilement lourd pour les organisations sous réglementation fédérale, et n’est pas nécessaire pour atteindre les objectifs de l’avis qui est de fournir les individus avec l’information nécessaire pour qu’il puisse mitiger le risque résultant de l’atteinte.

Les intervenants ont indiqué que le début de la période de conservation liée à la tenue de dossiers devrait être défini de façon plus précise. Un répondant a souligné que l’exigence de conserver les dossiers pendant 24 mois après la date à laquelle l’organisation détermine qu’il y a eu une atteinte pourrait être considérée à tort comme la date à laquelle l’atteinte est survenue. Le Règlement précise que la période de conservation commence le jour où l’organisation confirme qu’une atteinte aux mesures de sécurité, comme il est défini dans le paragraphe 10.1(2) de la Loi, est survenue.

Entrée en vigueur

La grande majorité des répondants ayant fourni des commentaires sur la nécessité d’une période de transition entre la publication du règlement définitif et de son entrée en vigueur ont fait une demande pour une période de 12 à 18 mois une fois que le Règlement est final. Ils ont indiqué qu’un certain délai est nécessaire pour mettre en œuvre les politiques, les procédures et les systèmes d’information nécessaires pour se conformer aux nouvelles obligations en vertu de la Loi. Par contre, le commissaire et de nombreux autres répondants représentant des groupes de défense de la vie privée et des consommateurs ont demandé une mise en œuvre immédiate, affirmant que les organisations ont été mises au courant des exigences légales dès leur adoption en 2015 et qu’elles devraient être bien préparées. Compte tenu de la longue période de consultations sur le Règlement et de la fréquence des violations de données impliquant les renseignements personnels des Canadiens, le Règlement prévoit une date d’entrée en vigueur le 1er novembre 2018. Cela donne une période de transition pour les organisations, tout en incorporant des protections importantes pour les individus d’ici la fin de 2018.

Outre les commentaires relatifs directement au langage et à la signification du projet de règlement, les parties prenantes ont également profité de l’occasion pour signaler la législation sur la protection des données de l’UE, intitulé le Règlement général sur la protection des données (RGPD), qui entrera en vigueur en mai 2018. De nombreuses parties prenantes suggèrent qu’il est nécessaire d’aligner le Règlement plus étroitement sur les exigences en matière de rapports de violation du RGPD étant donné que de nombreuses organisations canadiennes doivent respecter les lois canadiennes et européennes. Le règlement définitif a été rédigé en vue d’harmoniser les exigences dans la mesure du possible.

Justification

Impact sur les intervenants

Entreprises

Toutes les organisations assujetties à la LPRPDE seront touchées par le Règlement. Toutefois, beaucoup auront déjà adopté des pratiques de déclaration des atteintes à la protection des données allant dans le sens du projet de règlement puisque celui-ci s’inspire des pratiques exemplaires en vigueur au CPVP et des exigences prévues par la loi en Alberta.

Dans le cas des organisations sans processus ni procédures pour suivre et déclarer en conséquence les atteintes à la protection des données dont elles font l’objet, l’entrée en vigueur du Règlement se fera dans un certain délai après la publication du règlement définitif.

Consommateurs

Le Règlement aura des effets positifs sur le marché canadien en raison du Règlement. Les consommateurs auront l’assurance, en cas d’atteinte à la protection des données présentant un risque de préjudice grave à leur endroit, de recevoir la bonne information de la manière appropriée, qu’importe où l’atteinte a eu lieu.

Commissariat à la protection de la vie privée du Canada

Il appartient au commissaire de surveiller la conformité aux exigences de déclaration des atteintes à la protection des données en vertu de la LPRPDE. Dans l’exercice de cette surveillance, le CPVP recevra des déclarations sur les atteintes à la protection des données présentant un risque réel de préjudice grave, demandera, à sa discrétion, aux organisations de lui fournir leurs registres des atteintes à la protection des données et conseillera et guidera celles-ci sur la façon de s’acquitter de leurs obligations de signalement des atteintes en vertu de la Loi. S’il y a lieu, le commissaire examinera les plaintes au sujet de contraventions présumées aux exigences de déclaration des atteintes à la protection des données et soumettra à des vérifications les pratiques organisationnelles en la matière.

Dans son rapport annuel au Parlement sur la LPRPDE, le CPVP peut fournir sous forme agrégée et anonymisée de l’information sur l’ampleur et la nature des atteintes déclarées à la protection des données.

Avantages et coûts

Avantages sociaux

Le Règlement contribuera positivement à la vie privée et à la sécurité des individus. La déclaration obligatoire des atteintes permet aux intéressés d’agir immédiatement pour se protéger contre toute compromission susceptible d’entraîner une fraude, une usurpation d’identité, une humiliation, une perte d’emploi ou d’autres formes de préjudice grave.

Le Règlement contribuera à limiter les préjudices aux individus touchés par une atteinte à la protection des données et permettra de mieux protéger les renseignements personnels des Canadiens en général en encourageant l’adoption de meilleures pratiques de sécurité des données.

Les atteintes à la protection des données coûtent extrêmement cher aux consommateurs. Aux coûts financiers s’ajoute le potentiel, reconnu par les tribunaux canadiens, d’humilier les individus touchés ou de leur faire perdre des possibilités.

La notification obligatoire d’atteintes à la protection des données en vertu de la LPRPDE a pour effet de mieux protéger les Canadiens et d’autres consommateurs sur le marché canadien en leur permettant de prendre des mesures afin de parer aux préjudices susceptibles de résulter de telles atteintes.

Le Règlement renforcera cette protection d’un certain nombre de façons. En veillant à ce que les notifications d’atteinte renferment des informations de base et soient communiquées d’une manière appropriée, il en accentuera l’efficacité en augmentant la probabilité que les intéressés reçoivent les informations en question et en comprennent l’importance.

Grâce à l’adoption d’une norme minimale de notification, les Canadiens sauront aussi qu’ils peuvent compter sur le recours à une approche semblable de la part de toutes les organisations.

Avantages économiques

Le Règlement servira à codifier les meilleures pratiques de déclaration des atteintes à la protection des données et créera un climat de certitude au sein du marché quant à la façon pour les organisations d’aviser les intéressés par une atteinte à la vie privée. Il harmonisera également le régime canadien de déclaration des atteintes à la protection des données avec ceux d’autres États, réduisant ainsi le fardeau de déclaration des organisations menant des activités à beaucoup d’endroits dans le monde.

Prescrire le contenu de la notification aux individus et des déclarations au commissaire harmonisera le régime fédéral de déclaration obligatoire des atteintes à la protection des données s’appliquant au secteur privé avec les lois provinciales équivalentes et celles des principaux partenaires commerciaux du Canada. Le RGPD de l’UE, en particulier, qui entre en vigueur en mai 2018, prévoit l’obligation de déclarer toute atteinte à la protection des données et exige des organisations qu’elles présentent des renseignements de nature similaire dans les déclarations aux autorités et aux personnes physiques. Les entreprises de l’UE devront également tenir un registre de toutes les atteintes à la protection des données pour démontrer qu’elles se conforment avec diligence à leurs obligations de déclaration.

Cette harmonisation est importante pour le commerce entre le Canada et l’UE. À l’heure actuelle, la LPRPDE offre, estime-t-on, un niveau de protection de la vie privée équivalant essentiellement à celui de l’UE, ce qui permet la libre circulation des renseignements personnels entre les organisations de l’UE et celles du Canada.

Il s’agit également d’un important facteur de réduction des coûts d’observation pour les organisations actives dans de nombreux États. Bon nombre d’organisations assujetties à la LPRPDE sont tenues de se conformer également à des lois provinciales ou internationales et pourraient devoir, dans le cas d’une atteinte à la protection des données, en aviser des individus dans divers États. Le fait d’aligner les exigences de déclaration des atteintes à la protection des données sous le régime de la LPRPDE à celles d’autres États permettra au Règlement d’alléger le fardeau de notification d’une foule d’organisations au Canada.

Avantages en matière de sécurité publique

Le Règlement devrait favoriser la sécurité des personnes et aider les entreprises canadiennes à relever leur niveau de cybersécurité. Il met en œuvre les exigences légales de déclaration des atteintes à la protection des données que l’on sait un élément important de la politique de cybersécurité du Canada.

L’exigence de conserver pendant deux ans le dossier de toute atteinte encouragera les organisations à suivre et à analyser les répercussions de tous les incidents relatifs à la sécurité des données.

Le Règlement fera également en sorte que les rapports d’atteinte à la sécurité soient fournis de manière cohérente, de sorte que les incidents puissent être comparés et regroupés pour constituer un répertoire de renseignements sur les incidents de sécurité des données au Canada. Fait important, le contenu prescrit du rapport au commissaire comprend des renseignements sur la nature générale de l’atteinte. Ce faisant, on peut créer un répertoire efficace permettant au commissaire d’acquérir une compréhension générale de la nature et de l’ampleur des atteintes survenant au Canada.

La cohérence des informations communiquées permettra également de mettre au point des indicateurs permettant d’élaborer des politiques fondées sur des données probantes. Il n’y a que peu de données en ce moment sur l’ampleur et la nature des atteintes à la protection des données au Canada hors de l’Alberta et du secteur de la santé dans certaines provinces.

Coûts

Le Règlement ne devrait entraîner directement que des coûts minimes pour les entreprises étant donné que la majeure partie du fardeau de déclaration et administratif découle des obligations légales imposées par la Loi sur la protection des renseignements personnels numériques.

Le Règlement reflète en bonne partie des pratiques exemplaires en vigueur ayant vu le jour dans le cadre de l’initiative de déclaration volontaire du CPVP et aux termes de lois équivalentes dans certaines provinces. Puisque ces pratiques sont en place depuis plusieurs années, on s’attend à ce que bon nombre d’organisations sous réglementation fédérale les aient déjà intégrées dans une certaine mesure à leurs propres politiques et procédures.

L’approche retenue dans le Règlement devrait réduire les coûts de se conformer à l’obligation qu’impose la loi d’aviser les intéressés. S’il s’avérait exagérément coûteux de communiquer directement avec elles, le Règlement permettrait aux organisations de les prévenir indirectement et d’utiliser pour ce faire des moyens de communication beaucoup plus économiques et efficaces, allégeant ainsi grandement leur fardeau de notification. Cela pourrait se révéler particulièrement important pour les petites et moyennes organisations en cas d’atteinte à la protection des données d’un très grand nombre de leurs clients.

Le Règlement permet aussi aux organisations de formuler les notifications en fonction de leurs circonstances et en les adaptant à leurs destinataires. Bien qu’il faille inclure des informations de base dans les notifications aux individus, le Règlement demeure silencieux quant au support et au mode de présentation à utiliser.

Mise en œuvre, application et normes de service

Le Règlement entrera en vigueur en même temps que les exigences concernant la déclaration des atteintes à la protection des données prescrites à la section 1.1 de la LPRPDE, et ce, le 1er novembre 2018. Ceci donnera aux organisations sous réglementation fédérale un certain temps pour adapter leurs politiques et leurs procédures en conséquence et de mettre en place des systèmes pour suivre et consigner toutes les atteintes aux mesures de sécurité dont elles font l’objet.

Le Règlement sera appliqué conformément au régime de conformité régi par la LPRPDE, selon lequel il incombe au commissaire de veiller au respect de la loi et de faire enquête sur les plaintes. Dans son rapport annuel 2016-2017 au Parlement, le CPVP a indiqué que l’élaboration de documents d’orientation à l’intention des organisations concernant leurs nouvelles obligations en matière de signalement des violations de données constitue une priorité. Entre-temps, les documents d’orientation existants publiés par le CPVP pour la déclaration volontaire des violations de données aideront les organisations à se conformer à leurs nouvelles obligations.

De nouvelles infractions et amendes en cas de contravention volontaire et délibérée aux exigences légales en matière de déclaration des atteintes à la protection des données, notification aux individus et tenue d’un registre,ont été prescrites par la Loi sur la protection des renseignements personnels numériques. Conformément à d’autres infractions sous le régime de la LPRPDE, les tribunaux sont autorisés à imposer ces amendes ainsi qu’à ordonner aux organisations fautives de modifier leurs pratiques.

ISDE évaluera en permanence s’il y a lieu de modifier le Règlement. Les examens parlementaires de la LPRPDE, qui sont menés tous les cinq ans après l’entrée en vigueur de la Loi, offriront la possibilité d’examiner le besoin d’apporter des modifications aux dispositions législatives, notamment le pouvoir de réglementation en vertu de la LPRPDE concernant la déclaration des atteintes à la protection des données.

Personne-ressource

Charles Taillefer
Directeur
Direction de la politique sur la vie privée et la protection des données
Direction générale des politiques-cadres du marché
Secteur des stratégies et politiques d’innovation
Innovation, Sciences et Développement économique Canada
Téléphone :
343-291-1774
Courriel :
charles.taillefer@canada.ca