201807.04
0
0

La notification des failles sécuritaires au Canada

Le 18 avril 2018, le gouvernement fédéral canadien a publié le Règlement sur les atteintes à la sécurité, qui précise les exigences relatives à la communication au Commissariat à la protection de la vie privée et aux personnes concernées des atteintes à la sécurité des données. Les organisations du secteur privé disposent d’un délai de cinq mois pour se préparer à l’entrée en vigueur des modifications législatives le 1er novembre 2018.

A peine le nouveau règlement européen sur la protection des données personnelles (RGPD) institue-t-il une obligation de notification des failles sécuritaires que le gouvernement canadien annonce la mise en oeuvre d’une obligation similaire au niveau fédéral. Même si l’Union Européenne et le Canada ont choisi de légiférer sur cette question au niveau supra-national pour l’une, et supra-provincial pour l’autre, se distinguant en cela des États-Unis où les États ont pris les devants (voir notre précédent billet sur cette question, ainsi que mon article en anglais comparant les approches européenne, américaine et canadienne en matière de réglementation dans le domaine de la protection des données à caractère personnel) il reste que l’on assiste clairement à une tendance vers davantage de transparence et de responsabilisation de la part des acteurs économiques à un moment où un certain nombre de failles sécuritaires de grande ampleur font depuis 2-3 ans la une des journaux des deux côtés de l’Atlantique.

La nouvelle réglementation canadienne exige des entreprises qu’elles avisent les personnes concernées ainsi que le Commissaire à la protection de la vie privée «dès que possible» – aucune limite de temps n’est fixée. À l’instar du RGPD, le Règlement sur les atteintes à la sécurité permet la mise à jour d’un rapport d’atteinte à mesure que des renseignements supplémentaires deviennent disponibles.

Jusqu’à l’entrée en vigueur des modifications du PIPEDA, la loi fédérale sur la protection des données personnelles dans le secteur privé, seul l’Alberta a une réglementation en matière de failles sécuritaires. Le paragraphe 34.1 (1) de la Loi sur la protection des renseignements personnels de l’Alberta oblige ainsi un organisme qui a sous son contrôle des renseignements personnels à aviser le Commissaire à l’information et à la protection de la vie privée de l’Alberta de tout incident impliquant une perte ou un accès non autorisé aux données personnelles.

Les obligations des entreprises en vertu de PIPEDA

  • Les entreprises doivent déterminer si la violation présente un «risque réel de préjudice important» pour toute personne dont l’information a été impliquée dans la violation en procédant à une évaluation des risques. L’évaluation du risque doit tenir compte de la sensibilité de l’information impliquée ainsi que de la probabilité que l’information soit mal utilisée.

La loi définit le préjudice important comme incluant les lésions corporelles, l’humiliation, les atteintes à la réputation ou aux relations, la perte d’emploi, les opportunités d’affaires ou professionnelles, les pertes financières et le vol d’identité ;

  • Lorsque l’organisation considère qu’une violation présente un risque réel de préjudice, elle doit en aviser les personnes concernées et faire un rapport au Commissaire à la protection de la vie privée du Canada dès que possible ;
  • L’entreprise doit aviser toute autre organisation susceptible d’atténuer les dommages causés aux personnes touchées.

Tenue de registres obligatoire pour toutes les infractions

Les organismes doivent tenir un registre de chaque manquement aux garanties de sécurité pendant au moins 24 mois après la date à laquelle l’organisation détermine que l’infraction a été commise.

L’article 10.3 du PIPEDA exigera des organisations qu’elles tiennent à jour un registre de toutes les violations impliquant des renseignements personnels.

Sur demande, les entreprises doivent fournir ces registres au commissaire. Le commissaire peut publier des renseignements à partir de ces registres si cela ressort de  l’intérêt public. Le commissaire peut également engager une enquête ou une vérification fondée sur les renseignements figurant dans le registre de violation.

Il n’y a pas de seuil associé à l’obligation de tenir des registres. Il n’y a pas non plus de seuil avant qu’une entreprise soit tenue de fournir son «dossier de violation» au commissaire.

Contenu et forme des rapports au commissaire

Un rapport au commissaire doit être rédigé par écrit et contenir les renseignements suivants:

  • les circonstances de la violation et, si elle est connue, la cause ;
  • la date ou la période pendant laquelle la violation s’est produite ;
  • les renseignements personnels qui font l’objet de l’infraction ;
  • une estimation du nombre de personnes présentant un risque réel de préjudice important ;
  • les mesures prises pour réduire les risques ou atténuer les dommages causés ;
  • les mesures prises pour aviser les personnes concernées ;
  • le nom et les coordonnées d’une personne qui peut répondre, au nom de l’organisation, aux questions du commissaire au sujet de la violation.

Contenu et mode de notification aux personnes touchées

Les notifications doivent comporter les éléments spécifiques suivants, en plus de ceux mentionnés ci-dessus :

  • un numéro de téléphone sans frais ou une adresse électronique,que la personne concernée peut utiliser pour obtenir de plus amples renseignements au sujet de l’infraction ;
  • des renseignements sur le processus interne de plainte de l’organisation et sur le droit de l’individu concerné, en vertu du PIPEDA, de déposer une plainte auprès du commissaire.

La notification directe aux particuliers doit être donnée : (a) par courriel ou par toute autre forme de communication sécurisée si la personne concernée a consenti à recevoir des renseignements de l’organisation de cette manière; (b) par lettre remise à la dernière adresse connue de la personne concernée; (c) par téléphone; ou (d) en personne.

Le règlement comprend l’obligation de fournir une notification indirecte des infractions dans un certain nombre de circonstances. La notification indirecte ne peut être donnée que par un message bien visible, affiché sur le site internet de l’organisation pendant au moins 90 jours ; ou au moyen d’une publicité susceptible d’atteindre les personnes concernées.

Les sanctions

Les pénalités pour violation du Règlement peuvent être importantes : des manquements délibérés à signaler des infractions ou à aviser des personnes peuvent faire l’objet d’amendes pouvant atteindre 100 000 dollars canadiens par infraction. Le fait de ne pas tenir des registres appropriés sur les infractions ou de détruire de tels registres constituerait également une infraction passible d’une amende du même montant.

Même si on reste encore dans des montants moindres que les 20 millions d’euros ou 4% du chiffre d’affaires mondial prévus par le RGPD on dénote toutefois une tendance vers une responsabilisation des acteurs économiques assorties de sanctions financières de plus en plus dissuasives au niveau international. Au moment où la Commission Européenne a annoncé son intention de revoir sa décision d’adéquation de 2002 aux termes de laquelle le Canada est considéré comme une juridiction adéquate pour le transfert international des données personnelles en provenance de l’Union Européenne, nul doute que la décision de modifier PIPEDA et de créer une obligation de notifier les failles sécuritaires au niveau fédéral sera vue d’un bon oeil du côté européen.

Cet article a été écrit en collaboration avec Sarah Lasson