Vie privée : de nouvelles obligations pour toutes les entreprises

Selon la Chambre de Commerce du Canada, en 2016, 53% des entreprises canadiennes ont été victimes de pertes de données sensibles. Dans les dernières années, des millions de Canadiens ont découvert que leurs données personnelles volées chez Bell Canada, Equifax, Uber, CIBC ou Winners.

C’est ce qui a amené le gouvernement à obliger les entreprises à dévoiler systématiquement tous les incidents ayant pu affecter les informations personnelles qu’elles détiennent sur leurs clients.

C’est le 1er novembre 2018 qu’entrera en vigueur la Loi sur la protection des renseignements personnels numériques qui ajoute des dispositions à la Loi sur la protection des renseignements personnels et les documents électroniques, mieux connue sous son acronyme en anglais « PIPEDA ».

L’obligation de conserver un registre

La Loi impose aux organisations de conserver un registre de toutes les « atteintes aux mesures de sécurité » et ce, pour les 24 mois suivants la date de l’atteinte et lequel devra être disponible au commissaire à la protection de la vie privée en tout temps.

Par «atteinte aux mesures de sécurité», on entend toute perte, accès non autorisé ou divulgation non autorisée de renseignements personnels1. Cela peut-être la perte ou le vol d’une clef USB, d’un disque dur ou d’un ordinateur qui possédait des informations personnelles. Ou alors, la découverte d’une tentative de piratage d’un serveur ou d’un virus qui a affecté un ordinateur ou un réseau sur lequel se trouvaient de telles données. Cela peut également être la découverte qu’un employé a accédé à des telles données sans respecter les procédures.

Les entreprises doivent donc documenter chaque problème de sécurité touchant aux informations personnelles qu’il soit informatique, matérielle ou humaine et ce qu’il y ait eu des dommages ou non.

Obligation d’informer les autorités

De plus, une organisation devra notifier le plus tôt possible le commissaire à la protection de la vie privée, dès qu’une atteinte aux mesures de sécurité pourrait entraîner un « préjudice grave ».

La définition de « préjudice grave » est beaucoup plus large que ce que l’on pourrait croire. Cela comprend la « lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles »2.

Votre entreprise doit donc procéder à une évaluation du risque lors de chaque incident pour déterminer le préjudice en considérant notamment le degré de sensibilité des renseignements personnels en cause et la probabilité que les renseignements soient mal utilisés.

Par exemple, si vous êtes une PME, vous devrez procéder aux notifications dans l’une ou l’autre des situations suivantes :

  • vous avez découvert un virus affectant le serveur ou l’ordinateur où se situe votre base de données;
  • votre site web a été victime d’une tentative de piratage;
  • un employé n’a pas respecté une procédure;
  • un ancien employé a emporté des données personnelles avec lui.

Évidemment, les situations pouvant donner lieu à une «atteinte aux mesures de sécurité» sont nombreuses dans les organisations collectant des renseignements personnels et une énumération complète de ces dernières est impossible.

Obligation de notifier vos clients

Lorsque vous découvrez qu’un incident a pu entrainer la divulgation de données personnelles, vous devez informer toutes les personnes dont les données ont été compromises. Et ce même si vous n’êtes pas certain que leurs données aient été divulguées.

Il n’est jamais agréable d’annoncer à ses clients que nous avons mal géré leurs informations et qu’elles ont pu être compromises. Mais si vous le faîtes de la bonne façon et, surtout, rapidement, vos clients apprécieront votre diligence à leur épargner les conséquences éventuelles.

Contenu de l’avis

Les avis notifiant les personnes concernées et le Commissaire à la vie privée de l’atteinte devront contenir des informations bien précises leur permettant d’être renseignés sur les mesures à prendre afin de réduire le risque de préjudice. L’avis à vos clients devra comprendre au minimum :

  • les circonstances de l’incident;
  • la date ou la période de l’incident;
  • la nature des renseignements personnels visés par l’incident;
  • les mesures que l’organisation a prises afin de réduire le risque de préjudice;
  • les mesures que peut prendre tout intéressé afin de réduire le risque de préjudice;
  • les coordonnées permettant à l’intéressé de se renseigner davantage au sujet de l’incident.

L’avis au commissaire devra avoir un contenu identique à l’exception qu’il devra inclure le nombre d’individus visés par l’atteinte.

Rapprochement avec l’Europe

Ces dernières modifications sont contraignantes pour les entreprises, mais en les adoptant, le Canada se rapproche des obligations imposées en Europe depuis le 25 mai dernier par le RGPD, ce qui facilitera les transferts d’information entre organisations européennes et organisations canadiennes.

Depuis toujours, pour tout ce qui touche à la sécurité, la prévention est la meilleure forme de protection. Faire un audit de vos politiques et pratiques de gestion des renseignements personnels dans le cadre de la mise en place d’un programme de conformité à la Loi Canadienne anti-pourriel est une façon à la fois pratique et économique de vous mettre rapidement à l’abri des poursuites, amendes et autres obligations qui pourraient affecter grandement la confiance de vos clients.

 

 

Les entreprises canadiennes face à la nouvelle loi californienne sur la protection des renseignements personnels

Jusqu’à tout récemment, les États-Unis tiraient de l’arrière en matière de protection des renseignements personnels. Grande surprise, le 28 juin dernier, la Californie a adopté le California Consumer Privacy Act (CCPA) qui entrera en vigueur en janvier 2020.

Et comme toutes les nouvelles lois de ce type, elle dépasse les frontières et concerne donc les entreprises canadiennes qui ont des clients en Californie. La bonne nouvelle, c’est que les entreprises qui ne rencontrent aucun des critères ci-dessous ne sont pas concernées pour le moment.

Le CCPA s’applique à toute organisation possédant les informations personnelles de résidents californiens et qui :

A des revenus annuels bruts supérieurs à 25 millions de dollars américains;

ou

  • Achète, reçoit, vend ou partage les renseignements personnels de plus de 50 000 résidents californiens;

ou

  • Tire 50% ou plus de ses revenus annuels par la vente d’informations de résidents californiens.

COMPARAISON AVEC PIPEDA

La loi californienne ressemble en plusieurs points à la loi canadienne, la Loi sur la protection des renseignements personnels et les documents électroniques (ou PIPEDA en anglais), mais elle s’en distance aussi sur plusieurs autres. La conformité à PIPEDA n’est donc pas suffisante pour être conforme à la CCPA.

Voici les principales différences :

  • Droit d’accès : les deux lois contiennent le droit pour les consommateurs d’être informés de l’existence et de l’usage de leurs renseignements personnels et d’avoir accès à ces derniers. Toutefois, contrairement à la loi canadienne, la loi californienne ne prévoit pas d’exception à ce droit qui permettrait à une entreprise de refuser l’accès à un consommateur.
  • Droit à l’effacement : en vertu de la loi canadienne, les organisations peuvent conserver les renseignements personnels tant que ceux-ci sont nécessaires aux finalités pour lesquelles ils ont été collectés, ce qui implique le droit pour les consommateur de demander la suppression des informations une fois les finalités remplies. À première vue, la loi californienne offre un droit plus large, soit celui de demander que leurs informations soient supprimées, point. Elle prévoit toutefois plusieurs exceptions assez vagues qui diminue l’étendue du droit et le rendent donc semblable à celui de PIPEDA.
  • Droit à la portabilité : contrairement à la loi canadienne, la loi californienne prévoit le droit à la portabilité des données, c’est-à-dire que les consommateurs ont le droit de recevoir leurs informations dans un format structuré, couramment utilisé pour les transmettre à une autre entité, sans interférence de l’entité initiale.
  • Consentement : la loi californienne n’accorde pas une grande importance au consentement, contrairement à la loi canadienne qui base la légalité de la collecte sur le consentement, soit implicite (opt-out) ou explicite (opt-in) des consommateurs. La CCPA donne toutefois aux Californiens le droit de «opt-out» de la vente de leurs renseignements personnels. Ce droit oblige donc les organisations à inclure sur leur site web un lien clair menant à un formulaire pour la désinscription à la vente.
  • Anti-discrimination : les deux lois prévoient des dispositions interdisant aux organisations d’obliger les consommateurs à consentir à la collecte de leurs informations pour avoir des produits ou services ou pour les avoir à un prix donné. La loi californienne est plus souple car elle permet aux organisations d’offrir des réductions aux individus consentant à la collecte ou à l’usage de leurs informations. 
  • Requêtes : Si la loi canadienne prévoit que les organisations doivent mettre en place des procédures de plaintes et de requêtes accessibles et faciles à utiliser, la loi californienne prévoit que doivent être disponibles au minimum deux modes de communication, un numéro de téléphone sans frais et un site internet. 

DES AMENDES PRÉVUES

Au Canada, le Commissaire à la protection de la vie privée n’a pas le pouvoir d’imposer des amendes pour des contraventions à PIPEDA et les consommateurs ne possèdent pas de droit privé d’action.

La Californie a elle, été beaucoup plus ferme quant à l’application de sa loi. En effet, les consommateurs possèdent un droit privé d’action, c’est-à-dire le droit de poursuivre en recours civil ou collectif une entreprise pour des infractions aux obligations de sécurité, et ce, sans qu’ils aient subi un quelconque préjudice.

La CCPA prévoit également des sanctions allant jusqu’à 7500 US$ par violation. 

L’IMPORTANCE D’UN PROGRAMME DE CONFORMITÉ

Si votre entreprise recueille ou possède des renseignements personnels de résidents californiens, vous êtes possiblement sujet à la CCPA, ce qui vous met grandement à risque d’actions civiles de la part de consommateurs, puisque ceux-ci n’ont pas à prouver de dommages pour réclamer des compensations. Et ce, même si vous êtes conformes à la loi canadienne.

Alors qu’Internet vous permet de transiger avec des consommateurs et entreprises partout sur la planète, il devient de plus en plus important de vérifier que vos pratiques de gestion des données et de marketing électronique respectent les exigences réglementaires.

N’hésitez pas à parler avec un conseiller de Certimail pour vérifier si vous êtes touché par cette nouvelle législation.