Vie privée : de nouvelles obligations pour toutes les entreprises
Selon la Chambre de Commerce du Canada, en 2016, 53% des entreprises canadiennes ont été victimes de pertes de données sensibles. Dans les dernières années, des millions de Canadiens ont découvert que leurs données personnelles volées chez Bell Canada, Equifax, Uber, CIBC ou Winners.
C’est ce qui a amené le gouvernement à obliger les entreprises à dévoiler systématiquement tous les incidents ayant pu affecter les informations personnelles qu’elles détiennent sur leurs clients.
C’est le 1er novembre 2018 qu’entrera en vigueur la Loi sur la protection des renseignements personnels numériques qui ajoute des dispositions à la Loi sur la protection des renseignements personnels et les documents électroniques, mieux connue sous son acronyme en anglais « PIPEDA ».
L’obligation de conserver un registre
La Loi impose aux organisations de conserver un registre de toutes les « atteintes aux mesures de sécurité » et ce, pour les 24 mois suivants la date de l’atteinte et lequel devra être disponible au commissaire à la protection de la vie privée en tout temps.
Par «atteinte aux mesures de sécurité», on entend toute perte, accès non autorisé ou divulgation non autorisée de renseignements personnels1. Cela peut-être la perte ou le vol d’une clef USB, d’un disque dur ou d’un ordinateur qui possédait des informations personnelles. Ou alors, la découverte d’une tentative de piratage d’un serveur ou d’un virus qui a affecté un ordinateur ou un réseau sur lequel se trouvaient de telles données. Cela peut également être la découverte qu’un employé a accédé à des telles données sans respecter les procédures.
Les entreprises doivent donc documenter chaque problème de sécurité touchant aux informations personnelles qu’il soit informatique, matérielle ou humaine et ce qu’il y ait eu des dommages ou non.
Obligation d’informer les autorités
De plus, une organisation devra notifier le plus tôt possible le commissaire à la protection de la vie privée, dès qu’une atteinte aux mesures de sécurité pourrait entraîner un « préjudice grave ».
La définition de « préjudice grave » est beaucoup plus large que ce que l’on pourrait croire. Cela comprend la « lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles »2.
Votre entreprise doit donc procéder à une évaluation du risque lors de chaque incident pour déterminer le préjudice en considérant notamment le degré de sensibilité des renseignements personnels en cause et la probabilité que les renseignements soient mal utilisés.
Par exemple, si vous êtes une PME, vous devrez procéder aux notifications dans l’une ou l’autre des situations suivantes :
- vous avez découvert un virus affectant le serveur ou l’ordinateur où se situe votre base de données;
- votre site web a été victime d’une tentative de piratage;
- un employé n’a pas respecté une procédure;
- un ancien employé a emporté des données personnelles avec lui.
Évidemment, les situations pouvant donner lieu à une «atteinte aux mesures de sécurité» sont nombreuses dans les organisations collectant des renseignements personnels et une énumération complète de ces dernières est impossible.
Obligation de notifier vos clients
Lorsque vous découvrez qu’un incident a pu entrainer la divulgation de données personnelles, vous devez informer toutes les personnes dont les données ont été compromises. Et ce même si vous n’êtes pas certain que leurs données aient été divulguées.
Il n’est jamais agréable d’annoncer à ses clients que nous avons mal géré leurs informations et qu’elles ont pu être compromises. Mais si vous le faîtes de la bonne façon et, surtout, rapidement, vos clients apprécieront votre diligence à leur épargner les conséquences éventuelles.
Contenu de l’avis
Les avis notifiant les personnes concernées et le Commissaire à la vie privée de l’atteinte devront contenir des informations bien précises leur permettant d’être renseignés sur les mesures à prendre afin de réduire le risque de préjudice. L’avis à vos clients devra comprendre au minimum :
- les circonstances de l’incident;
- la date ou la période de l’incident;
- la nature des renseignements personnels visés par l’incident;
- les mesures que l’organisation a prises afin de réduire le risque de préjudice;
- les mesures que peut prendre tout intéressé afin de réduire le risque de préjudice;
- les coordonnées permettant à l’intéressé de se renseigner davantage au sujet de l’incident.
L’avis au commissaire devra avoir un contenu identique à l’exception qu’il devra inclure le nombre d’individus visés par l’atteinte.
Rapprochement avec l’Europe
Ces dernières modifications sont contraignantes pour les entreprises, mais en les adoptant, le Canada se rapproche des obligations imposées en Europe depuis le 25 mai dernier par le RGPD, ce qui facilitera les transferts d’information entre organisations européennes et organisations canadiennes.
Depuis toujours, pour tout ce qui touche à la sécurité, la prévention est la meilleure forme de protection. Faire un audit de vos politiques et pratiques de gestion des renseignements personnels dans le cadre de la mise en place d’un programme de conformité à la Loi Canadienne anti-pourriel est une façon à la fois pratique et économique de vous mettre rapidement à l’abri des poursuites, amendes et autres obligations qui pourraient affecter grandement la confiance de vos clients.
Leave a Reply
Want to join the discussion?Feel free to contribute!