Loi sur la protection des renseignements personnels | Lareau, courtiers d'assurances

Loi sur la protection des renseignements personnels

Des nouvelles règles sur la déclaration obligatoire d’atteintes à la protection des données sont entrées en vigueur le 1er novembre 2018

La Loi sur la protection des renseignements personnels et les documents électroniques connaît des changements importants depuis le 1er novembre 2018. Il s’agit d’une loi fédérale qui peut s’appliquer aux entreprises québécoises. Les entreprises qui y sont assujetties sont soumises à des nouvelles dispositions très strictes concernant les atteintes aux mesures de sécurité.

Sommaire des modifications

Des gestes doivent être posés par les entreprises dans le cas d’une atteinte aux mesures de sécurité concernant des renseignements personnels gérés par ces entreprises, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu.

Une atteinte aux mesures de sécurité consiste en une communication non autorisée ou une perte de renseignements personnels, ou encore un accès non autorisé à ceux-ci, que ce soit en raison d’une atteinte aux mesures de sécurité d’une organisation ou encore du fait que ces mesures n’ont pas été mises en place.

Un préjudice grave vise notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles. Bref, cette définition couvre très large.

Avant toute chose, dans le cas où une organisation réalise qu’elle a subi une atteinte à la protection des données, elle doit alors rapidement déterminer si cette atteinte présente un risque réel de préjudice grave, ce qui implique une évaluation des risques à l’égard des individus touchés. Pour ce faire, il faut notamment considérer le degré de sensibilité des renseignements personnels en cause et la probabilité qu’ils soient mal utilisés.

Déclaration d’atteinte à la protection des données

Il est maintenant obligatoire de faire une déclaration d’une telle atteinte au Commissariat à la protection de la vie privée du Canada le plus tôt possible après que l’organisation ait conclu qu’il y a bien eu une atteinte.

Selon le Règlement sur les atteintes aux mesures de sécurité, cette déclaration doit être faite par écrit et contenir notamment ce qui suit : a) les circonstances de l’atteinte et sa cause; b) la date où il y a eu atteinte; c) la nature des renseignements personnels visés par l’atteinte; d) le nombre d’individus visés par l’atteinte; e) les mesures que l’organisation a prises afin de réduire le risque de préjudice pour les individus; f) les mesures prises par l’organisation pour aviser les individus intéressés; f) les mesures que l’organisation a prises ou qu’elle entend prendre afin d’aviser les intéressés de l’atteinte; g) le nom et les coordonnées d’un représentant de l’organisation pouvant répondre à des questions au sujet de l’atteinte.

Avis d’une atteinte aux individus touchés

Il est également obligatoire d’aviser les individus d’une telle atteinte ayant trait à des renseignements personnels les concernant, le plus tôt possible après que l’organisation ait conclu qu’il y a bien eu une atteinte, à moins qu’une règle de droit ne l’interdise.

Selon le Règlement sur les atteintes aux mesures de sécurité, cet avis doit contenir notamment ce qui suit : a) les circonstances de l’atteinte; b) la date où il y a eu atteinte; c) la nature des renseignements personnels visés par l’atteinte; d) les mesures que l’organisation a prises afin de réduire le risque de préjudice pour les individus; e) les mesures que peuvent prendre les individus afin de réduire le risque de préjudice; f) les coordonnées permettant aux individus de se renseigner davantage au sujet de l’atteinte.

Le Règlement prévoit également les modalités d’envoi de l’avis, qu’il soit direct ou indirect, selon des facteurs prévus au Règlement, à appliquer au cas par cas.

Tenue de dossiers sur les atteintes à la protection des données

Il est obligatoire pour les organisations de tenir et de conserver un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elles ont la gestion, et ce, même si l’atteinte ne présente pas un risque réel de préjudice grave à l’endroit d’un individu. Ce registre doit être maintenu au moins 24 mois après qu’une atteinte ait été constatée, et doit être accessible au Commissariat sur demande de sa part.

Obligations additionnelles et conséquences

Il est finalement obligatoire, dans certains cas, d’aviser d’autres organisations en mesure de réduire le risque de préjudices pour les individus (par exemple des sociétés émettrices de cartes de crédit ou des agences d’évaluation de crédit).

Les sanctions, en cas de non-respect de ces obligations, peuvent être très élevées, soit des amendes pouvant atteindre 100 000 $ par individu touché.

Il est donc extrêmement important pour les entreprises de mettre en place dès maintenant des politiques et des mesures de cybersécurité adéquates. Dans ce contexte, le Commissariat a publié un document d’orientation pour la déclaration des atteintes à la vie privée qui est fort utile pour connaître les attentes minimales du Commissariat.

Il y a finalement lieu de garder à l’esprit que bien que la Loi sur la protection des renseignements personnels dans le secteur privé, c’est-à-dire la loi québécoise, ne prévoit pas formellement des obligations de notification en cas d’atteinte à la sécurité, la Commission d’accès à l’information du Québec suggère néanmoins aux entreprises, depuis de nombreuses années, d’agir volontairement de façon similaire à ce qui est maintenant obligatoire en vertu de la loi fédérale.

Bien que le gouvernement fédéral ait exclu de l’application de la loi fédérale les organisations, autres que les entreprises fédérales, qui exploitent une entreprise au Québec à l’égard de la collecte, de l’utilisation et de la communication de renseignements personnels qui s’effectuent à l’intérieur de la province de Québec, la loi fédérale continue de s’appliquer par exemple aux opérations interprovinciales ou internationales. Il faudra donc faire extrêmement attention avant de prétendre que c’est à loi québécoise, plutôt que la loi fédérale, qui s’applique à une atteinte à la sécurité, considérant les sanctions très sévères auxquelles s’exposent les entreprises qui seront en défaut.

*Avis de non-responsabilité : Cette publication est fournie à titre informatif uniquement. Elle peut contenir des éléments provenant d’autres sources et nous ne garantissons pas son exactitude. Cette publication n’est ni un avis ni un conseil juridique.

Auteur: Alexandre Ajami, avocat (Miller Thomson s.e.n.c.r.l.)

Partager ce billet

Articles reliés

  • 10 juin 2019  |  Bateau, Particulier,

    S’assurer avec un bateau de plaisance

    Lire l'article
  • 21 février 2019  |  Habitation, Location court terme / Airbnb, Particulier,

    Mon chalet, mon havre de paix!

    Lire l'article

Infolettre