Vol. 151, no 35 — Le 2 septembre 2017

Règlement concernant les atteintes aux mesures de sécurité

Fondement législatif

Loi sur la protection des renseignements personnels et les documents électroniques

Ministère responsable

Ministère de l’Industrie

RÉSUMÉ DE L’ÉTUDE D’IMPACT DE LA RÉGLEMENTATION

(Ce résumé ne fait pas partie du Règlement.)

Enjeux

Le 18 juin 2015, la Loi sur la protection des renseignements personnels numériques (aussi appelée projet de loi S-4) a modifié la loi canadienne sur le respect de la vie privée, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE ou la Loi), d’un certain nombre de façons. L’un des changements clés a été l’établissement d’exigences de déclaration obligatoire des atteintes à la protection des données.

Ces nouvelles obligations sont énoncées à la section 1.1 de la LPRPDE, mais elles ne sont pas encore en vigueur. Le projet de règlement apporte des éclaircissements relativement à certaines de ces exigences légales et précise les modalités d’entrée en vigueur du Règlement.

Contexte

Cadre législatif

La LPRPDE vise la collecte, l’utilisation ou la communication de renseignements personnels par toute organisation dans le cadre d’une activité commerciale. Une activité commerciale est définie comme toute activité régulière ainsi que tout acte isolé de nature commerciale, y compris la vente, le troc ou la location de listes de donneurs, d’adhésion ou de collecte de fonds.

Le gouvernement fédéral peut exclure de l’application de la LPRPDE des organisations ou des activités dans les provinces qui ont adopté, dans le domaine de la protection de la vie privée, une loi essentiellement similaire. À ce jour, le Québec, la Colombie-Britannique et l’Alberta ont adopté à l’égard du secteur privé des lois jugées essentiellement similaires à la LPRPDE, ce que l’Ontario, le Nouveau-Brunswick, la Nouvelle-Écosse et Terre-Neuve-et-Labrador ont fait dans le domaine des renseignements personnels en santé.

Même dans les provinces ayant adopté des lois essentiellement similaires à la loi fédérale sur la protection de la vie privée, la LPRPDE continue de s’appliquer à toute opération interprovinciale ou internationale effectuée par toute organisation visée par la Loi dans le cadre de ses activités commerciales.

En outre, dans ces provinces, la LPRPDE continue de s’appliquer aux organisations sous réglementation fédérale — « les entreprises fédérales » — telles que les banques, les sociétés de télécommunication et les entreprises de transport.

Le but de la LPRPDE est de faciliter la croissance du commerce électronique en renforçant la confiance des Canadiens et des entreprises dans l’économie numérique. La Loi s’appuie sur des principes permettant de trouver un équilibre entre le droit des individus à la vie privée et la nécessité pour les entreprises d’utiliser ou d’échanger des renseignements à des fins légitimes.

Déclaration obligatoire des atteintes à la protection des données en vertu de la LPRPDE

Par suite de la mise en œuvre de la section 1.1 de la LPRPDE, une organisation qui subit une atteinte à la protection des données — appelée dans la Loi « atteinte aux mesures de sécurité » — devra s’acquitter d’un certain nombre d’obligations, en l’occurrence :

  • déterminer si l’atteinte présente un « risque réel de préjudice grave » à l’endroit de tout individu dont les renseignements personnels étaient visés par l’atteinte (« intéressés ») en réalisant pour ce faire une évaluation des risques devant tenir compte du degré de sensibilité desdits renseignements et de la probabilité qu’ils soient utilisés à mauvais escient;
  • le plus tôt possible, aviser les individus de toute atteinte qu’elle estime présenter un risque réel de préjudice grave à leur endroit et signaler cette atteinte au commissaire à la protection de la vie privée du Canada (le commissaire);
  • aviser toute autre organisation susceptible de pouvoir atténuer le risque de préjudice aux intéressés;
  • tenir un dossier de toute atteinte à la protection des données dont l’organisation est au courant et le fournir au commissaire à sa demande.

L’alinéa 26(1)c) de la LPRPDE confère au gouverneur en conseil le pouvoir de prendre tout règlement nécessaire en vertu de la Loi. L’objectif du projet de règlement est d’entourer d’une certaine précision certains éléments des exigences de déclaration des atteintes à la protection des données énoncées à la section 1.1 de la Loi.

Objectifs

Les objectifs du règlement proposé sont les suivants :

  1. Faire en sorte que tous les Canadiens reçoivent des informations cohérentes au sujet des atteintes à la protection des données présentant un risque réel de préjudice grave à leur endroit.
  2. Faire en sorte que les avis renferment suffisamment d’information pour permettre aux individus de comprendre l’importance de l’atteinte et de ses conséquences possibles.
  3. Faire en sorte que le commissaire reçoive des informations cohérentes et comparables au sujet des atteintes à la protection des données présentant un risque de préjudice grave.
  4. Faire en sorte que le commissaire soit capable d’exercer une surveillance efficace et de vérifier que les organisations se conforment à l’obligation d’aviser les intéressés d’une atteinte à la protection des données et de déclarer l’atteinte au commissaire.

Description et justification

En ce qui a trait aux exigences légales de déclaration des atteintes à la protection des données prévues à la section 1.1 de la LPRPDE, le projet de règlement :

  • spécifiera les exigences minimales à respecter pour faire une déclaration d’atteinte à la protection des données au commissaire;
  • spécifiera les exigences minimales à respecter pour aviser les intéressés d’une atteinte à la protection des données;
  • confirmera la portée et la période de conservation des dossiers à tenir sur les atteintes à la protection des données.

Compte tenu du large éventail d’organisations assujetties à la LPRPDE, le projet de règlement permettra aux organisations de s’acquitter de leurs obligations réglementaires avec un maximum de souplesse et d’une manière compatible avec leur situation particulière.

Déclaration d’atteinte à la protection des données au commissaire

Le projet de règlement énumère les catégories d’information devant figurer dans une déclaration au commissaire, mais il n’empêche pas une organisation de fournir des renseignements complémentaires au commissaire si elle estime qu’ils l’aideraient à comprendre l’incident.

Le projet de règlement correspond étroitement à ce que recommande le Commissariat à la protection de la vie privée du Canada (CPVP) dans sa directive sur la déclaration volontaire des atteintes à la protection des données et aux exigences relatives à leur déclaration obligatoire en Alberta (voir référence 1) et au sein de l’Union européenne (voir référence 2).

Le projet de règlement permet à l’organisation d’inclure dans sa déclaration d’atteinte à la protection des données les meilleurs renseignements alors disponibles. Elle peut ainsi signaler les atteintes dans un délai approprié même si elle ne détient pas encore toute l’information. Cela lui permet d’apporter ultérieurement des mises à jour à sa déclaration si elle obtient d’autres renseignements pertinents.

Avis d’une atteinte à la protection des données aux intéressés

Le projet de règlement énumère également les catégories d’information devant figurer dans un avis aux intéressés. Cela n’empêche toutefois pas les organisations de fournir des renseignements additionnels ou d’adapter l’avis à leurs destinataires.

Cela éclaire les organisations sur ce qu’elles doivent minimalement faire pour se conformer aux exigences de la loi en matière d’avis tout en leur offrant une certaine marge de manœuvre quant au support, à la présentation et au moyen à utiliser pour aviser les intéressés. Les organisations peuvent ainsi aviser les intéressés conformément à leurs attentes et aux pratiques courantes.

Le projet de règlement fait état de certains moyens de communication d’usage courant jugés appropriés pour aviser directement les individus, l’utilisation de certains étant permise sous réserve de conditions pour assurer la communication prompte et sécurisée de l’information. La proposition reconnaît en outre que l’avis par d’autres moyens de communication non spécifiés peut également se révéler approprié, à condition qu’il s’agisse de modes sûrs et prompts et qu’ils aient été établis par l’organisation pour communiquer des renseignements importants à ses destinataires.

Le projet de règlement précise les circonstances qui justifieraient d’aviser les intéressés indirectement plutôt que directement. De l’avis général des intervenants, il s’agit de situations où un avis direct à tous les intéressés pourrait n’être ni possible ni pratique dans les circonstances pour l’organisation ayant subi l’intrusion, ni dans l’intérêt de ces personnes. Il y est aussi confirmé que les notifications et annonces publiques sont des moyens appropriés d’aviser indirectement les individus. L’utilisation de ces moyens de communication fait l’objet d’exigences additionnelles afin d’accroître la probabilité que les intéressés reçoivent l’information.

Tenue de dossiers sur les atteintes à la protection des données

Le règlement projeté affirmera que la tenue de dossiers sur les atteintes à la protection des données a pour objet d’aider le commissaire à s’acquitter de son devoir de surveillance, c’est-à-dire de veiller à ce que les organisations se conforment aux exigences de lui déclarer toute atteinte importante et d’en aviser les intéressés. Cela incitera les organisations par la suite à se doter de meilleures pratiques de sécurité des données.

À cette fin, le règlement proposé exigera que les organisations conservent dans un registre des atteintes à la protection des données suffisamment d’information pour faire la preuve qu’elles suivent les intrusions dans les données qui débouchent sur une atteinte à la sécurité des renseignements personnels. Le projet de règlement permet d’interpréter au sens large ce qu’est un « registre » (ou « dossier ») aux fins de la LPRPDE.

Cette approche assure la protection de tout document, sur quelque support et sous quelque forme que ce soit, susceptible d’être fourni au commissaire en réponse à une demande de dossiers d’atteintes à la sécurité des données. Le fait de ne pas préciser ce qu’est un dossier dans la réglementation permet d’étendre l’exemption de la Loi sur l’accès à l’information prévue dans la LPRPDE à tout ce qui est considéré comme étant un dossier d’atteinte aux fins de la Loi.

Le projet de règlement spécifie qu’une organisation doit conserver les dossiers d’atteintes à la protection des données pendant au moins 24 mois. Cela permet au commissaire de requérir et d’examiner l’historique des atteintes subies par une organisation sur une période de deux ans. Cette période concorde avec les délais accordés par la plupart des provinces pour intenter des poursuites au civil. L’intention est de prescrire une obligation minimale motivant ainsi une organisation à conserver les registres pour plus de deux ans si d’autres obligations, pratiques ou exigences le requièrent.

Pour plus de certitude, le projet de règlement indique clairement qu’une déclaration d’atteinte à la protection des données fournie au commissaire en vertu du paragraphe 10.1(1) de la LPRPDE peut aussi être considérée comme un dossier d’atteinte à la protection des données.

Entrée en vigueur

Pour qu’il soit plus facile aux organisations de se conformer au nouveau régime de déclaration obligatoire des atteintes à la protection des données en vertu de la LPRPDE, il est prévu que le règlement proposé entre en vigueur en même temps que les exigences connexes énoncées à la section 1.1 de la LPRPDE et qu’un délai soit imposé entre la publication du règlement définitif et son entrée en vigueur.

Impacts

Entreprises

Toutes les organisations assujetties à la LPRPDE seront touchées par le projet de règlement. Toutefois, beaucoup auront déjà adopté des pratiques de déclaration des atteintes à la protection des données allant dans le sens du projet de règlement puisque celui-ci s’inspire des pratiques exemplaires en vigueur au CPVP et des exigences prévues par la loi en Alberta.

Dans le cas des organisations sans processus ni procédures pour suivre et déclarer en conséquence les atteintes à la protection des données dont elles font l’objet, l’entrée en vigueur du projet de règlement se fera dans un certain délai après la publication du règlement définitif.

Consommateurs

Le règlement proposé aura des effets positifs sur le marché canadien. Les consommateurs auront l’assurance, en cas d’atteinte à la protection des données présentant un risque de préjudice grave à leur endroit, de recevoir la bonne information de la manière appropriée, qu’importe où l’atteinte a eu lieu.

Commissariat à la protection de la vie privée du Canada

Il appartient au commissaire de surveiller la conformité aux exigences de déclaration des atteintes à la protection des données en vertu de la LPRPDE. Dans l’exercice de cette surveillance, le CPVP recevra des déclarations sur les atteintes à la protection des données présentant un risque réel de préjudice grave, demandera, à sa discrétion, aux organisations de lui fournir leurs registres des atteintes à la protection des données et conseillera et guidera celles-ci sur la façon de s’acquitter de leurs obligations de signalement des atteintes en vertu de la Loi. S’il y a lieu, le commissaire examinera les plaintes au sujet de contraventions présumées aux exigences de déclaration des atteintes à la protection des données et soumettra à des vérifications les pratiques organisationnelles en la matière.

Dans son rapport annuel au Parlement sur la LPRPDE, le CPVP peut fournir sous forme agrégée et anonymisée de l’information sur l’ampleur et la nature des atteintes déclarées à la protection des données.

Avantages et coûts

Avantages sociaux

Le règlement proposé devrait contribuer positivement à la vie privée et à la sécurité des individus. La déclaration obligatoire des atteintes permet aux intéressés d’agir immédiatement pour se protéger contre toute compromission susceptible d’entraîner une fraude, une usurpation d’identité, une humiliation, une perte d’emploi ou d’autres formes de préjudice grave.

L’on s’attend à ce que le projet de règlement contribue à limiter les préjudices aux individus touchés par une atteinte à la protection des données et permette de mieux protéger les renseignements personnels des Canadiens en général en encourageant l’adoption de meilleures pratiques de sécurité des données.

Les atteintes à la protection des données coûtent extrêmement cher aux consommateurs. Selon Javelin Strategy and Research, qui, depuis 2006, réalise annuellement une étude approfondie sur l’usurpation d’identité aux États-Unis, une proportion importante des individus touchés par une atteinte à la protection des données deviennent des victimes de vol d’identité ou de fraude. Aux coûts financiers s’ajoute le potentiel, reconnu par les tribunaux canadiens, d’humilier les individus touchés ou de leur faire perdre des possibilités.

La notification obligatoire d’atteintes à la protection des données en vertu de la LPRPDE a pour effet de mieux protéger les Canadiens et d’autres consommateurs sur le marché canadien en leur permettant de prendre des mesures afin de parer aux préjudices susceptibles de résulter de telles atteintes.

Le règlement proposé renforcera cette protection d’un certain nombre de façons. En veillant à ce que les notifications d’atteinte renferment des informations de base et soient communiquées d’une manière appropriée, il en accentuera l’efficacité en augmentant la probabilité que les intéressés reçoivent les informations en question et en comprennent l’importance.

Grâce à l’adoption d’une norme minimale de notification, les Canadiens sauront aussi qu’ils peuvent compter sur le recours à une approche semblable de la part de toutes les organisations.

Avantages économiques

Le règlement proposé servira à codifier les meilleures pratiques de déclaration des atteintes à la protection des données et créera un climat de certitude au sein du marché quant à la façon pour les organisations d’aviser les intéressés par une atteinte à la vie privée. Il harmonisera également le régime canadien de déclaration des atteintes à la protection des données avec ceux d’autres États, réduisant ainsi le fardeau de déclaration des organisations menant des activités à beaucoup d’endroits dans le monde.

Plus particulièrement, le projet de règlement spécifiera le contenu minimal d’une déclaration au commissaire en cas d’atteinte à la vie privée et donnera à celui-ci l’assurance d’y trouver de l’information adéquate et cohérente lui permettant de vérifier que les organisations s’acquittent de leur obligation d’aviser les individus. Cela permet de veiller à ce que toutes les organisations obéissent à une seule et même norme lorsqu’elles déclarent des atteintes et de définir des règles du jeu équitables pour les organisations sous réglementation fédérale au Canada.

Prescrire le contenu de la notification aux individus et des déclarations au commissaire harmonisera le régime fédéral de déclaration obligatoire des atteintes à la protection des données s’appliquant au secteur privé avec les lois provinciales équivalentes et celles des principaux partenaires commerciaux du Canada.

Le Règlement général sur la protection des données (RGPD) de l’Union européenne, en particulier, qui entre en vigueur en 2018, prévoit l’obligation de déclarer toute atteinte à la protection des données et exige des organisations qu’elles présentent des renseignements de nature similaire dans les déclarations aux autorités et aux personnes physiques. En vertu du projet de règlement, les entreprises de l’UE devront également tenir un registre de toutes les atteintes à la protection des données pour démontrer qu’elles se conforment avec diligence à leurs obligations de déclaration.

Cette harmonisation est importante pour le commerce entre le Canada et l’UE À l’heure actuelle, la LPRPDE offre, estime-t-on, un niveau de protection de la vie privée équivalant essentiellement à celui de l’UE, ce qui permet la libre circulation des renseignements personnels entre les organisations de l’UE et celles du Canada.

Il s’agit également d’un important facteur de réduction des coûts d’observation pour les organisations actives dans de nombreux États. Bon nombre d’organisations assujetties à la LPRPDE sont tenues de se conformer également à des lois provinciales ou internationales et pourraient devoir, dans le cas d’une atteinte à la protection des données, en aviser des individus dans divers États. Le fait d’aligner les exigences de déclaration des atteintes à la protection des données sous le régime de la LPRPDE à celles d’autres États permettrait au projet de règlement d’alléger le fardeau de notification d’une foule d’organisations au Canada.

Avantages en matière de sécurité publique

Le projet de règlement devrait favoriser la sécurité des personnes et aider les entreprises canadiennes à relever leur niveau de cybersécurité. Il met en œuvre les exigences légales de déclaration des atteintes à la protection des données, que l’on sait un élément important de la politique de cybersécurité du Canada.

Les experts en sécurité des données attribuent le nombre croissant d’atteintes à la protection des données au fait que les organisations ne prennent pas les mesures appropriées pour protéger les données qu’elles détiennent. Dans une étude qu’elle a publiée sur l’aspect économique des atteintes à la protection des données publiée en 2016, la Société Internet avance l’hypothèse d’une double raison : (1) les organisations ne subissent pas l’entièreté des coûts d’une atteinte à la protection des données (une bonne partie l’étant par les intéressés); (2) les organisations ne gagnent pas assez à mieux protéger les données de leurs utilisateurs (voir référence 3). L’obligation de déclarer les atteintes et d’en tenir un registre offre aux organisations un incitatif, dont le besoin se fait grandement sentir, à se doter de meilleures pratiques de sécurité.

L’exigence de conserver pendant deux ans le dossier de toute atteinte encouragera les organisations à suivre et à analyser les répercussions de tous les incidents relatifs à la sécurité des données. Bien qu’en apparence non préjudiciables, de nombreuses atteintes peuvent avoir des incidences sur la sécurité des données. À l’heure actuelle, selon le sondage mondial sur la sécurité de l’information 2016 d’EY, la majorité des organisations n’augmentent pas leurs dépenses de cybersécurité après avoir subi une atteinte sans préjudice apparent. Les auteurs du rapport indiquent qu’il faut s’en inquiéter puisqu’il est fréquent pour les cybercriminels de faire des « tentatives d’attaque » et de demeurer inactifs après une intrusion ou d’utiliser la brèche comme manœuvre de diversion pour déjouer les organisations afin d’éviter qu’elles ne découvrent la véritable nature de leurs agissements (voir référence 4).

En vertu du projet de règlement, les déclarations d’atteinte au commissaire seront aussi présentées de façon à pouvoir comparer et regrouper les incidents et constituer ainsi un dépôt, grandement nécessaire, d’information sur les incidents touchant la sécurité des données au Canada, ce qui, selon les experts, se traduira par une meilleure compréhension commune des menaces à la cybersécurité. Selon le rapport de la Société Internet, l’échange responsable de cette information comporte de nombreux avantages : cela aide les organisations à généralement mieux sécuriser leurs données, les responsables des politiques à améliorer celles-ci, les organismes de réglementation à engager des poursuites contre les attaquants et l’industrie de la sécurité des données à produire de meilleures solutions (voir référence 5). Pour qu’il y ait moins d’atteintes à la protection des données, nous devons, est-il recommandé dans le rapport, faire preuve d’une plus grande transparence en la matière en notifiant et en divulguant ces brèches.

La cohérence des informations communiquées permettra également de mettre au point des indicateurs permettant d’élaborer des politiques fondées sur des données probantes. Il n’y a que peu de données en ce moment sur l’ampleur et la nature des atteintes à la protection des données au Canada hors de l’Alberta et du secteur de la santé dans certaines provinces.

Coûts

Le projet de règlement ne devrait entraîner directement que des coûts minimes pour les entreprises étant donné que la majeure partie du fardeau de déclaration et administratif découle des obligations légales imposées par la Loi sur la protection des renseignements personnels numériques.

De plus, le projet de règlement reflète en bonne partie des pratiques exemplaires en vigueur ayant vu le jour dans le cadre de l’initiative de déclaration volontaire du CPVP et aux termes de lois équivalentes dans certaines provinces. Puisque ces pratiques sont en place depuis plusieurs années, l’on s’attend à ce que bon nombre d’organisations sous réglementation fédérale les aient déjà intégrées dans une certaine mesure à leurs propres politiques et procédures.

L’approche retenue dans le projet de règlement devrait réduire les coûts de se conformer à l’obligation qu’impose la loi d’aviser les intéressés. S’il s’avérait exagérément coûteux de communiquer directement avec elles, le projet de règlement permettrait aux organisations de les prévenir indirectement et d’utiliser pour ce faire des moyens de communication beaucoup plus économiques et efficaces, allégeant ainsi grandement leur fardeau de notification. Cela pourrait se révéler particulièrement important pour les petites et moyennes organisations en cas d’atteinte à la protection des données d’un très grand nombre de leurs clients.

Le projet de règlement permet aussi aux organisations de formuler les notifications en fonction de leurs circonstances et en les adaptant à leurs destinataires. Bien qu’il faille inclure des informations de base dans les notifications aux individus, le projet de règlement demeure silencieux quant au support et au mode de présentation à utiliser.

Consultation

Durant l’examen parlementaire de la Loi sur la protection des renseignements personnels numériques, plusieurs intervenants représentant les entreprises, les consommateurs et la collectivité juridique ont présenté leurs points de vue sur le régime proposé de déclaration des atteintes à la protection des données. La majorité était généralement favorable à l’approche du projet de loi, qui proposait de préciser les exigences de la loi par voie de règlement.

Après la sanction royale de la Loi sur la protection des renseignements personnels numériques, les intervenants ont été expressément consultés sur l’utilisation proposée d’un règlement. Innovation, Sciences et Développement économique Canada (ISDE) a publié un document de discussion exhaustif posant une série de questions précises et a invité les intervenants à exprimer leur point de vue sur la façon dont le gouvernement devrait exercer son pouvoir réglementaire. Le document de discussion a été publié sur le portail de consultation du gouvernement (www.consultation-des-canadiens.gc.ca) et a été distribué directement à des groupes d’intervenants bien précis. ISDE a également tenu des réunions et des téléconférences bilatérales et multilatérales avec des parties intéressées pour leur permettre d’exprimer leurs points de vue sur le règlement ainsi proposé.

La majorité des intervenants appuyaient la prise d’un règlement pour qu’il soit possible d’interpréter plus sûrement certaines dispositions de la loi. L’un des thèmes clés à se dégager des réponses était la nécessité de donner aux organisations la souplesse nécessaire pour répondre aux exigences en fonction de leurs circonstances particulières. La majorité des représentants des entreprises s’opposaient à l’emploi d’un règlement trop contraignant et souhaitaient faire usage le plus possible des pratiques existantes pour s’acquitter de leurs nouvelles obligations.

Il y avait également désir d’harmoniser le règlement proposé avec les meilleures pratiques de déclaration des atteintes en vigueur et l’on invoquait en particulier à cet effet la directive du CPVP sur la déclaration volontaire des atteintes à la protection des données et les exigences relatives à leur déclaration obligatoire en Alberta et au sein de l’Union européenne.

Il y avait généralement consensus quant à la nécessité pour le règlement de clarifier le contenu et les modalités des déclarations au commissaire et des avis aux intéressés. L’on souhaitait également que le règlement précise davantage les exigences de tenue de registres. La majorité des intervenants ont toutefois indiqué qu’il serait peut-être préférable de recourir à des lignes directrices plutôt qu’à un règlement pour fournir des éclaircissements dans certains domaines, y compris l’utilisation de facteurs additionnels à considérer au moment d’évaluer les risques et de déterminer les tierces parties qu’il y aurait lieu d’informer d’une atteinte à la protection des données.

Le CPVP convenait aussi de l’à-propos d’utiliser des documents d’orientation dans ces domaines pour aider les organisations sous réglementation fédérale et s’est engagé à fournir la documentation nécessaire.

Plusieurs intervenants voulaient que le règlement aborde le rôle du chiffrement dans une atteinte à la protection des données, se demandant tout particulièrement s’il est permis de présumer qu’une atteinte à la protection de données est à faible risque si les données sont chiffrées et que cela « exonère » d’office les organisations de la notification obligatoire. Le CPVP soutenait au contraire dans sa réponse que d’autres facteurs influent sur l’efficacité du chiffrement, y compris le niveau de cryptage utilisé et le piratage ou non de la clé de chiffrement. Par conséquent, il n’en demeure pas moins possible que des renseignements personnels soient décryptés même s’ils ont été chiffrés, ce qui pourrait présenter un risque réel de préjudice grave à l’endroit de la personne concernée.

Certains intervenants, y compris le CPVP, demandaient que les déclarations d’atteinte à la protection des données s’accompagnent d’une évaluation du type de préjudices susceptibles de résulter de l’atteinte, comme cela se fait en Alberta. Toutefois, le projet de règlement n’en prescrit pas l’inclusion de façon à répondre aux préoccupations voulant qu’il s’agisse d’information conjecturale et hypothétique. Les intervenants soutenaient également qu’il serait difficile pour les petites et moyennes organisations de faire une telle évaluation, n’ayant possiblement ni l’expertise ni les ressources nécessaires.

De l’avis de certaines organisations, le Règlement devrait spécifier l’organisation tenue d’aviser les intéressés touchés par une atteinte à la protection des données survenue chez un fournisseur de services ou dans un organisme d’approvisionnement. La majorité partageait cependant l’opinion que déterminer l’organisation responsable d’aviser les intéressés devrait se faire à la lumière du principe de la responsabilité figurant à l’annexe I de la LPRPDE, selon lequel il incombe globalement à l’organisation assurant la gestion des renseignements personnels en question d’assurer la conformité en la matière. Dans certains cas, le terme « gestion » n’équivaut pas nécessairement à celui de « garde », renvoyant plutôt à la notion de responsabilité globale à l’égard des renseignements personnels.

Lors des consultations, de nombreuses organisations ont demandé qu’il y ait une période de transition entre la publication et l’entrée en vigueur du règlement définitif, soutenant que cela leur donnerait suffisamment de temps pour appliquer les modifications nécessaires à leurs systèmes de gestion de l’information et de former leurs employés en conséquence. Les périodes de transition suggérées allaient de 6 à 18 mois.

De nombreuses organisations ont également soulevé des préoccupations quant à la confidentialité des renseignements contenus dans les déclarations d’atteinte et les registres des atteintes et à la possibilité que des renseignements sur la sécurité de données de nature délicate ou d’autres renseignements exclusifs soient divulgués publiquement par inadvertance. Il convient de noter que la Loi sur la protection des renseignements personnels numériques a modifié la Loi sur l’accès à l’information (LAI) de façon à créer une exception, en vertu de la loi, à la divulgation de tout registre des atteintes à la protection des données ou de toute déclaration d’atteinte à la protection des données en réponse à une demande d’accès à l’information. Cette modification à la LAI entrera en vigueur avec les autres dispositions de la LPRPDE en matière de notification et de déclaration des atteintes à la protection des données figurant à la section 1.1 de celle-ci.

Enfin, certaines organisations ont demandé à ce que le Règlement réduise la portée des exigences légales pour la tenue de registres de façon à n’avoir qu’à tenir des registres d’atteintes « substantielles » ou importantes. Cependant, comme l’a clairement indiqué le gouvernement, les dispositions touchant la tenue de registres visent à donner au commissaire la capacité de déterminer si les organisations font ou non un suivi de toutes les atteintes et se conforment bel et bien à l’obligation d’aviser les intéressés et de déclarer les atteintes substantielles.

Règle du « un pour un »

Ce projet de règlement ne devrait pas alourdir directement le fardeau administratif des entreprises et est de ce fait exempté de la règle du « un pour un ».

Ce projet de règlement ne devrait entraîner que des coûts minimes pour les entreprises étant donné que le fardeau administratif découle de l’obligation, en vertu de la Loi sur la protection des renseignements personnels numériques, de déclarer les atteintes à la protection des données au commissaire, d’en aviser les intéressés et d’en tenir un registre. Le règlement projeté ne fait qu’éclaircir davantage ces obligations.

Lentille des petites entreprises

La lentille des petites entreprises ne s’applique pas à ce projet de règlement parce que les coûts estimés à l’échelle du pays sont inférieurs à un million de dollars par année.

Mise en œuvre, application et normes de service

Le règlement proposé entrerait en vigueur en même temps que les exigences concernant la déclaration des atteintes à la protection des données prescrites à la section 1.1 de la LPRPDE. La prise d’effet desdites exigences se ferait subséquemment par décret une fois le règlement définitif.

Le report permis de l’entrée en vigueur du projet de règlement après la publication du Règlement donnera aux organisations sous réglementation fédérale le temps d’adapter leurs politiques et leurs procédures en conséquence et de mettre en place des systèmes pour suivre et consigner toutes les atteintes aux mesures de sécurité dont elles font l’objet.

Entre-temps, ISDE travaillera avec le CPVP à déterminer les domaines où s’imposent des documents d’orientation afin d’aider les organisations à interpréter leurs nouvelles obligations et à s’y conformer. Une attention particulière sera accordée quant à fournir l’orientation sur la façon d’évaluer les risques.

Le projet de règlement serait appliqué conformément au régime de conformité régi par la LPRPDE, selon lequel il incombe au commissaire de veiller au respect de la loi et de faire enquête sur les plaintes. La tenue de registres joue un rôle clé dans le régime de surveillance puisqu’elle permet au commissaire d’effectuer une vérification ou de lancer une enquête sur la base d’un dossier ou d’un groupe de dossiers d’atteinte à la protection des données. Le CPVP utilisera également l’information sur les atteintes à la protection des données pour mieux faire connaître et comprendre l’ampleur et la nature des atteintes à la protection des données au Canada.

De nouvelles dispositions concernant les infractions et les amendes en cas de contravention volontaire et délibérée à ces nouvelles exigences ont été prescrites par la Loi sur la protection des renseignements personnels numériques. En vertu d’autres contraventions et infractions sous le régime de la LPRPDE, les tribunaux sont autorisés à imposer des amendes pour avoir contrevenu aux dispositions sur la déclaration des atteintes à la protection des données ainsi qu’à ordonner aux organisations fautives de modifier leurs pratiques.

ISDE évaluera en permanence s’il y a lieu de modifier le Règlement sur la base des résultats des déclarations d’atteinte à la protection des données qui sont communiquées au CPVP et des commentaires informels d’intervenants d’organismes sous réglementation fédérale.

Personne-ressource

Charles Taillefer
Directeur
Direction de la politique sur la vie privée et la protection des données
Direction générale des politiques-cadres du marché
Secteur des stratégies et politiques d’innovation
Innovation, Sciences et Développement économique Canada
Téléphone : 343-291-1774
Courriel : charles.taillefer@canada.ca

PROJET DE RÉGLEMENTATION

Avis est donné que le gouverneur en conseil, en vertu du paragraphe 26(1) (voir référence a) de la Loi sur la protection des renseignements personnels et les documents électroniques (voir référence b), se propose de prendre le Règlement concernant les atteintes aux mesures de sécurité, ci-après.

Les intéressés peuvent présenter leurs observations au sujet du projet de règlement dans les trente jours suivant la date de publication du présent avis. Ils sont priés d’y citer la Partie I de la Gazette du Canada, ainsi que la date de publication, et d’envoyer le tout à Jill Paterson, analyste principale de politiques, Direction générale des politiques numériques, Secteur du spectre, des technologies de l’information et des télécommunications (STIT), Innovation, Sciences et Développement économique Canada, 235, rue Queen, Immeuble CD Howe, pièce 162D, Ottawa (Ontario) K1A 0H5 (courriel : jill.paterson@canada.ca).

Ottawa, le 14 août 2017

Le greffier adjoint du Conseil privé
Jurica Čapkun

Règlement concernant les atteintes aux mesures de sécurité

Définition

Définition de Loi

1 Dans le présent règlement, Loi s’entend de la Loi sur la protection des renseignements personnels et les documents électroniques.

Déclaration au commissaire

Contenu et modalités de la déclaration

2 La déclaration d’atteinte aux mesures de sécurité visée au paragraphe 10.1(2) de la Loi est faite par écrit et contient les renseignements suivants :

  • a) les circonstances de l’atteinte et, si elle est connue, de la cause de l’atteinte;
  • b) la date ou la période où il y a eu atteinte;
  • c) la nature des renseignements personnels visés par l’atteinte;
  • d) une estimation du nombre d’individus à l’égard desquels l’atteinte présente un risque réel de préjudice grave;
  • e) les mesures que l’organisation a prises afin de réduire le risque de préjudice à l’endroit d’un individu résultant de l’atteinte ou afin d’atténuer un tel préjudice;
  • f) les mesures que l’organisation a prises ou qu’elle entend prendre afin d’aviser l’intéressé de toute atteinte conformément au paragraphe 10.1(3) de la Loi;
  • g) le nom et les coordonnées d’une personne qui peut répondre au nom de l’organisation aux questions du commissaire au sujet de l’atteinte.

Avis à l’intéressé

Contenu de l’avis

3 L’avis fourni par l’organisation en vertu du paragraphe 10.1(4) de la Loi à un intéressé touché par l’atteinte aux mesures de sécurité contient, outre les renseignements visés à ce paragraphe, les renseignements suivants :

  • a) les circonstances de l’atteinte;
  • b) la date ou la période où il y a eu atteinte;
  • c) la nature des renseignements personnels visés par l’atteinte;
  • d) les mesures que l’organisation a prises afin de réduire le risque de préjudice à l’endroit de l’intéressé résultant de l’atteinte ou afin d’atténuer un tel préjudice;
  • e) les mesures que peut prendre l’intéressé afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice;
  • f) un numéro de téléphone sans frais ou une adresse de courriel pour permettre à l’intéressé de se renseigner davantage au sujet de l’atteinte;
  • g) des renseignements sur le processus interne de traitement des plaintes de l’organisation, ainsi que sur le droit d’un intéressé de déposer une plainte auprès du commissaire en vertu de la Loi.
Avis direct — modalités

4 Pour l’application du paragraphe 10.1(5) de la Loi, l’avis est donné à l’intéressé directement selon l’un ou l’autre des moyens suivants :

  • a) par courriel ou par tout autre moyen de communication sécurisé auquel l’intéressé a consenti pour recevoir des renseignements de l’organisation;
  • b) par courrier à la dernière adresse de résidence connue de l’intéressé;
  • c) par téléphone;
  • d) en personne.
Avis indirect — circonstances

5 (1) Pour l’application du paragraphe 10.1(5) de la Loi, l’avis est donné à l’intéressé indirectement par l’organisation, dans l’une ou l’autre des circonstances suivantes :

  • a) le fait de donner directement l’avis causerait davantage de préjudices à l’intéressé;
  • b) les coûts de l’avis donné directement sont excessifs pour l’organisation;
  • c) l’organisation n’a pas les coordonnées de l’intéressé ou celles qu’elle détient sont désuètes.
Avis indirect — modalités

(2) Pour l’application du paragraphe 10.1(5) de la Loi, l’avis est donné à l’intéressé indirectement selon l’un ou l’autre des moyens suivants :

  • a) par la publication d’un message bien en vue sur le site Web de l’organisation pendant au moins quatre-vingt-dix jours;
  • b) par la publication d’une annonce susceptible de joindre l’intéressé.

Tenue du registre

Registre — modalités

6 (1) Pour l’application du paragraphe 10.3(1) de la Loi, l’organisation conserve le registre de toute atteinte aux mesures de sécurité pendant vingt-quatre mois après la date à laquelle elle a conclu que l’atteinte a eu lieu.

Conformité

(2) Le registre visé au paragraphe 10.3(1) de la Loi contient tout renseignement qui, eu égard à l’atteinte, permet au commissaire de vérifier la conformité aux paragraphes 10.1(1) et (3) de la Loi.

Déclaration à titre de registre

(3) Une déclaration au commissaire faite conformément au paragraphe 10.1(1) de la Loi peut être utilisée, par l’organisation, à titre de registre de l’atteinte aux mesures de sécurité.

Entrée en vigueur

L.C. 2015, ch. 32

7 Le présent règlement entre en vigueur à la date d’entrée en vigueur de l’article 10 de la Loi sur la protection des renseignements personnels numériques ou, si elle est postérieure, à la date de son enregistrement.

[35-1-o]

  • Référence 1
    Personal Information Protection Act, Alberta.
  • Référence 2
    Règlement général sur la protection des données, Union européenne (entre en vigueur en 2018).
  • Référence 3
    Global Internet Report 2016, Société Internet : https://www.internetsociety.org/globalinternetreport/2016/wp-content/uploads/2016/11/ISOC_GIR_2016-v1.pdf.
  • Référence 4
    Sondage mondial sur la sécurité de l’information 2016 (EY Global Information Security Survey 2016), EY : http://www.ey.com/Publication/vwLUAssets/ey-global-information-security-survey-2016-pdf/%24FILE/GISS_2016_Report_Final.pdf.
  • Référence 5
    Ibid., p. 8.
  • Référence a
    L.C. 2015, ch. 32, art. 21
  • Référence b
    L.C. 2000, ch. 5