Les règles sur la déclaration obligatoire de violation des données sont désormais en vigueur

/ Par Groupe Assurance Cowan

French tag icon Assurance des entreprises, Cyberassurance

En tant que précieux partenaire commercial, votre équipe Cowan entend s’assurer que vous disposez de l’information nécessaire pour protéger votre entreprise. Nous souhaitons vous informer des modifications apportées à la Loi sur la protection des renseignements numériques entrées en vigueur récemment pour que vous sachiez quelles répercussions ces modifications pourraient avoir sur votre entreprise.

Les modifications apportées à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) par la Loi sur la protection des renseignements personnels numériques (projet de loi S-4) sont entrées en vigueur le 1er novembre 2018. Les nouvelles règles obligent les organisations et les entreprises, quelle que soit leur taille, qui détiennent des renseignements identifiant personnellement des individus à tenir un registre des violations de données et à déclarer ces atteintes. Toute brèche de sécurité d’une organisation qui présente « un risque réel de préjudice grave » pour les personnes doit être signalée aux intéressés et au Commissariat à la protection de la vie privée du Canada. Les organisations qui omettent sciemment de déclarer des atteintes ou de tenir un registre de celles-ci s’exposent à des amendes pouvant aller jusqu’à 100 000 $ par infraction.

Quand déclarer une atteinte?

La déclaration est obligatoire lorsqu’il est raisonnable de croire qu’une atteinte significative à la protection des données a créé un risque réel de préjudice grave pour un intéressé, y compris un préjudice corporel, une humiliation, une atteinte à la réputation, une perte financière et un vol d’identité. La déclaration doit être faite « le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte ».

Les modalités de déclaration d’atteintes à la protection des données et de leur conservation dans un registre sont décrites dans le Règlement sur les atteintes aux mesures de sécurité qui se trouve sur le site Web du gouvernement du Canada.

Que faut-il déclarer et à qui?

La déclaration comprend les renseignements suivants : les circonstances de l’atteinte, sa date et sa durée, les renseignements visés par l’atteinte, les mesures prises pour diminuer le risque de préjudice, les mesures que les intéressés peuvent prendre pour diminuer le risque et les coordonnées d’une personne-ressource pouvant fournir des renseignements sur l’atteinte.

Les organisations doivent aviser les intéressés et les parties tierces « susceptibles de pouvoir atténuer le risque de préjudice aux intéressés ». L’atteinte doit être déclarée au Commissariat à la protection de la vie privée du Canada.

Obtenez la protection dont vous avez besoin pour votre entreprise.

Obtenir un devis

Modalités de tenue d’un registre

La nouvelle législation exige que l’entreprise tienne un « registre de toutes les atteintes aux mesures de sécurité touchant les renseignements personnels dont elle a la responsabilité ». Le registre doit être prêt et disponible afin d’être présenté au commissaire à la protection de la vie privée. Un registre de chaque atteinte doit être conservé au moins 24 mois après la date d’occurrence de l’atteinte établie par l’organisation. Le Commissariat à la protection de la vie privée du Canada demande à ce que cette durée soit portée à cinq ans.

Sanctions

Les organisations qui omettent sciemment de déclarer des atteintes ou de tenir un registre de celles-ci s’exposent à des amendes pouvant aller jusqu’à 100 000 $ par infraction.

Votre organisation est-elle prête?

Pour se conformer à ces nouvelles obligations, les organisations doivent:

  • créer ou mettre à jour des protocoles de réaction aux atteintes
  • instaurer des cadres juridiques
  • mettre sur pied une équipe chargée de réagir aux atteintes
  • concevoir des gabarits de rapport d’atteinte à la protection de données
  • créer un système de conservation des rapports d’atteintes à la protection des données
  • mettre à jour les politiques internes et le matériel de formation

Les obligations d’envoi d’avis et de déclaration découlent d’un « préjudice grave » relatif aux renseignements que votre organisation doit protéger. Le terme de « préjudice grave » est vaste et il vous appartient de le définir. Le fait d’utiliser les services hébergés n’élimine en rien l’obligation de déclarer une atteinte. Seriez-vous en mesure de savoir quels renseignements ont été visés par une atteinte et seriez-vous en mesure de déterminer si vous avez causé un préjudice grave?

Êtes-vous protégé?

Bien souvent, les polices d’assurance de biens commerciaux et de responsabilité commerciale ne couvrent pas les frais relatifs aux atteintes à la protection des données. L’assurance cyberresponsabilité est essentielle pour gérer le risque qu’encourt votre organisation et pour disposer des ressources nécessaires pour vous conformer aux obligations législatives.

En cas d’atteinte à la protection des données, l’assurance cyberresponsabilité couvre non seulement les frais occasionnés par les atteintes mais elle met également à votre disposition des consultants spécialisés dans la violation des renseignements personnels. Un groupe d’experts en finance, en droit et en relations publiques est aussi prêt à vous venir en aide lorsque vous en avez le plus besoin.

Le niveau de cybercouverture dont votre organisation a besoin dépend de vos besoins uniques et varie selon votre degré d’exposition.

Adressez-vous à un représentant de Cowan pour vous assurer que votre couverture actuelle répond à vos besoins de gestion du risque et d’assurance.

Le Commissariat à la protection de la vie privée du Canada dispose de ressources pour aider les entreprises à comprendre leurs obligations en vertu de la LPRPDE. Pour obtenir plus de renseignements, consultez le site du Commissariat à la protection de la vie privée du Canada.

Téléchargez une version PDF à partager du contenu ici

Les cybermenaces sont en hausse

Les cyberattaques sont devenues l’une des menaces les plus importantes pour les organisations de toutes tailles, faisant de l’assurance contre les cyberrisques un élément essentiel de tout programme de gestion des risques.

Pour savoir comment votre organisation se compare en matière de risques de cyberattaques.

Téléchargez un fichier PDF de notre tableau de bord des cyberrisques

 

Les dernières publications

La prospérité | Favoriser le bien être financier du personnel

La prospérité | Favoriser le bien être financier du personnel

En tant qu’employeur, vous ne gérez pas seulement une entreprise; vous avez également la possibilité d’améliorer l’avenir financier de vos employé(e)s. […]

[Lire la suite]
Santé des femmes : Rompre le silence et combler le retard

Santé des femmes : Rompre le silence et combler le retard

La santé des femmes est un sujet aux multiples facettes qui mérite notre attention. En moyenne, les femmes ont tendance à vivre plus longtemps que les […]

[Lire la suite]
Au-delà des frontières : Tourisme médical et gestion de l’invalidité

Au-delà des frontières : Tourisme médical et gestion de l’invalidité

Les temps d’attente pour consulter un spécialiste, subir une chirurgie et passer des examens médicaux augmentent de façon exponentielle au Canada. De […]

[Lire la suite]