Les règles sur la déclaration obligatoire de violation des données sont désormais en vigueur

En tant que précieux partenaire commercial, votre équipe Cowan entend s’assurer que vous disposez de l’information nécessaire pour protéger votre entreprise. Nous souhaitons vous informer des modifications apportées à la Loi sur la protection des renseignements numériques entrées en vigueur récemment pour que vous sachiez quelles répercussions ces modifications pourraient avoir sur votre entreprise.

Les modifications apportées à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) par la Loi sur la protection des renseignements personnels numériques (projet de loi S-4) sont entrées en vigueur le 1er novembre 2018. Les nouvelles règles obligent les organisations et les entreprises, quelle que soit leur taille, qui détiennent des renseignements identifiant personnellement des individus à tenir un registre des violations de données et à déclarer ces atteintes. Toute brèche de sécurité d’une organisation qui présente « un risque réel de préjudice grave » pour les personnes doit être signalée aux intéressés et au Commissariat à la protection de la vie privée du Canada. Les organisations qui omettent sciemment de déclarer des atteintes ou de tenir un registre de celles-ci s’exposent à des amendes pouvant aller jusqu’à 100 000 $ par infraction.

Quand déclarer une atteinte?

La déclaration est obligatoire lorsqu’il est raisonnable de croire qu’une atteinte significative à la protection des données a créé un risque réel de préjudice grave pour un intéressé, y compris un préjudice corporel, une humiliation, une atteinte à la réputation, une perte financière et un vol d’identité. La déclaration doit être faite « le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte ».

Les modalités de déclaration d’atteintes à la protection des données et de leur conservation dans un registre sont décrites dans le Règlement sur les atteintes aux mesures de sécurité qui se trouve sur le site Web du gouvernement du Canada.

Que faut-il déclarer et à qui?

La déclaration comprend les renseignements suivants : les circonstances de l’atteinte, sa date et sa durée, les renseignements visés par l’atteinte, les mesures prises pour diminuer le risque de préjudice, les mesures que les intéressés peuvent prendre pour diminuer le risque et les coordonnées d’une personne-ressource pouvant fournir des renseignements sur l’atteinte.

Les organisations doivent aviser les intéressés et les parties tierces « susceptibles de pouvoir atténuer le risque de préjudice aux intéressés ». L’atteinte doit être déclarée au Commissariat à la protection de la vie privée du Canada.

Modalités de tenue d’un registre.

La nouvelle législation exige que l’entreprise tienne un « registre de toutes les atteintes aux mesures de sécurité touchant les renseignements personnels dont elle a la responsabilité ». Le registre doit être prêt et disponible afin d’être présenté au commissaire à la protection de la vie privée. Un registre de chaque atteinte doit être conservé au moins 24 mois après la date d’occurrence de l’atteinte établie par l’organisation. Le Commissariat à la protection de la vie privée du Canada demande à ce que cette durée soit portée à cinq ans. 

Sanctions.

Les organisations qui omettent sciemment de déclarer des atteintes ou de tenir un registre de celles-ci s’exposent à des amendes pouvant aller jusqu’à 100 000 $ par infraction.

Votre organisation est-elle prête?

Pour se conformer à ces nouvelles obligations, les organisations doivent:

  • créer ou mettre à jour des protocoles de réaction aux atteintes
  • instaurer des cadres juridiques
  • mettre sur pied une équipe chargée de réagir aux atteintes
  • concevoir des gabarits de rapport d’atteinte à la protection de données
  • créer un système de conservation des rapports d’atteintes à la protection des données
  • mettre à jour les politiques internes et le matériel de formation

Les obligations d’envoi d’avis et de déclaration découlent d’un « préjudice grave » relatif aux renseignements que votre organisation doit protéger. Le terme de « préjudice grave » est vaste et il vous appartient de le définir. Le fait d’utiliser les services hébergés n’élimine en rien l’obligation de déclarer une atteinte. Seriez-vous en mesure de savoir quels renseignements ont été visés par une atteinte et seriez-vous en mesure de déterminer si vous avez causé un préjudice grave?

Êtes-vous protégé?

Bien souvent, les polices d’assurance de biens commerciaux et de responsabilité commerciale ne couvrent pas les frais relatifs aux atteintes à la protection des données. L’assurance cyberresponsabilité est essentielle pour gérer le risque qu’encourt votre organisation et pour disposer des ressources nécessaires pour vous conformer aux obligations législatives.

En cas d’atteinte à la protection des données, l’assurance cyberresponsabilité couvre non seulement les frais occasionnés par les atteintes mais elle met également à votre disposition des consultants spécialisés dans la violation des renseignements personnels. Un groupe d’experts en finance, en droit et en relations publiques est aussi prêt à vous venir en aide lorsque vous en avez le plus besoin. 

Le niveau de cybercouverture dont votre organisation a besoin dépend de vos besoins uniques et varie selon votre degré d’exposition. 

Adressez-vous à un représentant de Cowan pour vous assurer que votre couverture actuelle répond à vos besoins de gestion du risque et d’assurance.

Pour obtenir plus de renseignements, consultez le site cowangroup.ca.

Le Commissariat à la protection de la vie privée du Canada dispose de ressources pour aider les entreprises à comprendre leurs obligations en vertu de la LPRPDE. Pour obtenir plus de renseignements, consultez le site du Commissariat à la protection de la vie privée du Canada.
 

Téléchargez une version PDF à partager du contenu ici.