À compter du 1er novembre 2018, les organisations à travers le Canada qui sont assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) seront tenues de fournir un avis à l’égard de certaines atteintes à la vie privée.
Par l’intermédiaire d’un décret, le gouvernement fédéral a annoncé que les modifications apportées antérieurement à la LPRPDE et qui portent sur la déclaration des atteintes à la vie privée entreront en vigueur en novembre prochain.
En vertu de la LPRPDE, les organisations seront tenues de fournir certains avis sur les atteintes s’il est raisonnable de croire que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu. Plus particulièrement :
-
Les organisations seront tenues de déclarer au commissaire à la protection de la vie privée du Canada toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elles ont la gestion, s’il est raisonnable de croire que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu;
-
Les organisations seront tenues d’aviser un individu de toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels le concernant et dont elles ont la gestion, s’il est raisonnable de croire que l’atteinte présente un risque réel de préjudice grave à son endroit, à moins qu’une règle de droit ne l’interdise;
-
Les organisations pourraient être tenues d’aviser toute autre organisation si elles croient qu’elle peut être en mesure de réduire le risque de préjudice.
La forme et le contenu des avis seront prévus dans le règlement. Bien que le Canada ait présenté un projet de règlement, aucun règlement définitif n’a été annoncé. Vous pouvez consulter notre article sur le projet de règlement ici (en anglais seulement).
Il n'y a pas de délai précis pour donner un avis. Cependant, les avis requis doivent être fournis le plus tôt possible après que l'organisation a conclu qu’il y a eu atteinte; cela variera au cas par cas.
En plus des exigences quant à la forme et au contenu des avis, le projet de règlement, s’il est adopté, exigera que les organisations tiennent un dossier de toutes les atteintes. Il s’agit d’une exigence générale qui peut s’étendre au-delà des manquements qui créent un risque réel de préjudice important.
Ces exigences en matière d’avis d’atteinte à la vie privée constitueront un changement important dans les lois canadiennes sur la protection de la vie privée. Des exigences semblables sont déjà en place en Alberta et en Australie, et entreront en vigueur dans l’UE en vertu du Règlement général sur la protection des données en mai. Ces exigences s’appliqueront à un large éventail d’activités commerciales dans les provinces qui ne disposent pas de lois similaires sur la protection de la vie privée dans le secteur privé, ainsi qu’aux entreprises fédérales (sociétés de télécommunications, sociétés de transport interprovincial, banques, etc.) dans tout le pays.
En prévision de ces exigences, les organisations devraient mettre à jour leur plan d’intervention en cas d’atteinte et leurs pratiques de tenue de dossiers.