L’actualisation de la loi sur la protection des renseignements personnels offre une lueur d’espoir aux entreprises et citoyens canadiens en matière de cybersécurité

Les dispositions de la Loi fédérale sur la protection des données numériques au Canada relatives au signalement obligatoire des atteintes aux mesures de sécurité et à la tenue d’un registre entrent en vigueur le 1^er novembre 2018.

En 2015, le Canada a adopté la Loi sur la protection des renseignements personnels numériques, un amendement à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Cependant, bien que la plupart des dispositions de la Loi sur la protection des renseignements personnels numériques soient entrées en vigueur immédiatement, les dispositions relatives au signalement obligatoire des atteintes aux mesures de sécurité et à la tenue d’un registre ont été repoussées jusqu'au 1^er novembre 2018. Les éléments clés de ces dispositions comprennent:

Les avis obligatoires: un avis doit être donné aux individus et organisations victimes d’une atteinte aux mesures de sécurité ainsi qu'au gouvernement lorsqu'il existe un «risque réel de préjudice significatif». Cette notification doit être donnée «dès que possible» après une atteinte aux mesures de sécurité et doit contenir des informations qui permettent à l’intéressé de comprendre l'importance de l’atteinte aux mesures de sécurité et de prendre les mesures pour réduire le risque de préjudice ou de le diminuer.

Consentement accru: les organisations sont tenues de communiquer aux personnes concernées les informations qu'elles recueillent, comment elles sont utilisées et à qui elles sont divulguées. Il existe des mandats spécifiques pour les enfants et autres personnes vulnérables. Les exceptions incluent les exigences de consentement pour la gestion des employés, les enquêtes pour fraudes, les informations sur les produits professionnels et certaines transactions commerciales.

Tenue d’un registre obligatoire: Les organisations sont tenues de tenir un registre de chaque atteinte aux mesures de sécurité lorsque des informations personnelles sont affectées. Cela s'applique à toutes les infractions, qu'il y ait ou non un «risque réel de préjudice important».

Application et sanctions: Ne pas signaler les atteintes aux mesures de sécurité ou ne pas se conformer aux exigences en matière de tenue d’un registre obligatoire peut entraîner des amendes allant de 10 000 $ à 100 000 $.

Publication du commissaire: Le commissaire à la protection de la vie privée du Canada se réserve le droit de publier toute information divulguée par le biais d'un signalement obligatoire de violation ou d'une divulgation de tenue de dossiers.

Pour plus d'informations sur la loi sur la protection des renseignements personnels numériques, visitez:
Le commissariat à la protection de la vie privée du Canada

Planifiez dès maintenant votre devoir de déclarer les atteintes aux mesures de sécurité

Lorsque la loi entrera en vigueur le 1^er novembre, les entreprises et organisations canadiennes qui font des affaires au Canada peuvent s'attendre à avoir un besoin accru de:

• Un plan d'intervention en matière de protection des données prêt à fonctionner en cas d’atteinte aux mesures de sécurité.
• Assurance cyber pour se conformer et financer les avis lors d’atteintes aux mesures de sécurité, les amendes et les pénalités.

Un plan d'intervention en matière de protection des données et de l’assurance cyber ne peuvent pas être rapidement constitués après une atteinte aux mesures de sécurité. Ils nécessitent plutôt une approche stratégique et une planification préalable approfondie. Pour les entreprises qui ne l'ont pas encore fait, se préparer aux nouvelles lois doit se faire sans délai.

Et par la suite?

Alors que le gouvernement canadien trouve une raison supplémentaire de justifier la surveillance fédérale de la cybersécurité, d'autres changements pourraient se profiler à l'horizon.

Un autre aspect à considérer est la restriction de la circulation des données au-delà de la frontière. Pratiquement, les entreprises canadiennes pourraient utiliser un fournisseur de services « nuages informatiques » aux États-Unis ou n'importe où à l'étranger. Le gouvernement pourrait-il rendre plus difficiles le partage et le stockage de données au-delà des frontières?

Pour plus d'informations sur la préparation de la réglementation, notamment pour vous assurer que vous disposez d'un plan d'intervention en matière de protection des données et de la couverture appropriée pour prendre en charge les exigences d’avis, contactez votre courtier HUB dès aujourd'hui.