La déclaration obligatoire des atteintes a la protection des données
Tom Beaupre
2018-10-03 10:15:00
En effet, ce nouveau règlement de la Loi sur la protection des renseignements personnels numériques (« LPRPN ») exige de déclarer immédiatement aux autorités de réglementation fédérales les atteintes à la protection des données qui peuvent présenter un «’risque réel de préjudice grave».
Aux vues des brèches de sécurité médiatisées récemment telles Air Canada, ou BMO, on se dit que ce nouveau cadre réglementaire arrive à point nommé.
Impacts pour l’ensemble des organisations canadiennes
Bien que la LPRPN et la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») s’appliquent expressément aux organisations qui recueillent, utilisent et communiquent de l’information personnelle dans le cours de leurs activités commerciales au Canada, le nouveau Règlement sur les atteintes aux mesures de sécurité aura une portée plus large et s’appliquera de manière générale à toutes les organisations canadiennes, y compris les petites entreprises, conformément au programme « Lentille des petites entreprises » mis de l’avant par le gouvernement du Canada.
Déterminer le « préjudice grave »
Les organisations doivent tenir compte de plusieurs facteurs pour le déterminer. Au-delà du vol d’identité, les organisations doivent aussi soupeser le caractère sensible de l’information et de quelle façon les malfaiteurs pourraient s’en servir.
L’information pourrait-elle servir à humilier la personne touchée? Est-ce que l’atteinte a pour effet de nuire à la réputation ou aux relations de la personne? Pourrait-elle subir des dommages financiers? L’atteinte peut-elle entraîner la perte d’un bien ou encore la perte d’emploi, d’occasions d’affaires ou d’activités professionnelles?
Responsabilités en matière de déclaration
Si une organisation est victime d’une atteinte à la sécurité pouvant présenter un « risque réel de préjudice grave », elle doit s’acquitter des obligations suivantes :
1. Déterminer si l’atteinte présente un «risque réel de préjudice grave» (et dans quelle mesure).
2. Aviser tous les clients touchés en décrivant l’atteinte à la sécurité et les circonstances dans lesquelles elle s’est produite,
3. Aviser le ou la commissaire à la protection de la vie privée du Canada des circonstances et de la cause (si elle est connue) de l’atteinte à la sécurité,
4. Maintenir un dossier de l’atteinte à la sécurité pendant au moins 24 mois,
5. Observer le Règlement de la LPRPN et conserver les documents d’attestation de conformité à portée de main.
Au-delà de la compréhension des risques
Bien qu’il soit fortement recommandé que chaque organisation assujettie à la LPRPDE prenne les mesures nécessaires pour protéger les renseignements personnels au moyen d’un plan d’action, il est aujourd’hui encore observé un certain déni des entreprises face aux risques réels de cyber attaques.
On peut penser que ce nouveau cadre réglementaire poussera la réflexion plus loin et que le succès de sa mise en place résidera dans la volonté et la capacité d’une organisation à aligner sa direction, ses ressources, ses processus internes et les technologies qu’elle utilise.
C’est là d’ailleurs où les avocats, les spécialistes en enquête et sécurité technologique (juricomptabilité) et les professionnels de la cybersécurité seront de précieux alliés, notamment lors de la classification et l’identification des données sensibles, la préservation ou la récupération de celles-ci, la détermination des priorités, ou encore la mise en place d’un programme de protection.
Enfin, ce nouveau mandat pour les entreprises canadiennes devrait aussi aider au développement de meilleures pratiques en ce qui a attrait à la protection des données personnelles et de manière générale, à relever le niveau de cybersécurité des entreprises, un moindre mal car les cyber fraudeurs, eux, ne cessent d’innover dans leurs façons de faire.
''Cet article a été écrit par Tom Beaupre, avec le support de Corey Anne Bloom. ''
Il est également le leader de l’équipe affectée à l’industrie des cartes de paiement. En poste au bureau de Montréal, il aide les organismes gouvernementaux et les organisations de divers secteurs, comme ceux du commerce de détail, des finances, des assurances, de la fabrication, des technologies de l’information, des communications, des services publics, des soins de santé et des services d’affaires, à renforcer leur sécurité et à gérer leurs risques.
Corey Anne Bloom est associée au Service d’enquêtes et de juricomptabilité, Résolution de conflits et gestion des risques chez MNP.
Elle possède plus de 20 ans d’expérience en matière d’enquêtes sur les fraudes, de détection de fraude, de juricomptabilité, d’informatique judiciaire, de gestion de risque, gestion du risque de fraude, de soutien en cas de litige et de différends entre actionnaires, de retracement de fonds, de lutte contre le blanchiment d’argent et d’audit. Elle mène aussi des entretiens et offre de la formation anti-fraude.