À compter du 1er novembre 2018, les entreprises assujetties à la législation canadienne sur la protection des renseignements personnels doivent se conformer aux nouvelles règles (disponible en anglais seulement) importantes relatives à l'atteinte à la vie privée. Pour une analyse détaillée des nouvelles règles et répercussions à l'intention des entreprises en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), veuillez consulter le bulletin intitulé Nouvelles règles importantes en matière de déclaration obligatoire d'atteinte à la vie privée et de tenue de registres au Canada
Dans ce bulletin, nous traitons de six thèmes clés que devraient envisager les entreprises cherchant à se conformer aux nouvelles règles et à mitiger leur risque de responsabilité civile et criminelle associée à leur non-conformité.
1. Définir l'ensemble des règles pouvant s'appliquer en cas d'atteinte à la vie privée
Les nouvelles règles relatives à la LPRPDE s'appliqueront directement à la plupart des entreprises en exploitation dans le secteur privé au Canada. Toutefois, nous ne connaissons pas encore toute l'étendue de l'application des règles relatives à la LPRPDE en Colombie-Britannique, en Alberta et au Québec où des lois sur la protection des renseignements personnels ayant été adoptées s'appliquent dans ces provinces et remplacent l'application de la LPRPDE dans de nombreux cas. En outre, les règles en matière de déclaration des atteintes à l'étranger (par exemple, le Règlement général sur la protection des données et les lois étatiques des États-Unis) et les règles en matière de déclaration obligatoire propres à certains secteurs peuvent s'appliquer dans certains cas. Lorsqu'on aborde la question de conformité aux nouvelles règles en vertu de la LPRPDE, il est important que les entreprises comprennent l'ensemble des règles pouvant s'appliquer à leurs activités, ainsi que les façons dont chaque ensemble de règles peut imposer différentes exigences en matière de déclaration obligatoire et de tenue de registres.
2. Évaluer les capacités de détection d'atteinte à la vie privée
Dans le passé, le Commissariat a encouragé la mise en place de mesures proactives de vérification et de détection dans le cadre de l'obligation de protection en vertu de la LPRPDE : Évolution des pratiques en matière de cybersécurité : les enseignements récents du Commissariat à la protection de la vie privée du Canada. Afin de s'assurer que les atteintes à la vie privée potentielles font l'objet de mesures appropriées en vertu des nouvelles règles contenues dans la LPRPDE, les entreprises devraient évaluer leurs capacités de détection d'incidents et les mettre à jour au besoin. Outre l'utilisation d'outils de prévention des pertes de données et de mesures techniques connexes pour prévenir et signaler les cas potentiels d'atteinte à la vie privée, les entreprises devraient évaluer la façon dont les vérifications et les programmes de formation détaillés en matière de protection des renseignements personnels peuvent favoriser la détection d'atteintes à la vie privée. Les programmes de formation en matière de protection des renseignements personnels devraient être revus et mis à jour afin de faire connaître aux employés les cas d'atteinte à la vie privée, leurs responsabilités et l'importance des nouvelles règles.
3. Mettre à jour les plans d'intervention en cas d'incidents
Les entreprises devraient mettre à jour leurs plans d'intervention en cas d'incidents pour favoriser l'efficacité de leur intervention en cas d'incidents et leur conformité avec les nouvelles règles. À titre d'exemple, les plans d'intervention en cas d'incidents devraient fournir aux employés un plan précis pour leur permettre de signaler les incidents d'atteinte à la vie privée de façon prédéterminée afin que les preneurs de décisions désignés puissent prendre les mesures nécessaires en vertu de la LPRPDE. Ce plan devrait comprendre des protocoles et des règles de communications appropriés afin de protéger le secret professionnel. Les entreprises devraient également envisager de mettre à jour leurs plans d'intervention en cas d'incidents afin : i) de refléter une stratégie pour la tenue du registre des atteintes et les questions d'assurance pertinentes à prendre en considération, dont il est question ci-après, et ii) de cibler les types d'organisations (par exemple, les autorités d'application de la loi et les institutions financières) qui pourraient devoir être avisées en vertu des nouvelles règles de la LPRPDE selon la nature de l'atteinte.
4. Mettre en œuvre une stratégie de tenue de registre des atteintes
Conformément aux nouvelles règles, les entreprises sont tenues de conserver un registre de toutes les atteintes à la vie privée, même si elles semblent mineures ou insignifiantes et même si les personnes concernées n'ont pas été avisées. Le registre des atteintes doit contenir suffisamment de renseignements pour permettre au Commissariat d'en vérifier la conformité aux exigences en matière de déclaration obligatoire d'atteinte à la vie privée et de tenue de registres de la LPRPDE. Le contenu du registre des atteintes revêt une signification particulière pour ce qui est des atteintes ne donnant pas lieu à une déclaration, car l'entreprise devra expliquer dans le registre pourquoi aucun avis n'a été transmis.
Les entreprises devraient adopter une approche raisonnée dans le cadre de la tenue d'un registre des atteintes, et tenir compte du secret professionnel, des objectifs d'entreprise et des limites de l'obligation de la tenue du registre en vertu de la LPRPDE. Par exemple, les registres des atteintes à la vie privée devraient être préparés par un conseiller juridique, ou en tenant compte de l'avis d'un conseiller juridique. La mention « Confidentiel » devrait être inscrite sur la toute première version du registre des atteintes et cette version devrait être envoyée au conseiller juridique pour vérifier avec lui si les exigences de la LPRPDE ont été respectées avant la finalisation du registre. En outre, bien qu'il puisse exister des besoins contractuels ou autres pour la tenue d'un registre des atteintes, les entreprises devraient se demander s'il devrait être obligatoire de conserver les registres d'atteintes en vertu de la LPRPDE dans un dossier séparé et s'il y a lieu de s'abstenir de créer de tels registres en ce qui concerne les points suivants, le cas échéant :
- des atteintes à la vie privée présumées ou potentielles (c.-à-d. qui n'ont pas encore été établies);
- des renseignements sur lesquels l'entreprise n'a aucun contrôle (par exemple, qui sont traités comme un fournisseur de services pour une autre entreprise);
- des atteintes ayant une incidence sur les renseignements personnels d'un employé si l'entreprise n'est pas une entreprise de compétence fédérale en vertu de la LPRPDE;
- des renseignements ou des activités qui ne sont pas assujettis à la LPRPDE (par exemple, des activités non commerciales ou des renseignements non personnels).
Il est obligatoire de conserver les registres des atteintes en vertu de la LPRPDE pendant 24 mois une fois qu'il a été établi qu'il y a eu atteinte. Pour chaque atteinte, il est nécessaire d'indiquer clairement la date à laquelle s'est produit le cas et celle à laquelle il est possible de détruire le registre, sauf si celui-ci doit être conservé en vue d'un litige ou pour une autre raison. Les registres d'atteintes en vertu de la LPRPDE devraient être conservés de manière sécuritaire et ne pas être divulgués ou produits pour toute raison que ce soit, sous réserve de l'avis du conseiller juridique. Il est obligatoire d'obtenir un avis juridique pour toute demande de divulgation ou de production d'un registre d'atteintes en vertu de la LPRPDE pour toute raison que ce soit.
5. Revoir les relations avec les fournisseurs de services
Lorsqu'une entreprise retient les services d'un fournisseur de services pour traiter des renseignements personnels pour son compte, elle demeure responsable en vertu de la LPRPDE et est réputée rester maîtresse des renseignements dont elle dispose. Étant donné que les nouvelles règles de la LPRPDE s'appliquent à l'entreprise qui est « maîtresse » des renseignements personnels compromis, cette entreprise devrait tenir compte de l'ensemble des mesures contractuelles ou autres nécessaires à la gestion du risque et de la conformité découlant des atteintes des fournisseurs de services.
Les mesures contractuelles peuvent comprendre des dispositions obligeant le fournisseur de services à aviser l'entreprise des atteintes soupçonnées, à collaborer avec l'entreprise et à partager des renseignements pour faire enquête sur ces atteintes, et à fournir au client les renseignements nécessaires pour lui permettre de respecter ses obligations en matière de déclaration et de tenue de registres. Bien que ces questions ne soient pas nouvelles, l'introduction d'exigences en matière de déclaration obligatoire et de tenue de registres des atteintes en vertu de la LPRPDE accroît la nécessité de bien examiner les contrats conclus avec les fournisseurs de services et les autres mesures pour s'assurer qu'ils contiennent l'ensemble des mesures de protection nécessaires.
6. Comprendre la couverture d'assurance et les exigences en matière d'assurance
Au cours des dernières années, les entreprises du Canada et d'ailleurs se sont tournées vers la cyberassurance pour le transfert des coûts potentiellement exorbitants et la responsabilité pouvant être associée aux atteintes à la vie privée. L'introduction de la déclaration obligatoire et de tenue de registres des atteintes au Canada devrait amplifier ces risques et stimuler davantage l'évolution du marché de la cyberassurance. Les entreprises devraient s'assurer de bien comprendre l'étendue de la couverture des polices d'assurance dans le contexte d'une atteinte. Par exemple, lorsqu'elles réagissent à un incident et respectent les nouvelles exigences en vertu de la LPRPDE, les entreprises engageront souvent des coûts pour obtenir les services d'experts légistes et des conseils juridiques sur les exigences des nouvelles règles de la PLRPDE dans un cas donné. Les exigences visant à aviser les assureurs, les limites de la couverture et la présence de toute exigence nécessitant l'obtention du consentement d'un assureur avant d'aviser des personnes, d'offrir un service de surveillance du crédit à des personnes ou de prendre d'autres mesures devraient être définies dans le cadre d'un plan d'intervention en cas d'incident afin qu'aucune question d'assurance pertinente ne soit négligée au cœur d'une crise.
Conclusion
L'entrée en vigueur de la déclaration obligatoire et de la tenue de registres des atteintes en vertu de la LPRPDE devrait fort probablement avoir une incidence profonde sur la conformité relative à la vie privée et le contexte des risques au Canada. Dans cet article, nous avons cherché à souligner les six mesures pratiques clés que les entreprises devraient envisager afin de respecter leurs obligations en vertu des nouvelles règles de la LPRPDE pour favoriser l'atténuation de ces risques. Outre l'examen des dispositions et des règlements de la LPRPDE relativement aux atteintes à la vie privée, les entreprises devraient consulter les directives pratiques liées aux atteintes à la vie privée devant être publiées par le Commissariat et chercher à mieux comprendre l'ensemble des règles pouvant s'appliquer à elles dans un cas de fuite de données.
Pour toute question supplémentaire ou pour obtenir de l'aide en matière de respect de la vie privée et de cybersécurité, veuillez communiquer avec un membre de notre groupe Protection des renseignements confidentiels, vie privée et cybersécurité.
