Skip to contentSkip to navigation

De nouvelles obligations en matière de protection des renseignements personnels au Canada

09 mai 2019
Publications

Depuis le 1er novembre dernier, de nouvelles obligations en matière de déclaration d’atteinte à la sécurité des données et de tenue de registre incombent à toute organisation qui gère des renseignements personnels et qui est assujettie à la Loi sur la protection des renseignements personnels et des documents électroniques (LPRPDE).

La Loi et la protection des renseignements personnels

Mentionnons tout d’abord que constitue un renseignement personnel : tout renseignement qui, lorsque pris seul ou en combinaison avec d’autres renseignements personnels, rend un individu identifiable, qu’il soit possible de l’identifier par son nom ou autrement (son profil spécifique ou son comportement, par exemple).

La Loi sur la protection des renseignements personnels et des documents électroniques (LPRPDE) s’applique à toute organisation, sauf exception, qui recueille, utilise ou communique des renseignements personnels dans le cadre de ses activités commerciales et édicte toutes les obligations et pratiques que les organisations sont tenues de respecter en cette matière.

À noter que le Québec s’est doté d’une loi jugée essentiellement à la LPRPDE : la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi québécoise »). Ainsi, la LPRPDE s’applique au traitement des renseignements personnels effectué dans le cadre des activités à l’extérieur du Québec ou interprovinciales de l’organisation, alors que seule la Loi québécoise s’applique à ses activités à l’intérieur du Québec.

Mesures de sécurité pour protéger les renseignements personnels

La LPRPDE prévoit que « les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. » (Principe 4.7 de l’Annexe 1 de la LPRPDE).

Le degré de sensibilité d’un renseignement doit être déterminé en tenant compte du type de renseignement et du contexte dans lequel il peut être utilisé. Le préjudice potentiel qu’une personne pourrait subir en cas de divulgation du renseignement est un facteur à considérer pour déterminer ce degré de sensibilité. Par exemple, une adresse courriel n’aura généralement pas le même degré de sensibilité qu’un numéro de carte de crédit. Évidemment, plus un renseignement sera sensible, plus importantes devront être les mesures de sécurité prises pour le protéger. Le choix des mesures de sécurité prises variera donc selon le degré de sensibilité des données, mais également selon la taille de la base de données, la quantité de renseignements personnels recueillis par individu, la forme sous laquelle ils sont conservés ainsi que les méthodes utilisées pour les conserver.

La LPRPDE précise que « les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés. » (Principe 4.7.1 de l’Annexe 1 de la LPRPDE). Les renseignements doivent être protégés qu’ils soient conservés physiquement uniquement, en infonuagique ou autrement.

Les méthodes de protection devraient comprendre :

  1. des moyens matériels appropriés, par exemple la restriction de l’accès aux locaux utilisés pour la conservation où sont situés les serveurs ;
  2. des mesures administratives, par exemple des autorisations émises à des individus occupant des fonctions particulières requérant un accès aux renseignements;
  3. des mesures techniques, par exemple l’usage de mots de passe et du chiffrement.

Atteinte aux mesures de sécurité : de nouvelles obligations

Depuis le 1er novembre, les organisations assujetties à la LPRPDE ont maintenant des obligations lorsque survient une atteinte aux mesures de sécurité des données. Plus spécifiquement, dans le cas d’une telle atteinte, l’organisation qui est responsable du traitement des renseignements personnels doit :

Pour toutes les atteintes aux mesures de sécurité :

  • Conserver un registre de toutes les atteintes aux mesures de sécurité pendant deux ans. Ce registre doit permettre au Commissariat de vérifier la conformité de l’organisation quant à ses obligations de déclaration et de notification et doit au minimum contenir : la date et une description générale de l’atteinte, la nature des renseignements visés et le fait qu’une déclaration au Commissariat et une notification aux individus aient ou non été faites.

Dans le cas où survient une atteinte aux mesures de sécurité lorsqu’il est raisonnable de croire que cette atteinte crée un « risque réel de préjudice grave » à un individu:

  • Déclarer au Commissariat de la protection à la vie privée cette atteinte.

À noter que cette déclaration doit être faite, peu importe le nombre d’individus concernés et elle peut être faite au moyen du formulaire disponible sur le site du Commissariat.

  • Aviser tous les individus dont les renseignements personnels sont concernés par l’atteinte aux mesures de sécurité. Cet avis doit être apparent et donné directement à l’individu, sauf exception, dès que possible après que l’organisation ait déterminé que l’atteinte aux mesures de sécurité comporte un risque réel de préjudice grave.
  • Aviser toute autre organisation qui est en mesure de réduire le risque de préjudice pouvant découler de cette atteinte.

Seront généralement considérés un « préjudice grave », la lésion corporelle, l’humiliation, le dommage à la réputation, le vol d’identité, l’effet négatif sur le dossier de crédit, la perte d’occasion d’affaires, etc. Le degré de sensibilité des renseignements visés par le bris de sécurité est évidemment à prendre en compte dans cette évaluation de la gravité du préjudice.

Plainte et sanctions

Le Commissariat de la protection à la vie privée a notamment pour mission de veiller au respect de la LPRPDE et peut à ce titre recevoir des plaintes et intervenir par un processus d’enquête et d’émission de rapport de conformité. S’il est d’avis qu’une organisation contrevient aux obligations qui lui incombent en matière d’atteinte aux mesures de sécurité des données, le Commissariat peut signaler cette information au Procureur général du Canada qui pourra intenter toute poursuite qu’il estime justifiée et l’organisation pourrait alors, en plus de devoir rectifier ses pratiques, se voir imposer une amende.

Il est intéressant de noter que l’entrée en vigueur de ces dispositions de la loi canadienne s’inscrit dans le même courant que le régime mis en place par le Règlement général sur la protection des données (RGPD) en Europe, entrée en vigueur en mai dernier. On peut donc voir que les principes en matière de protection des renseignements personnels déjà établis demeurent ici comme ailleurs, mais qu’ils deviennent assortis d’obligations de divulgation et de tenue de registres par les organisations. À ces obligations se greffe un caractère de plus en plus coercitif qui a évidemment pour but d’accroître l’importance que doivent accorder les organisations à la protection des renseignements personnels des individus.

Bref, peu importe leur taille, toutes les organisations qui collectent, gèrent, utilisent et/ou conservent des renseignements personnels au Canada sont tenues de respecter toutes les lois applicables à la collecte, au traitement et à la protection des renseignements. Vous souhaitez en savoir plus sur le sujet ou désirez obtenir de l’accompagnement en la matière? Communiquez avec Me Sophie Deschênes-Hébert.

Partager
URL copié