Les atteintes locales et internationales à la protection des données continuent de faire les gros titres. Qu’il s’agisse de la divulgation par Facebook de son partage de millions de profils d’utilisateur (sans leur consentement) ou de la récente atteinte à la protection des données impliquant le site Web des services internes du gouvernement de la Nouvelle-Écosse, les gens prennent de plus en plus conscience des droits à la vie privée, de la façon dont les données sont partagées et de la façon dont les renseignements personnels sont protégés.
L’intérêt des Canadiens pour ces questions ne fera qu’augmenter lorsqu’entreront en vigueur, le 1er novembre 2018, les nouvelles dispositions sur la notification obligatoire des atteintes à la protection des données (la « Notification ») prévues dans la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »). De plus amples détails sur la procédure de Notification figurent dans le Règlement sur les atteintes aux mesures de sécurité (le « Règlement »), lequel a été publié en version définitive le 18 avril 2018.
Le nouveau cadre d’application de la Notification présente les étapes que doit suivre une organisation lorsqu’elle détecte une « atteinte aux mesures de sécurité » (ou une atteinte causée par un défaut de mettre en place de telles mesures) :
En vertu du nouveau cadre d’application, la notion de « préjudice grave » est largement définie pour inclure les dommages corporels; l’humiliation; l’atteinte à la réputation ou aux relations; la perte d’emploi, de commerce ou d’occasions professionnelles; les pertes financières; le vol d’identité; les effets négatifs sur le dossier de crédit et les dommages aux biens ou la perte de ceux-ci.
Au moment d’évaluer si une atteinte présente un risque réel de préjudice grave aux personnes concernées, l’organisation doit tenir compte de la nature confidentielle des renseignements personnels visés par cette atteinte, de la probabilité que les renseignements personnels aient été, sont ou seront utilisés à mauvais escient et d’autres facteurs précisés par règlement.
Après avoir détecté une atteinte à la protection des données et déterminé que celle-ci présente un risque réel de préjudice grave, l’organisation doit informer dès que possible le commissaire de la situation. Le Règlement exige que toute déclaration au commissaire soit transmise par écrit et par un moyen de communication sécurisé, quel qu’il soit. La déclaration doit inclure les éléments suivants :
En outre, l’organisation peut soumettre au commissaire tout nouveau renseignement mentionné plus haut dont elle est informée après la transmission de la déclaration.
L’organisation doit aussi transmettre une notification à chaque personne concernée par une atteinte, à moins qu’une règle de droit ne l’interdise. Cette notification doit comprendre les éléments suivants :
L’organisation doit informer directement la personne concernée à propos de l’atteinte, et ce, en personne, par téléphone, par la poste, par courriel ou par tout autre moyen de communication qu’une personne raisonnable estimerait approprié dans les circonstances.
Toutefois, elle pourra aussi informer indirectement la personne concernée dans l’une ou l’autre des circonstances suivantes : (i) le fait de donner l’avis directement est susceptible de causer un préjudice accru à la personne concernée; (ii) le fait de donner l’avis directement est susceptible de représenter une difficulté excessive pour l’organisation; ou (iii) l’organisation n’a pas les coordonnées de la personne concernée. L’avis pourra être donné indirectement par une communication publique ou par toute mesure similaire dont on peut raisonnablement s’attendre à ce qu’elle permette de joindre la personne concernée.
L’organisation qui avise une personne concernée par une atteinte est tenue d’en aviser également toute autre organisation ou toute institution gouvernementale ou subdivision d’une telle institution, si elle croit que l’autre organisation ou l’institution serait en mesure de réduire le risque de préjudice qui pourrait découler de l’atteinte ou d’atténuer ce préjudice.
L’organisation doit tenir un registre pour chaque atteinte aux mesures de sécurité ayant trait aux renseignements personnels, y compris celles qui, selon elle, ne présentent pas de risque réel de préjudice grave, et ce, durant une période de 24 mois suivant la date où, à son avis, l’atteinte s’est produite. Ce registre doit aussi contenir tout renseignement qui permet au commissaire de vérifier la conformité avec les dispositions exigeant la transmission de déclarations au commissaire et de notifications aux personnes concernées.
Les organisations doivent aussi savoir que l’omission délibérée de déclarer au commissaire une atteinte qui constitue un risque réel de préjudice grave ou d’aviser les personnes concernées d’une telle atteinte, ou l’omission délibérée de tenir un registre de toutes les atteintes, risque de donner lieu à l’imposition d’une amende pouvant aller jusqu’à 100 000 $.
L’équipe de Cox & Palmer se fait un plaisir d’apporter son aide aux entreprises et aux organisations à la recherche d’un supplément d’information sur la façon de se préparer à l’application des exigences canadiennes en matière de notifications des atteintes à la protection des données. Pour toute question, n’hésitez pas à communiquer avec nous.
L’année 2019 a été marquée par plusieurs décisions notables ayant une incidence sur le droit du travail et de l’emploi. Voici un résumé des 10 décisions rendues au Canada dont les employeurs devraient, selon nous, prendre connaissance en ce début d’année 2020. 1. Ruston v. Keddco MFG (2011) Ltd, 2019 ONCA 125 (en Anglais seulement) La Cour […]
read moreEn Ontario, un employé a reçu des primes pour la période de préavis raisonnable applicable à la suite d’une cessation d’emploi sans motif, bien que le plan des primes indique expressément qu’il faut atteindre des objectifs personnels et professionnels et que l’employé doit faire partie du personnel actif.
read more
