Déclaration obligatoire d’intrusion informatique chez les entreprises : dès le 1er novembre 2018

Par Me Sébastien Lapointe, Holmested & Associés s.e.n.c.r.l./LLP
Déclaration obligatoire d’intrusion informatique chez les entreprises : dès le 1er novembre 2018

C’est maintenant officiel, les amendements à la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE », ou « PIPEDA » de son acronyme en anglais) concernant les atteintes aux mesures de sécurité entreront en vigueur le 1er novembre 2018.

Le gouvernement publiait en effet il y a quelques jours une ordonnance fixant l’entrée en vigueur des dispositions introduites par la Loi sur la protection des renseignements personnels numériques (à la suite du projet de loi « S-4 »).

Jusqu’à maintenant, les amendements en question demeureraient non applicables, sans doute pour donner plus de temps aux entreprises canadiennes pour s’y préparer. Cette période de transition prendra fin le 1er novembre.

En vertu du nouvel article 1.1 LPRPDE, de nouvelles obligations incomberont aux entreprises visées, en cas d’incidents de sécurité, incluant en cas d’intrusions informatiques. En l’occurrence, dorénavant, quand une entreprise s’avère victime d’une atteinte à la protection de ses données (comprenant des renseignements personnels), elle devra obligatoirement le déclarer de diverses façons. Ce sera particulièrement le cas quand l’atteinte présente un « risque réel de préjudice grave » pour les individus touchés. À noter que ce préjudice peut se qualifier comme tel même s’il s’avère purement économique, comme dans le cas d’une fraude ou d’un vol d’identité appréhendés, etc. Dans de tels cas, on devra aviser non seulement le Commissariat à la protection de la vie privée du Canada, mais aussi (et surtout) tous les individus touchés. Ces avis devront généralement se faire directement à chaque individu touché, selon notamment le genre de renseignements exposés.

Les nouveaux articles obligeront aussi toute entreprise (visée par la LPRPDE) à tenir un registre des atteintes à la protection des données qu’elle subirait au fil du temps, registre que le Commissariat pourra inspecter de temps à autre.

Pour les entreprises auxquelles s’applique la LPRPDE et qui tardent toujours à porter attention à cette question, prenez note : vous disposez encore de moins de six mois pour vous informer et ajuster vos pratiques.

Pas, à ma connaissance, question d'introduire une telle obligation dans la loi québécoise, pour l'instant.

Également d’intérêt
© Thomson Reuters Canada Limitée. Tous droits réservés. Mise en garde et avis d’exonération de responsabilité.