Par suite de l’annonce récente quant à l’entrée en vigueur prochaine de nouvelles dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE », ou « PIPEDA » de son acronyme en anglais), on annonçait cette semaine que le règlement d’application a été finalisé.
Bien qu’un projet avait été publié l’an dernier, nous ne connaissions pas encore la teneur exacte des détails d’application relativement au moment et à la façon dont les entreprises devraient consigner et rapporter leurs incidents de sécurité, ce que la loi canadienne nomme des « atteintes aux mesures de sécurité ».
Le nouveau règlement fixe ainsi notamment la manière de contacter les victimes directement, pour les aviser en cas de problème, ce qui pourra se faire par courriel, par téléphone, etc. Pas de grosse surprise ici.
La réglementation confirme les types de situations où, au contraire, les victimes pourront n’être avisées qu’indirectement, par des moyens tel un avis publié en ligne et/ou sur les réseaux sociaux. Cela pourra comprendre, par exemple, quand le fait de contacter les victimes directement imposerait un fardeau démesuré à l’entreprise.
Le règlement fixe aussi la liste des ingrédients que devront obligatoirement contenir les avis expédiés aux individus et au commissaire. Encore une fois, rien de révolutionnaire dans cette liste qui se limite à des éléments tels la description des circonstances de l’incident, les renseignements exposés, comment parer au risque, etc. On devra aussi fournir aux victimes des coordonnées afin d’obtenir de plus amples renseignements.
Finalement, le règlement fixe la durée pendant laquelle les entreprises auront l’obligation de conserver les données de leur registre d’incidents de sécurité : vingt-quatre (24) mois à compter de chaque incident.
Les nouvelles dispositions en matière d’atteintes aux mesures de sécurité (et, par le fait même, ce règlement) entrent en vigueur le 1er novembre prochain.