Juste à temps pour l’entrée en vigueur du nouveau régime, le Commissariat à la protection de la vie privée publiait cette semaine des lignes directrices visant la déclaration obligatoire des atteintes aux mesures de sécurité. Comme chacun le sait, depuis le 1er novembre 2018, toutes les organisations assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE », ou « PIPEDA », selon son acronyme en anglais) doivent dorénavant divulguer certaines des intrusions informatiques (et autres problèmes de sécurité) dont elles sont victimes au fil du temps.
Après avoir déjà publié un projet du document en question, le Commissariat publiait cette semaine la version finale intitulée Ce que vous devez savoir sur la déclaration obligatoire des atteintes aux mesures de sécurité.
La mouture ultime du document reprend la majorité du contenu des projets antérieurs, mais en y ajoutant un élément qui faisait l’objet de spéculations parmi ceux qui s’intéressent aux renseignements personnels : quelles entités s’avèrent responsables de déclarer les problèmes de sécurité quand ils surviennent. En l’occurrence, le document vient prévoir explicitement que les entités qui ont l’obligation sont celles qui possèdent le contrôle sur les renseignements personnels qui ont été exposés à une perte ou un vol. En somme, quand une « organisation principale » a transféré des renseignements personnels à un tiers à des fins de traitement, c’est elle qui aura la charge et la responsabilité de veiller au grain quant au régime de déclaration obligatoire des atteintes aux mesures de sécurité, pas son fournisseur. Le Commissariat vient ainsi écarter la thèse que les fournisseurs de services (hébergeurs de serveurs ou de sites, etc.) soient, par exemple, obligés de divulguer les problèmes rencontrés avec les données de leurs clients qui sont, eux, en relation directe avec les individus dont les renseignements ont été compromis.
Malgré cet énoncé, la réalité s’avère souvent plus complexe et le document confirme qu’il faudra évaluer, au cas par cas, quelle organisation a la « gestion » des renseignements personnels. Par conséquent, on peut déjà concevoir qu’il pourra parfois se révéler incertain de savoir qui exactement a la responsabilité de se conformer et de poser les gestes requis en vertu du nouveau régime, particulièrement quand la trame de faits implique une série d’entités et/ou des relations commerciales plus complexes.
Rappelons que le nouveau régime exige notamment que les entreprises tiennent dorénavant un registre de leurs problèmes de sécurité. Il exige aussi qu’en cas de problème de sécurité impliquant un risque réel de préjudice grave (un « RRPG ») pour des individus touchés, on avise ces individus ainsi que le Commissariat. Le document d’information finalisé cette semaine offre d’ailleurs une façon pour les organisations d’évaluer si une intrusion sera susceptible d’impliquer un RRPG, une expression dont la définition se montre très large en vertu de la loi, allant jusqu’à inclure tout effet négatif sur le dossier de crédit des individus ou même la perte de possibilités d’emploi ou d’occasions d’affaires.
Le document publié cette semaine contient aussi des directives sur le contenu à inclure dans un rapport au Commissariat, ainsi qu’un formulaire que les organisations pourront utiliser pour faire rapport de leurs incidents de sécurité, le cas échéant.
Fait intéressant en pratique, la version finale du document entre aussi dans les détails à savoir ce qu’on doit inclure exactement dans le registre d’intrusions de chaque entreprise, à savoir :
« […] tout renseignement permettant au Commissariat de vérifier la conformité aux obligations en matière de déclaration et de notification des atteintes aux mesures de sécurité […], y compris les exigences relatives à l’évaluation du risque réel de préjudice grave […] au minimum […] :
- la date ou la date estimée de l’atteinte ;
- une description générale des circonstances de l’atteinte ;
- la nature des renseignements concernés par l’atteinte ;
- si l’atteinte a été déclarée ou non au Commissariat à la protection de la vie privée du Canada et si les individus concernés ont été avisés.
Le registre devrait également contenir suffisamment de détails pour permettre au Commissariat à la protection de la vie privée du Canada d’évaluer si une organisation a dûment appliqué la norme du risque réel de préjudice grave et, par ailleurs, s’est acquittée de son obligation de déclarer les atteintes qui présentent un risque réel de préjudice grave et d’aviser les individus concernés. Cela pourrait comprendre une brève explication des raisons pour lesquelles l’organisation a déterminé qu’il n’y avait pas de risque réel de préjudice grave dans les cas où l’organisation n’a pas déclaré l’atteinte au Commissaire à la protection de la vie privée et n’a pas avisé les individus concernés. »
À l’instar du reste de la LPRPDE, le régime de déclaration obligatoire des atteintes aux mesures de sécurité s’applique aux entreprises de compétence fédérale et aux organisations de provinces non dotées de législation en matière de renseignements personnels pourvu qu’elles ne transfèrent pas de tels renseignements entre diverses juridictions. Ce faisant, le nouveau régime s’applique à une partie non négligeable des entreprises, même dans des provinces comme le Québec dotées de leur propre législation en la matière.