Innovation, Science et Développement économique Canada publiait tout récemment un document visant à recueillir l’avis des Canadiens quant à ce que devrait contenir le règlement éventuel d’application de cet aspect de la Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA, selon son acronyme anglophone), quant aux avis obligatoires que prescrira bientôt la législation canadienne en cas d’atteinte à la protection des données.
On s’en souviendra, PIPEDA représente un ensemble de règles généralement non prescriptives et dictant comment les entreprises devraient gérer les renseignements personnels qu’elles détiennent, communiquent ou utilisent. Cette fois, cependant, les amendements de 2015 ont cela de nouveau que l’obligation en matière de sécurité, elle, serait de nature PRESCRIPTIVE. Cette obligation sera donc de nature OBLIGATOIRE pour les entreprises, avec des conséquences juridiques spécifiques si elle n’est pas respectée. Il s’agit là d’une nouveauté qui devrait attirer l’attention des entreprises.
Plus spécifiquement, PIPEDA était amendée en 2015 pour prévoir certaines obligations pour les organisations, en cas d’incident de sécurité pouvant mener à la divulgation de renseignements personnels qu'elles détenaient. Ainsi, avec l’adoption des amendements de 2015, le Canada s’est doté d’une obligation incombant aux entreprises de rapporter toute « atteinte aux mesures de sécurité » (par ex. une intrusion informatique) qui implique un « risque réel de préjudice grave » pour les individus touchés. De plus, les organisations (dont les entreprises) devront dorénavant aviser le commissaire à la protection de la vie privée, en plus de tenir un registre des atteintes en question, registre que pourra consulter le commissaire sur demande.
Le règlement qu'il est ici question d’adopter viserait à conférer davantage de clarté et de précision aux nouvelles règles en question, pour appliquer l’obligation de divulgation. Le document « pour discussion » ainsi récemment publié vise donc à recueillir le point de vue des Canadiens, afin d’en tenir compte en préparant le projet de règlement éventuel.
Pour ce faire, le document donne du contexte quant à chaque règle (dont ce que font à son sujet d'autres juridictions) et pose une série de questions, visant à orienter les efforts de rédaction du législateur, dont notamment :
- Devrait-on préciser dans le règlement les facteurs d’évaluation du « risque de préjudice grave » ?
- Devait-on préciser ce que doit contenir spécifiquement l’avis aux individus et le rapport à faire au Commissariat pour déclarer un incident, et si oui, que devraient-ils contenir ?
- Quelles devraient être les méthodes de notification permises pour les organisations ?
- Dans quelles circonstances devrait-on permettre aux organisations d’aviser indirectement les individus, et alors, en utilisant quel ou quels moyens de communication ?
- Devrait-on énoncer dans le règlement les champs à inclure dans le registre tenu par chaque organisation ?
- Quelle devait être la durée de conservation des registres sur les atteintes à la protection des données ?
Les intéressés disposent jusqu’au 31 mai 2016 pour soumettre leurs commentaires par courriel au ic.ised.breach-atteinte.isde.ic@canada.ca.
Il s’agit d’un pas de plus vers la mise en œuvre de notre nouveau régime d’avis obligatoires en cas d’incidents de sécurité. Le document nous permet déjà de voir ce qu’on peut entrevoir retrouver dans le règlement d’application éventuel.