Après avoir passé les trois lectures requises au niveau du Sénat, le projet de loi S-4 (la Loi sur la protection des renseignements personnels numériques) continue de progresser dans le système législatif canadien. En effet, le Comité permanent de l'industrie, des sciences et de la technologie rendait son rapport à la Chambre des communes le mois dernier à ce sujet, en prévision de la seconde lecture du projet de loi devant cette chambre. Les chances semblent donc s'accroître de mois en mois que S-4 devienne loi au pays cette année, modifiant ainsi le paysage de la réglementation des renseignements personnels au pays.
On se souviendra que le projet S-4 émanait l'an dernier du Sénat canadien, lequel proposait d'amender la législation fédérale en matière de renseignements personnels (la Loi sur la protection des renseignements personnels et les documents électroniques - la « LPRPDE »), afin de mieux l'adapter au contexte numérique dans lequel nous évoluons désormais. Ce projet propose une série de modifications, incluant les changements suivants relatifs aux cas où les mesures de sécurité d'une entreprise sont déjouées par un tiers.
En effet, l'un des changements les plus importants de S-4 a trait à l'amendement qu'il suggère d’apporter à la LPRPDE afin d'obliger les entreprises qui détiennent des renseignements personnels (des « RP ») à prendre certaines mesures concrètes en cas de problèmes de sécurité. Le projet S-4 ajouterait ainsi un nouveau chapitre à la LPRPDE, qui s'intitulerait « Atteintes aux mesures de sécurité », lequel forcerait les entreprises (régies par la loi fédérale en matière de RP) à désormais divulguer les cas où une intrusion ou une attaque ayant déjoué ses mesures de sécurité impliquerait un « risque réel de préjudice grave à l’endroit d’un individu ». Quand cela se produit, les entreprises devraient alors faire rapport le plus tôt possible aux individus visés ainsi qu’au Commissariat à la protection de la vie privée.
Question de situer cette obligation, S-4 définirait l'expression « préjudice grave » comme incluant (de façon non limitative) les lésions corporelles, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles. Les nouvelles dispositions demanderaient d'évaluer le risque réel, dans chaque cas, par référence à des éléments tels le degré de sensibilité des RP visés, la probabilité que les RP aient été mal utilisés ou soient en train ou sur le point de l’être, etc. Avec une telle définition, il y a lieu de croire que nombre d'intrusions devront faire l'objet d’une divulgation si (quand?) S-4 amendera la législation fédérale.
À ce sujet, S-4 propose d'ailleurs d'ajouter des infractions (et des pénalités non négligeables en découlant) à la LPRPDE pour les entreprises qui feraient défaut de se conformer aux nouvelles obligations relatives à la divulgation obligatoire des atteintes aux mesures de sécurité.
Mentionnons au passage que S-4 contient aussi d'autres types d'amendement, dont certaines qui permettraient la divulgation de RP sous le contrôle d'une entreprise à d'autres organisations, par exemple dans le cadre d'une enquête relative à la violation d'une entente ou la contravention à une loi ou un règlement par l'individu visé.
Le projet de loi S-4 doit maintenant être à nouveau considéré par la Chambre des communes, à la suite du vote au terme duquel ce projet pourrait être formellement adopté dans les mois qui suivent. C'est à suivre...
À titre informatif, on peut lire la dernière version du projet de loi S-4 ici.