Les médias rapportent que le gouvernement fédéral vient de publier son projet de règlement visant à mettre en œuvre l'obligation des entreprises canadiennes de déclarer les incidents de sécurité informatique dont elles sont victimes.
Comme on s'en souviendra, la loi canadienne en matière de renseignements personnels (la « LPRPDE ») a été modifiée en 2015 afin d'y prévoir l'obligation pour nos entreprises de divulguer les incidents de sécurité ayant exposé des renseignements personnels (par ex., de clients) à des pirates informatiques ou d'autres tiers non autorisés. Ce régime visant les « atteintes aux mesures de sécurité » comprend l'obligation pour toute entreprise de tenir à jour un registre des intrusions informatiques dont elle a été victime, en plus de devoir déclarer (incluant en avisant directement les individus touchés) tout incident de sécurité, du moins s'il existe un « risque réel de préjudice grave » pour des individus touchés.
En 2015, l'entrée en vigueur de ces dispositions avait été reportée, jusqu'au moment éventuel où on adopterait un règlement de mise en œuvre. C'est de ce règlement qu’il est aujourd'hui question.
Le Règlement concernant les atteintes aux mesures de sécurité vise donc à prévoir les détails quant aux règles applicables. Le règlement fixe notamment les exigences minimales que devront respecter les entreprises en matière de divulgation d'incidents de sécurité. Par exemple, le projet de règlement :
- énumère spécifiquement quelle information on devra divulguer aux individus quand on les avise que leurs renseignements ont été compromis par une intrusion informatique, etc. ;
- détermine comment on pourra aviser les individus (par quels moyens: courriel, téléphone, etc.) ;
- énonce dans quelle mesure, quand et comment on pourra se contenter de publier des annonces publiques (c.-à-d. aviser indirectement les personnes touchées), plutôt que de contacter les intéressés directement ;
- fixe quels types d'information doit être comprise dans le registre des intrusions que doit tenir chaque entreprise ;
- La durée pendant laquelle les données dans ce registre devront être conservées (c.-à-d. 24 mois), etc.
On s'en souviendra, bien qu'au Québec la LPRPDE soit partiellement écartée par l'application de la loi provinciale, la LPRPDE continue de s’appliquer aux organisations sous réglementation fédérale ainsi qu'à toute opération interprovinciale ou internationale d'une entreprise d'ici et effectuée dans le cadre d'activités commerciales. En pratique, toutes nos entreprises feraient donc bien de voir à tenter de se conformer aux dispositions de la LPRPDE en matière d'incidents de sécurité.
Les juristes et les Canadiens disposent de 30 jours pour donner leurs commentaires quant à ce projet de règlement.