LA NOUVELLE LOI FÉDÉRALE SUR LA PROTECTION DES RENSEIGNEMENTS NUMÉRIQUES ET L’OBLIGATION DE DIVULGATION DES ATTEINTES AUX DONNÉES PERSONNELLES

LA NOUVELLE LOI FÉDÉRALE SUR LA PROTECTION DES RENSEIGNEMENTS NUMÉRIQUES ET L’OBLIGATION DE DIVULGATION DES ATTEINTES AUX DONNÉES PERSONNELLES
trotier-110

Écrit en collaboration avec Joli-Cœur Lacasse Avocats.

Adoptée tout récemment le 15 juin 2015, la Loi sur la Protection des renseignements numériques pose de nouvelles exigences en matière de gestion sécuritaire des données personnelles détenues par les entreprises de compétence fédérale (ex. banques, entreprises aériennes, compagnies de télécommunication) en plus d’imposer de nouvelles obligations de divulgation en cas d’atteintes aux mesures de sécurité devant protéger ces renseignements.

Bien que ces dispositions ne soient pas actuellement en vigueur dans l’attente de la réglementation sous-jacente, elles devraient s’appliquer dans le courant de l’année 2016.

La nouvelle loi impose à ces organisations de divulguer au Commissaire à la vie privée, aux individus visés et à toute organisation susceptible de diminuer le risque de préjudice, toute atteinte aux mesures de sécurité devant protéger ces renseignements personnels, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un « risque réel de préjudice grave » à l’endroit d’un individu.

L’avis doit être donné à l’intéressé le plus tôt possible après que l’organisation ait conclu qu’il y avait eu atteinte, avec suffisamment d’information pour lui permettre de comprendre l’importance de cette atteinte et de prendre, si possible, des mesures pour réduire le risque de préjudice qui pourrait en résulter.

L’évaluation d’un « risque réel de préjudice grave » repose sur différents facteurs non-limitatifs tels le degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements aient été mal utilisés ou soient sur le point de l’être. Le « préjudice grave » est lui aussi non-limitatif et inclut la lésion corporelle, l’humiliation, le dommage à la réputation, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles.

Outre l’obligation de divulgation, ces organisations doivent tenir un registre des atteintes aux mesures de sécurité pour fins d’enquête. En cas d’infractions à ces obligations de divulgation ou de tenue de registre, la loi prévoit des amendes pénales variant de 10,000$ à 100,000$.

Il importe donc pour ces entreprises de faire coordonner adéquatement les engagements de sécurité et de divulgation des atteintes exigés de leurs fournisseurs Cloud avec leurs propres obligations légales. Même si vous résidez au Québec, il se pourrait que vous soyez vous-mêmes assujetti à ces nouvelles dispositions si vous desservez des organisations de compétence fédérale ou si vous menez des activités dans des provinces autres que le Québec, l’Alberta et la Colombie-Britannique où la loi fédérale s’applique, à défaut d’une loi provinciale dédiée la protection des renseignements personnels. Il est donc important que vous mettiez en place, au besoin, les nouveaux processus de gestion requis par cette nouvelle législation.