Les organismes du secteur privé régis par la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») ont sept mois pour se préparer à l’entrée en vigueur des modifications législatives qui promulguent la divulgation et la notification obligatoires en cas d’atteintes à la sécurité des données. Le présent article explique l’entrée en vigueur des dispositions de la LPRPDE à venir, ainsi que le délai établi pour la publication de la version définitive du règlement.

Les règles tant attendues relatives à la divulgation et notification des atteintes à la sécurité des données exigent que les organismes, en cas de fuites de données, signalent tout incident au Commissariat à la protection de la vie privée du Canada (le Commissariat) et notifient les personnes touchées. La divulgation et la notification seront requises dans tous les cas où il est raisonnable de croire qu’une atteinte à la protection des données présente un « risque réel de préjudice grave à l’endroit d’un individu ». En vertu de la Loi, un « préjudice grave » vise notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles.

Au fédéral, la divulgation et la notification obligatoires des atteintes à la protection des données ont été introduites par des modifications à la LPRPDE promulguées par la Loi sur la protection des renseignements personnels numériques (projet de loi S-4). Le projet de loi S-4 est entré en vigueur le 18 juin 2015, mais la date à laquelle les nouvelles dispositions relatives aux atteintes à la protection des données devaient entrer en vigueur restait inconnue. Ce n’est que dans le décret promulgué  récemment le 26 mars 2018 (décret 2018-0369) que cette date a été dévoilée. Le décret prévoit que les dispositions de la Loi sur la protection des renseignements personnels numériques relatives aux atteintes à la protection des données (articles 10, 11 et 14, paragraphes 17(1) et (4) ainsi que les articles 19 et 22 à 25 de la LPRPDE) entreront en vigueur le 1er novembre 2018.

Le projet de règlement a été publié dans la Gazette du Canada le 2 septembre 2017 et a fait l’objet d’une période de consultation publique. Un autre décret daté du 26 mars 2018 (décret 2018-0368) prévoit que la version définitive du règlement ne sera pas publiée avant le 18 avril 2018. Le projet de règlement indiquait que la date d’entrée en vigueur serait la même que la date d’entrée en vigueur de l’article 10 de la Loi sur la protection des renseignements personnels numériques si le règlement était enregistré avant cette date; par conséquent, nous prévoyons que la version définitive du règlement entrera également en vigueur le 1er novembre 2018. Le contenu du projet de règlement (qui sera possiblement révisé) était décrit dans notre précédent article intitulé « Impossible d’échapper à l’exigence de notification : publication du projet de règlement fédéral relatif à la déclaration et à la notification d’atteinte à la sécurité des données ».

Les dispositions relatives aux atteintes à la protection des données promulguées par la Loi sur la protection des renseignements personnels numériques sont présentées dans la LPRPDE. Le projet de règlement est accessible ici. Une fois que la version définitive du règlement aura été publiée le 18 avril, nous vous en fournirons une analyse détaillée.