Antoine Guilmain
Associé
Co-chef, Groupe national Cybersécurité et protection des données
Article
Publié27 janvier 2023
Exigences canadiennes sur la notification des incidents de confidentialité : Guide de conformité
13
minutes de lecture
Les organisations canadiennes qui ont subi une atteinte à la vie privée ont dorénavant, dans la plupart des cas, une obligation légale d'aviser les personnes concernées par l'atteinte, de même que les organismes de réglementation pertinents.
Pour vous aider à trouver vos repères dans ce processus, et à mieux comprendre vos obligations particulières, notre guide sous forme de tableau pratique vous donne un aperçu clair et détaillé des exigences de notification particulières en vertu de la LPRPDE, de la Loi du Québec et de la PIPA de l'Alberta.
Télécharger le guide
Processus de notification
Notification aux organismes de protection de la vie privée : exigences par juridiction
| Information au sujet de l'organisation | LPRPDE | Loi du Québec | PIPA AB |
|---|---|---|---|
| Le nom de l'organisation | ● | ● | ● |
| Les coordonnées d'une personne au sein de l'organisation qui peut répondre à des questions au sujet de l'atteinte | ● | ● | ● |
| Description de l'atteinte | |||
| Une description des circonstances de l'atteinte | ● | ● | ● |
| Une description des causes de l'atteinte, si elles sont connues | ● | ● | ● |
| La date ou la période où il y a eu atteinte; (ou une approximation, si inconnue) | ● | ● | ● |
| La date ou période durant laquelle l'organisation a découvert l'incident | ● | ● | ● |
| La description des renseignements personnels visés par l'atteinte, si cette information est connue* | ● | ● | ● |
| *Si cette information n'est pas connue, les raisons pour lesquelles il est impossible de fournir une telle description | ● | ||
| Le nombre de personnes concernées par l'incident (ou une approximation si cette information n'est pas connue) | ● | ● | ● |
| Le nombre de personnes concernées par l'incident qui résident au Québec (ou une approximation si cette information n'est pas connue) | ● | ||
| Le nombre de personnes concernées par l'incident qui résident en Alberta (ou une approximation si cette information n'est pas connue) | ● | ||
| Description des mesures d'atténuation des risques | |||
| Une évaluation du risque de préjudice à l'égard des personnes concernées | ● | ||
| Une description des éléments qui ont permis à l'organisation de conclure qu'il existe un risque qu'un préjudice sérieux soit causé aux personnes concernées | ● | ||
| Les mesures prises par l'organisation afin de réduire/d'atténuer le risque de préjudice aux personnes concernées | ● | ● | ● |
| Les mesures que l'organisation a prises ou qu'elle entend prendre pour aviser les personnes concernées de l'atteinte | ● | ● | ● |
| Les mesures prises ou prévues, y compris celles pour prévenir de nouveaux incidents de même nature (avec échéancier) | ● | ● | |
| Autres | |||
| Les mises à jour à fournir à la CAI dès qu'elles sont connues par l'organisation | ● | ||
| Autres organisations (p.ex., les autorités réglementaires) informées de l'incident (s'il y a lieu) | ● | ● | ● |
Notification aux personnes concernées : exigences par juridiction
| Notification directe | LPRPDE | Loi du Québec | PIPA AB |
|---|---|---|---|
| Il faut aviser les personnes concernées directement, à moins que des circonstances prescrites pour les notifications indirectes ne soient autrement prévues par la législation | ● | ● | ● |
| Description de l'atteinte | |||
| Une description des circonstances de l'atteinte | ● | ● | ● |
| La date ou la période où il y a eu atteinte;(ou une approximation si cette information est inconnue) | ● | ● | ● |
| Une description des renseignements personnels visés par l'incident si cette information est connue* | ● | ● | ● |
| *Si cette information n'est pas connue, les raisons pour lesquelles il est impossible de fournir une telle description | ● | ||
| Description des mesures d'atténuation des risques | |||
| Les mesures prises par l'organisation afin de réduire/d'atténuer le risque de préjudice aux personnes concernées | ● | ● | ● |
| Les mesures que peuvent prendre les personnes concernées afin de réduire le risque de préjudice ou d'atténuer un tel préjudice | ● | ● | |
| Les coordonnées d'une personne qui peut répondre au nom de l'organisation aux questions au sujet de l'atteinte | ● | ● | ● |
Obligations en matière de tenue de registres
| Description de l'atteinte | LPRPDE | Loi du Québec |
|---|---|---|
| Une description des circonstances de l'atteinte | ● | ● |
| La date ou la période où il y a eu atteinte; (ou une approximation si cette information est inconnue) | ● | ● |
| Le nombre de personnes touchées par l'incident et le nombre de personnes qui résident au Québec (ou une approximation si cette information est inconnue) | ● | |
| Une description des renseignements personnels visés par l'atteinte si cette information est connue* | ● | ● |
| *Si cette information n'est pas connue, la raison pour laquelle il est impossible de fournir une telle description. | ● | |
| Description des mesures d'atténuation | ||
| Une description des éléments qui ont permis de conclure qu'il existe un risque qu'un préjudice sérieux soit causé aux personnes concernées | ● | |
| Une évaluation du risque de préjudice à l'égard des personnes concernées | ● | |
| Si l'incident présente un préjudice sérieux ou un risque réel de préjudice, les dates de transmission des avis à l'organisme de protection de la confidentialité et aux personnes concernées. Si une notification indirecte est envoyée, la raison qui justifie cette façon de faire. | ● | ● |
| Les mesures que l'organisation a prises afin de réduire le risque de préjudice à l'endroit des personnes concernées | ● | |
| Autres | ||
| La date ou la période à laquelle l'organisation a découvert l'incident | ● | |
| La durée minimale de conservation d'un registre consignant l'atteinte | 2 ans | 5 ans |
Communiquez avec notre équipe internationale
Grâce à son approche proactive, notre équipe internationale de cybersécurité et de protection des données est à même de protéger vos actifs les plus précieux. Dans ce domaine en constante évolution, vous pouvez compter sur nous pour vous aider à garder une longueur d'avance. Pour en savoir plus, contactez un membre de notre équipe.
1 Veuillez noter que le présent document n'aborde PAS la question des exigences de notification/production de rapport aux termes de lois de protection des renseignements personnels applicables au secteur privé et à celles régissant la protection des renseignements personnels de nature médicale.
2 Bien que la question ne soit pas traitée dans le présent document, veuillez noter que d'autres juridictions canadiennes pourraient « effectivement » exiger la notification, même si cela n'est pas obligatoire selon la loi, parce que le défaut de notifier une personne pourrait être considéré comme une contravention à d'autres exigences en matière de protection de la confidentialité ou contrevenant à d'autres règles ou lois.
3 Remarque : en pratique, le seuil de « risque réel de préjudice important » de l'Alberta a été établi à un niveau très peu élevé.
Aperçu
Loi fédérale sur la protection des renseignements personnels
La loi fédérale sur la protection des renseignements personnels s'intitule la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »)
Qu'est-ce qu'une atteinte à la vie privée?
Par « atteinte aux mesures de sécurité », on entend la communication non autorisée ou la perte de renseignements personnels, ou l'accès non autorisé à ceux-ci, par suite d'une atteinte aux mesures de sécurité d'une organisation prévues à l'article 4.7 de l'annexe 1 de la LPRPDE ou du fait que ces mesures n'ont pas été mises en place.
Qui doit notifier qui?
L'organisation principale ayant le contrôle des renseignements personnels doit aviser les personnes concernées et les organismes de réglementation de la protection de la vie privée pertinents, à savoir :
Le Commissariat à la protection de la vie privée (« CPVP »)
Quand la notification est-elle obligatoire?
Dans tous les cas où il est raisonnable de croire qu'une atteinte aux mesures de protection présente un risque réel de préjudice grave à l'endroit d'un individu. Parmi les facteurs pertinents pour déterminer si une atteinte aux mesures de sécurité constitue un risque réel de préjudice grave, on retrouve la sensibilité des renseignements personnels touchés par l'atteinte aux mesures de sécurité et la probabilité que les renseignements personnels ont été/sont/seront mal utilisés.
Loi du Québec sur la protection de la vie privée
Loi sur la protection des renseignements personnels de l’Alberta
CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.
