La loi fédérale sur la protection des renseignements personnels s'intitule la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »)
Qu'est-ce qu'une atteinte à la vie privée?
Par « atteinte aux mesures de sécurité », on entend la communication non autorisée ou la perte de renseignements personnels, ou l'accès non autorisé à ceux-ci, par suite d'une atteinte aux mesures de sécurité d'une organisation prévues à l'article 4.7 de l'annexe 1 de la LPRPDE ou du fait que ces mesures n'ont pas été mises en place.
Qui doit notifier qui?
L'organisation principale ayant le contrôle des renseignements personnels doit aviser les personnes concernées et les organismes de réglementation de la protection de la vie privée pertinents, à savoir :
Le Commissariat à la protection de la vie privée (« CPVP »)
Quand la notification est-elle obligatoire?
Dans tous les cas où il est raisonnable de croire qu'une atteinte aux mesures de protection présente un risque réel de préjudice grave à l'endroit d'un individu. Parmi les facteurs pertinents pour déterminer si une atteinte aux mesures de sécurité constitue un risque réel de préjudice grave, on retrouve la sensibilité des renseignements personnels touchés par l'atteinte aux mesures de sécurité et la probabilité que les renseignements personnels ont été/sont/seront mal utilisés.