Les exigences canadiennes en matière de notification d'atteintes à la vie privée en un coup d'œil

14 minutes de lecture
27 janvier 2023

Canada privacy guide cover

Les organisations canadiennes qui ont subi une atteinte à la vie privée ont dorénavant, dans la plupart des cas, une obligation légale d'aviser les personnes concernées par l'atteinte, de même que les organismes de réglementation pertinents.  

Pour vous aider à trouver vos repères dans ce processus, et à mieux comprendre vos obligations particulières, notre guide sous forme de tableau pratique vous donne un aperçu clair et détaillé des exigences de notification particulières en vertu de la LPRPDE, de la Loi du Québec et de la PIPA de l'Alberta.

Télécharger le guide


Aperçu

Processus de notification

PROCESSUS DE NOTIFICATION - L'atteinte survient - Découverte de l'atteinte - Aucun délai particulier pour rapporter l'atteinte - Prise de mesures pour réduire le risque de préjudice - Notification aux organises de protection de la vie privéeet aux personnes concernées

Notification aux organismes de protection de la vie privée : exigences par juridiction

Information au sujet de l'organisation LPRPDE Loi du Québec PIPA AB
Le nom de l'organisation
Les coordonnées d'une personne au sein de l'organisation qui peut répondre à des questions au sujet de l'atteinte
Description de l'atteinte      
Une description des circonstances de l'atteinte
Une description des causes de l'atteinte, si elles sont connues
La date ou la période où il y a eu atteinte; (ou une approximation, si inconnue)
La date ou période durant laquelle l'organisation a découvert l'incident
La description des renseignements personnels visés par l'atteinte, si cette information est connue*
                *Si cette information n'est pas connue, les raisons pour lesquelles il est impossible de fournir une telle description    
Le nombre de personnes concernées par l'incident (ou une approximation si cette information n'est pas connue)
Le nombre de personnes concernées par l'incident qui résident au Québec (ou une approximation si cette information n'est pas connue)    
Le nombre de personnes concernées par l'incident qui résident en Alberta (ou une approximation si cette information n'est pas connue)    
Description des mesures d'atténuation des risques      
Une évaluation du risque de préjudice à l'égard des personnes concernées    
Une description des éléments qui ont permis à l'organisation de conclure qu'il existe un risque qu'un préjudice sérieux soit causé aux personnes concernées    
Les mesures prises par l'organisation afin de réduire/d'atténuer le risque de préjudice aux personnes concernées
Les mesures que l'organisation a prises ou qu'elle entend prendre pour aviser les personnes concernées de l'atteinte
Les mesures prises ou prévues, y compris celles pour prévenir de nouveaux incidents de même nature (avec échéancier)  
Autres      
Les mises à jour à fournir à la CAI dès qu'elles sont connues par l'organisation    
Autres organisations (p.ex., les autorités réglementaires) informées de l'incident (s'il y a lieu)


Notification aux personnes concernées : exigences par juridiction

Notification directe LPRPDE Loi du Québec PIPA AB
Il faut aviser les personnes concernées directement, à moins que des circonstances prescrites pour les notifications indirectes ne soient autrement prévues par la législation
Description de l'atteinte      
Une description des circonstances de l'atteinte
La date ou la période où il y a eu atteinte;(ou une approximation si cette information est inconnue)
Une description des renseignements personnels visés par l'incident si cette information est connue*
​      *Si cette information n'est pas connue, les raisons pour lesquelles il est impossible de fournir une telle description    
Description des mesures d'atténuation des risques      
Les mesures prises par l'organisation afin de réduire/d'atténuer le risque de préjudice aux personnes concernées
Les mesures que peuvent prendre les personnes concernées afin de réduire le risque de préjudice ou d'atténuer un tel préjudice  
Les coordonnées d'une personne qui peut répondre au nom de l'organisation aux questions au sujet de l'atteinte


Obligations en matière de tenue de registres

Description de l'atteinte LPRPDE Loi du Québec
Une description des circonstances de l'atteinte
La date ou la période où il y a eu atteinte; (ou une approximation si cette information est inconnue)
Le nombre de personnes touchées par l'incident et le nombre de personnes qui résident au Québec (ou une approximation si cette information est inconnue)  
Une description des renseignements personnels visés par l'atteinte si cette information est connue*
      *Si cette information n'est pas connue, la raison pour laquelle il est impossible de fournir une telle description.  
Description des mesures d'atténuation    
Une description des éléments qui ont permis de conclure qu'il existe un risque qu'un préjudice sérieux soit causé aux personnes concernées  
Une évaluation du risque de préjudice à l'égard des personnes concernées  
Si l'incident présente un préjudice sérieux ou un risque réel de préjudice, les dates de transmission des avis à l'organisme de protection de la confidentialité et aux personnes concernées. Si une notification indirecte est envoyée, la raison qui justifie cette façon de faire.
Les mesures que l'organisation a prises afin de réduire le risque de préjudice à l'endroit des personnes concernées  
Autres    
La date ou la période à laquelle l'organisation a découvert l'incident  
La durée minimale de conservation d'un registre consignant l'atteinte 2 ans 5 ans

Communiquez avec notre équipe internationale

Grâce à son approche proactive, notre équipe internationale de cybersécurité et de protection des données est à même de protéger vos actifs les plus précieux. Dans ce domaine en constante évolution, vous pouvez compter sur nous pour vous aider à garder une longueur d'avance. Pour en savoir plus, contactez un membre de notre équipe.


1 Veuillez noter que le présent document n'aborde PAS la question des exigences de notification/production de rapport aux termes de lois de protection des renseignements personnels applicables au secteur privé et à celles régissant la protection des renseignements personnels de nature médicale.

2 Bien que la question ne soit pas traitée dans le présent document, veuillez noter que d'autres juridictions canadiennes pourraient « effectivement » exiger la notification, même si cela n'est pas obligatoire selon la loi, parce que le défaut de notifier une personne pourrait être considéré comme une contravention à d'autres exigences en matière de protection de la confidentialité ou contrevenant à d'autres règles ou lois.

Remarque : en pratique, le seuil de « risque réel de préjudice important » de l'Alberta a été établi à un niveau très peu élevé.


CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.

Contacts

Contacts

Télécharger en tant que PDF