Jasmine Samra
Counsel
Article
Publié02 mai 2025
Un nouvel outil du CPVP aide les organisations à déterminer si elles doivent déclarer une atteinte à la vie privée
3
minutes de lecture
Le Commissariat à la protection de la vie privée du Canada (CPVP) a lancé un nouvel outil d’autoévaluation pour aider les organisations à évaluer si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave aux personnes concernées. Cet outil va permettre aux organisations de répondre à leurs obligations de déclaration en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
Comprendre en quoi consistent le risque réel de préjudice grave et les obligations de déclaration
En vertu de la LPRPDE, les organisations doivent déclarer au CPVP et aux personnes concernées toute atteinte à la protection des données impliquant des renseignements personnels sous leur contrôle s’il est raisonnable de croire que l’atteinte présente un risque réel de préjudice grave.
Par « préjudice grave » on entend la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte d’emploi ou d’occasions d’affaires, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, et le dommage aux biens ou leur perte.
Pour établir s’il existe un risque réel de préjudice grave, les organisations doivent évaluer ce qui suit :
- Le degré de sensibilité des renseignements personnels en cause
- La probabilité que les renseignements personnels ont été, sont, ou seront utilisés de manière abusive
Les organisations sont également tenues de conserver un dossier de toutes les atteintes à la protection des données pour une période d’au moins deux ans, et ce, peu importe si l’atteinte répond au seuil du risque réel de préjudice grave.
Comment l’outil du CPVP peut vous aider
L’outil du CPVP demande aux organisations de répondre à une série de questions visant à fournir des détails à propos de l’atteinte, notamment :
- Les types de renseignements personnels en cause
- Le nombre de personnes touchées par l’atteinte
- Les circonstances de l’atteinte
- La personne qui a reçu ou qui pourrait avoir reçu les renseignements personnels
- La relation entre les personnes touchées par l’atteinte et la partie non autorisée qui a porté atteinte à la sécurité des renseignements personnels ou à qui les renseignements ont été transmis
L’outil pose une série de questions, et selon les réponses fournies par l’organisation, il indique si le risque réel de préjudice grave est « probable » ou « improbable ». Cette évaluation a pour but d’établir s’il est nécessaire de signaler l’atteinte et d’aviser les individus concernés en vertu de la LPRPDE. Il est toutefois important de souligner que ces résultats sont à titre d’information seulement et n’entraînent pas la responsabilité du CPVP.
Veuillez noter que l’outil ne demande pas de renseignements permettant d’identifier l’organisation qui l’utilise et ne recueille ni n’envoie aucun des renseignements au CPVP. Le site Web du CPVP souligne d’ailleurs que les résultats de l’évaluation du risque peuvent être téléchargés et utilisés dans le cadre du dossier interne de l’atteinte à la vie privée. Si une organisation soumet un rapport d’atteinte à la vie privée au CPVP, cette dernière peut inclure les résultats de l’outil dans sa soumission.
Mise en garde : il s’agit d’un guide et non d’un avis juridique
L’outil vise à aider les organisations à évaluer si elles doivent déclarer l’atteinte et aviser les personnes concernées, conformément à leurs obligations en vertu de la LPRPDE. Même s’il constitue une référence utile, il n’est pas un substitut à un avis juridique, et ses résultats ne représentent pas la position ou la décision officielle du CPVP.
Bien que l’outil pose une série de questions, il s’agit d’une ressource limitée qui pourrait ne pas saisir toutes les considérations ou les circonstances à prendre en compte pour déterminer si l’atteinte présente effectivement un risque réel de préjudice grave. Les organisations devraient consulter un conseiller juridique, particulièrement dans le cadre de scénarios complexes ou limites, pour s’assurer que leurs obligations sont adéquatement évaluées et respectées.
En résumé
Le nouvel outil d’autoévaluation des risques d’atteinte à la vie privée du CPVP est une ressource pratique pouvant aider à déterminer si une atteinte à la vie privée doit être déclarée conformément à vos obligations. Même s’il peut améliorer votre processus interne d’évaluation, il doit toutefois être utilisé conjointement à un avis juridique, et non en remplacement de celui-ci.
Accéder à l’outil d’autoévaluation des risques d’atteinte à la vie privée
Vous avez besoin d’aide pour mieux comprendre les exigences en matière de déclaration des atteintes ? Consultez notre publication intitulée Exigences canadiennes sur la notification des incidents de confidentialité : Guide de conformité pour obtenir un aperçu des exigences sur la notification par juridiction. N’hésitez pas à communiquer avec un membre de notre groupe Cybersécurité et protection des données.
CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.
