Les nouvelles exigences légales de déclaration d’atteintes à la protection des données de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») seront mises en œuvre à partir du 1 novembre 2018.

À cette date, la nouvelle section 1.1 de la LPRPDE, ses articles et le Règlement sur les atteintes aux mesures de sécurité entreront en vigueur.

Les dernières modifications à la LPRPDE ont pour but d’imposer

« un nouvel ensemble d’obligations aux organisations afin d’aviser les individus dont les renseignements personnels ont été perdus, volés ou consultés de manière inappropriée et leur indiquer qu’ils risquent de subir un préjudice ».

Cet objectif se concrétise par des obligations de divulgation d’atteintes à la protection des données (art. 10.1 LPRPDE) aux personnes intéressées, une obligation de divulgation entre organisations visées, afin de mieux protéger les intéressés (art. 10.2 LPRPDE) et des sanctions en cas de manquement (art. 28 LPRPDE).

En vertu du nouvel article 10.1(1) de la LPRPDE, l’obligation de divulgation d’une atteinte aux mesures de sécurité visant des renseignements personnels entre en jeu en cas de risque de préjudice grave :

10.1 (1) L’organisation déclare au commissaire toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elle a la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu.

Bien que le concept de « risque réel de préjudice grave » puisse sembler vague ou arbitraire à la première lecture du nouvel article 10.1(1), le législateur le circonscrit aux nouveaux articles 10.1(7) et 10.1(8) de la LPRPDE :

Définition de préjudice grave

(7) Pour l’application du présent article, préjudice grave vise notamment la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles.

Risque réel de préjudice grave : facteurs

(8) Les éléments servant à établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave à l’endroit de l’intéressé sont notamment le degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être et tout autre élément prévu par règlement.

D’une part, ces critères permettent au principe de risque réel de préjudice grave de demeurer suffisamment fluide pour que les nouvelles dispositions de la LPRPDE puissent s’appliquer à une panoplie de circonstances et leur assure une certaine pérennité. D’autre part, en définissant le principe et en imbriquant les facteurs pertinents dans la loi, le législateur évite que les organisations puissent facilement se soutirer aux nouvelles dispositions de la LPRPDE.

L’obligation de divulgation des organisations est aussi encadrée par le Règlement sur les atteintes aux mesures de sécurité (« RAMS »). Ce denier précise notamment les renseignements devant être transmis aux personnes visées par la brèche (art. 3 RAMS) et impose une obligation de divulgation directe à l’intéressé (art. 4 RAMS) :

4 Pour l’application du paragraphe 10.1(5) de la Loi, l’avis est donné directement à l’intéressé en personne, par téléphone, par courrier, par courriel ou par tout autre moyen de communication qu’une personne raisonnable estimerait acceptable dans les circonstances.

Une organisation assujettie à la LPRPDE devra tenter de communiquer directement avec les personnes intéressées en cas de brèche. Le législateur pousse ainsi les organisations à communiquer directement avec les victimes d’une brèche, plutôt que de se contenter d’une annonce générale et ambigüe qui ne permet pas aux personnes touchées de comprendre l’étendue de la brèche.

Cette nouvelle obligation de divulgation rappelle l’obligation qu’impose l’article 33 du Règlement européen sur la protection des données personnelles (« RGPD »). En effet, le nouvel article 10.1 de la LPRPDE et l’article 33 du RGPD visent tous les deux à forcer une divulgation et détaillée de brèches touchant des renseignements personnels, sous peine de sanctions.

D’ailleurs, le législateur confirme avoir tenter d’harmoniser le RAMS avec le RGPD puisque

« de nombreuses organisations canadiennes doivent respecter les lois canadiennes et européennes ».

Il restera donc à voir si et comment cette harmonisation se concrétisera suite à l’entrée en vigueur de la section 1.1 de la LPRPDE et du Règlement sur les atteintes aux mesures de sécurité le 1^er novembre prochain.