Ce que vous devez savoir sur la déclaration obligatoire des atteintes aux mesures de sécurité

Octobre 2018
Révisé : Le 13 août 2021

 

Les organisations assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) doivent :

• déclarer au commissaire à la protection de la vie privée du Canada les atteintes aux mesures de sécurité concernant des renseignements personnels présentant un risque réel de préjudice grave à des individus;
• aviser les intéressés au sujet de ces atteintes;
• conserver un registre de toutes les atteintes.

Le présent document d’orientation fournit un aperçu de ce que vous devez savoir au sujet de ces obligations.

Sur cette page

• Aperçu
• Partie 1 – Vos obligations relatives à la déclaration des atteintes
• Partie 2 – Soumettre un rapport d’atteinte au Commissariat
• Partie 3 – Vous devez conserver un registre de toutes les atteintes
• Partie 4 – Quand et comment aviser les individus
• Partie 5 – Avis aux organisations
• Partie 6 – Évaluer le risque réel de préjudice grave
• Formulaire : Rapport d’atteinte à la LPRPDE

Aperçu

Qu’est-ce que ce document d’orientation va m’apprendre?

Vous apprendrez la façon de déterminer les atteintes aux mesures de sécurité (également désignées dans le présent document par le terme atteintes) qui doivent être signalées au Commissariat à la protection de la vie privée du Canada (Commissariat), et le type d’avis que vous devez donner aux individus.

Vous en apprendrez également sur votre obligation de conserver un registre des atteintes et les renseignements qui doivent y être consignés.

Si vous désirez lire les dispositions législatives portant sur les atteintes aux mesures de sécurité, vous pouvez le faire en lisant la LPRPDE et le Règlement sur les atteintes aux mesures de sécurité.

Qu’est-ce qu’une atteinte aux mesures de sécurité?

Une atteinte aux mesures de sécurité est définie comme suit dans la LPRPDE : communication non autorisée ou perte de renseignements personnels, ou accès non autorisé à ceux-ci, par suite d’une atteinte aux mesures de sécurité d’une organisation prévues à l’article 4.7 de l’annexe 1 de la LPRPDE ou du fait que ces mesures n’ont pas été mises en place.

Est-ce que cela s’applique aux petites entreprises?

Oui. Les petites et grandes entreprises devront respecter les obligations prévues par la LPRPDE qui consistent à déclarer les atteintes aux mesures de sécurité présentant un risque réel de préjudice grave et tenir un registre de toutes les atteintes aux mesures de sécurité.

Est-ce qu’il y a des sanctions pécuniaires?

Oui. Aux termes de la LPRPDE, quiconque contrevient sciemment aux obligations en matière de déclaration, d’avis et de tenue de registre des atteintes aux mesures de sécurité prévues à la LPRPDE se rend coupable d’une infraction, et pourrait se voir imposer des amendes.

Le Commissariat n’intente pas de poursuites pour des infractions à la LPRPDE, et il n’impose pas d’amendes. Le Commissariat peut cependant signaler l’information concernant la perpétration possible d’une infraction au procureur général du Canada, lequel serait responsable de toutes poursuites éventuelles.

Pour des renseignements supplémentaires, vous pouvez lire le texte de la loi pertinent.

Y a-t-il d’autres documents que je peux lire?

Oui. Le Commissariat a d’autres documents que vous pouvez lire et utiliser aux fins de formation. Ces documents sont les suivants :

• Conseils pour limiter et réduire le risque d’atteinte à la vie privée;
• Protéger les renseignements personnels : Un outil d’auto-évaluation à l’intention des organisations.

Une fois que vous aurez lu ces documents, nous vous encourageons à en apprendre davantage sur le principe de la responsabilité grâce à notre document Un programme de gestion de la protection de la vie privée : la clé de la responsabilité, élaboré conjointement avec les commissariats à l’information et à la protection de la vie privée de l’Alberta et de la Colombie-Britannique.

Partie 1 – Vos obligations relatives à la déclaration des atteintes

Est-ce que j’ai besoin de déclarer toutes les atteintes au Commissariat?

Non. Selon la Loi, vous avez l’obligation de déclarer toute atteinte aux mesures de sécurité impliquant des renseignements personnels dont vous avez la gestion s’il est raisonnable de croire, dans les circonstances, que l’atteinte aux mesures de sécurité crée un « risque réel de préjudice grave » (RRPG) à un individu.

Que l’atteinte aux mesures de sécurité touche une seule personne ou un millier de personnes, elle devra tout de même être signalée, si votre évaluation indique qu’il y a un risque réel de préjudice grave découlant de l’atteinte.

Qui a la responsabilité de déclarer l’atteinte?

La Loi exige qu’une organisation déclare une atteinte qui a trait à des renseignements personnels dont elle a la « gestion ». Par conséquent, l’obligation de déclarer l’atteinte revient à une organisation qui « gère » des renseignements personnels impliqués dans l’atteinte.

Le terme « gestion » n’est pas défini dans la Loi et est utilisé dans un certain nombre de dispositions et de contextes, ce qui peut entraîner une certaine ambiguïté quant à son sens.

Des questions sur le concept de la gestion peuvent notamment se poser lorsqu’une organisation (que l’on peut qualifier d’ « organisation principale ») a transféré des renseignements personnels à un tiers aux fins de traitement et qu’une atteinte survient pendant que ceux-ci se trouvent entre les mains du responsable du traitement.

À cet égard, nous notons que le principe de responsabilité de la LPRPDE prévoit qu’une organisation demeure responsable des renseignements personnels qu’elle a transférés à un tiers aux fins de traitement. De plus, de nombreux intervenants nous ont dit qu’exiger qu’à la fois l’organisation principale et le responsable du traitement déclarent l’atteinte serait en grande partie incompatible avec les pratiques commerciales actuelles et soulèverait diverses préoccupations d’ordre opérationnel.

Nous estimons donc, dans ce contexte, qu’il est raisonnable d’interpréter le mot « gestion » comme applicable à l’organisation principale; c’est donc elle qui a la responsabilité de déclarer une atteinte qui survient lorsque les renseignements personnels se trouvent entre les mains du tiers responsable du traitement.

Ce faisant, l’organisation principale devra veiller à ce qu’il y ait des ententes contractuelles en place avec le responsable du traitement pour assurer la conformité aux dispositions de la LPRPDE relatives aux atteintes. Il en serait de même pour les obligations en matière d’avis et de tenue de registre.

Cela étant dit, les relations d’affaires peuvent être très complexes et il faut évaluer au cas par cas quelle organisation a la « gestion » de renseignements personnels. Cette évaluation peut s’appuyer sur les ententes contractuelles pertinentes et les réalités commerciales entre les organisations. L’évolution des modèles d’affaires et les rôles parfois multiples des organisations peuvent également avoir une incidence sur l’évaluation. Par exemple, si une organisation responsable du traitement utilise ou divulgue les mêmes renseignements personnels à d’autres fins, elle ne traite plus simplement les renseignements personnels pour le compte d’une autre organisation et agit ainsi comme une organisation qui a la « gestion » de ceux-ci.

De plus, une organisation qui traite des renseignements personnels pour le compte d’une autre organisation a toujours des obligations en vertu de la Loi à l’égard des renseignements personnels en sa possession ou sous sa garde, et à titre d’organisation qui recueille, utilise ou divulgue des renseignements personnels dans le cadre de ses activités commerciales ^{Note de bas de page 1}.

Que signifie l’expression risque réel de préjudice grave (RRPG)?

Le préjudice grave comprend la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles.

Parmi les facteurs pertinents pour déterminer si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave , on retrouve le degré de sensibilité des renseignements personnels en cause  dans l’atteinte aux mesures de sécurité et la probabilité que ceux-ci aient été mal utilisés ou soient en train ou sur le point de l’être.

Pour obtenir plus de détails à ce sujet et découvrir comment évaluer si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave et doit être signalée.

Avez-vous un formulaire que je peux utiliser pour déclarer l’une de ces atteintes?

Oui. Vous pouvez accéder au Formulaire : Rapport d’atteinte à la LPRPDE.

Est-ce que je peux ajouter de nouveaux renseignements à un rapport déjà envoyé?

Oui. Si vous prenez connaissance de nouveaux renseignements, vous pouvez les déclarer.

Partie 2 – Soumettre un rapport d’atteinte au Commissariat

Qu’est-ce que je dois inclure dans un rapport au Commissariat?

Nous avons des directives précises sur ce qui doit être inclus dans un rapport et sur la façon de déposer les rapports.

Partie 3 – Vous devez conserver un registre de toutes les atteintes

Qui doit tenir un registre?

La loi exige qu’une organisation tienne et conserve un registre de toutes les atteintes aux mesures de sécurité touchant les renseignements personnels dont elle a la responsabilité. Par conséquent, l’obligation de tenir ce registre revient à une organisation qui a la gestion des renseignements personnels visés par l’atteinte.

Pour obtenir plus d’information sur cette responsabilité, reportez-vous à la partie 1 du présent document d’orientation.

Quels documents dois-je conserver?

La LPRPDE exige que vous conserviez un registre de toutes les atteintes à la sécurité des renseignements personnels que vous gérez, qu’il y ait un risque réel de préjudice grave ou non.

Autrement dit  – chaque atteinte aux mesures de sécurité doit être consignée.

Que doit contenir un registre?

Les registres doivent contenir tout renseignement permettant au Commissariat de vérifier la conformité aux obligations en matière de déclaration et de notification des atteintes aux mesures de sécurité prévues aux paragraphes 10.1(1) et (3) de la LPRPDE, y compris les exigences relatives à l’évaluation du risque réel de préjudice grave.

Nous nous attendons au minimum à ce qu’un registre contienne ce qui suit :

• la date ou la date estimée de l’atteinte;
• une description générale des circonstances de l’atteinte;
• la nature des renseignements concernés par l’atteinte;
• si l’atteinte a été déclarée ou non au Commissariat à la protection de la vie privée du Canada et si les individus concernés ont été avisés;

Le registre devrait également contenir suffisamment de détails pour permettre au Commissariat à la protection de la vie privée du Canada d’évaluer si une organisation a dûment appliqué la norme du risque réel de préjudice grave et, par ailleurs, s’est acquittée de son obligation de déclarer les atteintes qui présentent un risque réel de préjudice grave et d’aviser les individus concernés . Cela pourrait comprendre une brève explication des raisons pour lesquelles l’organisation a déterminé qu’il n’y avait pas de risque réel de préjudice grave dans les cas où l’organisation n’a pas déclaré l’atteinte au Commissaire à la protection de la vie privée et n’a pas avisé les individus concernés.

Est-ce que les registres doivent contenir des renseignements personnels à propos des gens?

Les registres devraient décrire la nature ou le type de renseignements concernés par l’atteinte aux mesures de sécurité, mais ils n’ont pas besoin d’inclure des détails personnels, à moins qu’ils ne soient nécessaires pour expliquer la nature et le degré de sensibilité des renseignements.

Pendant combien de temps dois-je conserver les dossiers?

La loi exige que vous conserviez les registres sur toutes les atteintes aux mesures de sécurité pendant deux ans.

Il se peut que vous ayez d’autres obligations juridiques nécessitant que vous les conserviez plus longtemps.

Partie 4 – Quand et comment aviser les individus

Qui doit aviser les intéressés?

L’organisation est tenue d’aviser la personne concernée de toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels la concernant et dont elle a la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à son endroit. Par conséquent, l’obligation d’aviser les personnes concernées de toute atteinte revient à toute organisation qui gère les renseignements personnels visés par l’atteinte.

Pour obtenir plus d’information sur cette responsabilité, reportez-vous à la partie 1 du présent document d’orientation.

À quel moment dois-je aviser les individus?

À moins que la loi ne l’interdise, chaque fois que vous déterminez qu’une atteinte aux mesures de sécurité présente un risque réel de préjudice grave pour un individu, vous devez aviser la ou les personnes concernées. L’avis doit être apparent et il doit être donné directement à l’individu, sauf en certaines circonstances prévues au Règlement lorsque l’avis indirect est permis.

La loi prévoit que l’avis aux intéressés doit être remis dès que possible après que vous avez déterminé qu’une atteinte aux mesures de sécurité impliquant un risque réel de préjudice grave a eu lieu.

Que dois-je inclure dans les avis aux intéressés?

L’avis doit comprendre suffisamment d’information pour permettre à l’intéressé de comprendre l’importance de l’atteinte aux mesures de sécurité et de prendre, si cela est possible, des mesures pour réduire le risque de préjudice qui pourrait en résulter ou pour atténuer un tel préjudice.

Aussi, on veillera à éviter les formules trop juridiques et à faire en sorte que l’avis soit facile à comprendre.

L’avis doit comprendre les renseignements suivants précisés dans le Règlement :

• les circonstances de l’atteinte;
• la date ou la période où il y a eu atteinte ou, si elle n’est pas connue, une approximation de la période;
• la nature des renseignements personnels visés par l’atteinte, pour autant qu’elle soit connue;
• les mesures que l’organisation a prises afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte;
• les mesures que peut prendre tout intéressé afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice;
• les coordonnées permettant à l’intéressé de se renseigner davantage au sujet de l’atteinte.

Qu’est-ce qu’un avis direct?

Un avis direct est un avis donné directement à l’intéressé en personne, par téléphone, par courrier, par courriel ou par tout autre moyen de communication qu’une personne raisonnable estimerait acceptable dans les circonstances.

Dans quelles circonstances puis-je aviser les intéressés indirectement?

Il est possible d’aviser indirectement une personne intéressée dans certaines circonstances :

• lorsque le fait de donner l’avis directement est susceptible de causer un préjudice accru à l’intéressé;
• lorsque le fait de donner l’avis directement est susceptible de représenter une difficulté excessive pour l’organisation;
• lorsque l’organisation n’a pas les coordonnées de l’intéressé.

Quels sont des exemples d’avis indirects?

Un avis indirect doit être donné par une communication publique ou par toute mesure semblable dont on peut raisonnablement s’attendre à ce qu’elle permette de joindre l’intéressé.

Cela peut comprendre des annonces publiques, comme des avis dans les journaux en ligne ou en format papier.

Nous vous conseillons d’utiliser une méthode susceptible de joindre les intéressées. Par exemple, une mention dans un blogue d’entreprise pourrait ne pas avoir la portée d’une campagne d’affichage publique importante portant spécifiquement sur l’atteinte.

Pour l’avis indirect relatif à une atteinte, vous pourriez envisager des mesures utilisées pour d’autres annonces publiques. Par exemple, intégrer des messages dans les médias, y compris un avis important affiché sur votre site Web, ou sur une autre présence en ligne/numérique.

Partie 5 – Avis aux organisations

Qu’est-ce que cela signifie?

L’organisation qui avise un intéressé d’une atteinte aux mesures de sécurité qui présente un risque réel de préjudice grave doit également aviser toute autre organisation ou institution gouvernementale qui, selon elle, est en mesure de réduire le risque de préjudice qui pourrait découler de l’atteinte ou qui pourrait atténuer un tel préjudice.

Quels sont des exemples?

Bien que chaque exemple dépende de circonstances précises, ils pourraient comprendre les suivants :

• Aviser un organisme chargé de l’application de la loi lorsque votre système informatique a subi une attaque et que des acteurs malveillants auraient pu avoir accès aux renseignements de vos clients, si vous pensez qu’un organisme chargé de l’application de la loi pourrait être en mesure de réduire le risque de préjudice qui pourrait découler de l’atteinte ou d’atténuer le préjudice.
• Aviser l’organisation qui traite vos paiements, dans le cas d’une atteinte touchant les renseignements sur la carte de paiement d’une personne, si vous pensez que l’organisation peut être en mesure de réduire le risque de préjudice qui pourrait découler de l’atteinte ou d’atténuer le préjudice.

Partie 6 – Évaluer le risque réel de préjudice grave

En tant qu’organisation responsable, vous devriez élaborer un cadre permettant d’évaluer le risque réel de préjudice grave. De cette façon, toutes les atteintes seront évaluées de façon uniforme.

Les éléments servant à établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave à l’endroit de l’intéressé incluent :

• le degré de sensibilité des renseignements personnels en cause;
• la probabilité que les renseignements personnels aient été mal utilisés ou soient en train ou sur le point de l’être.

Dans le cadre de votre évaluation, vous tiendrez compte de ce qui suit :

1. Sensibilité :
   • La LPRPDE ne définit pas le terme « sensibilité ». Toutefois, le concept de la sensibilité des renseignements personnels est abordé au principe 4.3.4 de la LPRPDE, lequel stipule ce qui suit :
     
     

     « Si certains renseignements sont presque toujours considérés comme sensibles, par exemple les dossiers médicaux et le revenu, tous les renseignements peuvent devenir sensibles suivant le contexte. Par exemple, les nom et adresse des abonnés d’une revue d’information ne seront généralement pas considérés comme des renseignements sensibles. Toutefois, les nom et adresse des abonnés de certains périodiques spécialisés pourront l’être. »

   • À la suite d’une atteinte, pour déterminer le caractère sensible, il est donc important d’examiner à la fois les renseignements personnels qui font l’objet de l’atteinte et les circonstances de l’incident.
   • En plus des renseignements sur la santé et des renseignements financiers, certaines catégories de renseignements seront généralement considérées comme sensibles en raison des risques particuliers pour les personnes qui sont associés à la collecte, à l’utilisation ou à la communication de ces renseignements. Cela comprend notamment les renseignements sur les origines ethniques et raciales, les opinions politiques, la vie sexuelle ou l’orientation sexuelle et les croyances religieuses ou philosophiques, ainsi que les données génétiques et biométriques.
   • Certains renseignements peuvent, à leur face même, être clairement sensibles, alors que d’autres ne le sont pas.
   • Les circonstances de l’atteinte peuvent rendre les renseignements plus ou moins sensibles. Le préjudice potentiel que pourrait subir une personne est aussi un facteur important.
2. Probabilité d’un mauvais usage :
   
   Voici quelques questions à garder en tête :
   • Qu’est-il arrivé et quels sont les risques qu’une personne subisse un préjudice en raison de l’atteinte?
   • Qui a, en fait, eu accès aux renseignements personnels ou aurait pu y avoir accès?
   • Depuis combien de temps les renseignements personnels ont-ils été exposés?
   • L’intention malveillante a-t-elle été démontrée (p. ex., vol, piratage)?
   • Un certain nombre de renseignements personnels font-ils l’objet de l’atteinte, élevant ainsi le risque d’un mauvais usage?
   • Les renseignements faisant l’objet de l’atteinte sont-ils en soi entre les mains d’une personne ou d’une entité qui représente un risque pour la réputation de la personne intéressée (p. ex., un ex-conjoint ou un patron, en fonction de circonstances précises)?
   • Les renseignements ont-ils été exposés à des entités restreintes/connues qui se sont engagées à détruire et à ne pas divulguer les données?
   • Les renseignements ont-ils été exposés à des personnes ou à des entités peu susceptibles de partager les renseignements d’une façon qui causerait un préjudice (p. ex., dans le cas d’une divulgation accidentelle à des personnes auxquelles ils ne sont pas destinés)?
   • Les renseignements ont-ils été exposés à des personnes ou à des entités inconnues, ou à un grand nombre de personnes, alors que certaines personnes pourraient utiliser ou partager les renseignements d’une façon qui pourrait causer un préjudice?
   • Est-il connu que les renseignements ont été exposés à des personnes ou à des entités qui sont susceptibles de tenter de les utiliser pour causer un préjudice (p. ex., voleurs de renseignements)?
   • Un préjudice s’est-il matérialisé (démonstration du mauvais usage)?
   • Les renseignements ont-ils été perdus, consultés de manière inappropriée ou volés?
   • Les renseignements personnels ont-ils été récupérés?
   • Les renseignements personnels sont-ils cryptés adéquatement, anonymisés ou autrement difficiles d’accès?