Document de discussion touchant au règlement sur la notification et la déclaration des atteintes à la protection des données

Soumission à l'intention d’Innovation, Sciences et Développement économique Canada

Le 10 juin 2016

Monsieur John Clare, directeur
Direction de la politique sur la sécurité et la protection des renseignements personnels
Innovation, Sciences et Développement économique Canada
235, rue Queen
Ottawa (Ontario) K1A 0H5

Monsieur,

J’ai le plaisir de présenter le point de vue du Commissariat à la protection de la vie privée du Canada sur certains éléments des exigences de notification et de déclaration des atteintes à la protection des données imposées par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) qui pourraient être prévus dans le règlement.

Lors de sa comparution devant le Comité permanent de l’industrie, des sciences et de la technologie (INDU) de la Chambre des communes, Daniel Therrien, commissaire à la protection de la vie privée du Canada, s’est dit en faveur des nouvelles mesures. Il a alors indiqué que la notification obligatoire des atteintes à la protection des données rehaussera la transparence et l’imputabilité dans la gestion des renseignements personnels par le secteur privé.

Nous vous remercions de nous offrir la possibilité d’exprimer notre point de vue sur d’importantes dispositions réglementaires, en particulier à la lumière de notre fonction de supervision et de notre rôle dans l’élaboration de documents d’orientation à l’intention des organisations. Dans la mesure où ce sera nécessaire, le Commissariat élaborera des lignes directrices sur les mesures à prendre en cas d’atteinte à la protection des données. Ces lignes directrices s’ajouteront aux paramètres définis dans le règlement et aideront les organisations à s’acquitter des nouvelles responsabilités leur incombant en vertu de la LPRPDE.

Risque réel de préjudice grave

L’analyse que doivent effectuer les organisations pour déterminer si une atteinte aux mesures de sécurité comporte un risque réel de préjudice grave est au cœur des nouvelles exigences de la LPRPDE en matière de déclaration et de notification. Le Commissariat reconnaît qu’Innovation, Sciences et Développement économique Canada (ISDE) pourrait souhaiter donner aux organisations, en particulier aux petites et moyennes entreprises, une plus grande certitude quant aux facteurs qui sont pertinents dans le cadre de cette évaluation. Toutefois, nous constatons que les facteurs énoncés au paragraphe 10.1(8) de la Loi regroupent déjà les éléments clés que les organisations devraient examiner au moment d’évaluer les risques. S’il s’avère nécessaire de tenir compte d’autres facteurs à mesure que nous acquérons de l’expérience avec les notifications, ceux-ci pourraient être mentionnés dans les documents d’orientation du Commissariat ou, au besoin, le règlement pourrait être modifié.

À cette fin, nous proposons que des documents d’orientation du Commissariat apportent une aide supplémentaire aux organisations pour la conduite des évaluations des risques.

Dans le document de consultation, ISDE demande si le règlement devrait préciser que le risque d’atteinte à la protection des données est présumé faible lorsqu’une méthode appropriée de chiffrement a été utilisée. En outre, ISDE sollicite des commentaires sur la façon dont il faudrait définir ce qu’est un niveau de protection approprié. Le Commissariat est d’avis que l’utilisation appropriée du chiffrement peut, en effet, faire partie d’un large éventail de considérations lors de l’évaluation de la probabilité que les renseignements personnels « aient été mal utilisés ou soient en train ou sur le point de l’être ».

Dans cette perspective, le recours à un chiffrement approprié permet de réduire considérablement le risque de préjudice associé à la perte ou au vol de renseignements personnels ou à un accès inapproprié à ces donnéesNote de bas de page 1. Cependant, même si un chiffrement approprié joue un rôle important dans la réduction ou l’élimination du risque de préjudice associé à une atteinte, d’autres considérations peuvent influer sur son efficacité.

Par exemple, comme les algorithmes évoluent, des normes de chiffrement jugées rigoureuses pourraient finir par rendre possible le déchiffrement. Par ailleurs, il se peut que le système de gestion des clés d’une organisation soit piraté. Dans les deux cas, les renseignements personnels pourraient alors être facilement déchiffrésNote de bas de page 2.

Nous reconnaissons par ailleurs que les organisations ne disposent pas forcément toutes des systèmes, des ressources ou de la capacité nécessaires pour schématiser toutes les vulnérabilités et tous les risques ou être en mesure de les atténuer efficacement grâce au chiffrement. Elles pourraient ne pas être en mesure de confirmer que l’information n’a pas été rendue inutilisable, illisible ou indéchiffrable ou même ne pas savoir si une clé a été piratée. Dans ces circonstances, on ne devrait pas considérer que le chiffrement est synonyme de risque faible pour les personnes.

Déclarations au commissaire à la protection de la vie privée du Canada

Les déclarations au commissaire représenteront une fonction essentielle à l’appui de ses responsabilités de supervision, pour ce qui est de la façon dont les organisations interviennent en cas d’atteinte. Par conséquent, ces déclarations devraient fournir assez d’information pour permettre au Commissariat de déterminer efficacement si les organisations avisent les personnes de manière appropriée ou non et si elles appliquent ou non des mesures appropriées pour circonscrire les atteintes, atténuer le risque de préjudice pour les personnes et prévenir de futures atteintes de nature similaire. Le contenu des déclarations devrait également aider à déceler les points faibles systémiques en matière de sécurité et de traitement des renseignements et à y remédier.

À cette fin, nous proposons d’inclure les éléments suivants dans les déclarations au commissaire :

  • le nom de l’organisation responsable;
  • les coordonnées d’une personne qui peut répondre aux questions au nom de l’organisation;
  • une description des circonstances connues dans lesquelles l’atteinte a eu lieu, y compris :
    • le nombre estimatif de personnes touchées;
    • une description des renseignements personnels en jeu;
    • la date de l’atteinte, si elle est connue, ou encore la date ou la période estimative où l’on croit que l’atteinte a eu lieu;
    • une liste des autres organisations mises en cause dans l’atteinte, y compris les sociétés affiliées et les organisations tierces chargées du traitement;
  • une évaluation du risque de préjudice pour les personnes à la suite de l’atteinte;
  • une description de toutes les mesures prévues ou déjà prises pour aviser les personnes touchées, y compris :
    • la date de la notification ou le moment de la notification prévue;
    • le fait que la notification a été ou sera donnée directement ou indirectement et, le cas échéant, l’information justifiant une notification indirecte;
    • une copie du texte ou du script de la notification;
  • une liste ou une description des organisations tierces qui ont été avisées de l’atteinte, conformément au paragraphe 10.2(1) de la LPRPDE, ainsi que des autorités chargées de l’application des lois sur la protection de la vie privée relevant d’autres autorités publiques;
  • une description des mesures d’atténuation qui ont été ou seront prises pour circonscrire l’atteinte et réduire ou maîtriser le risque de préjudice pour les personnes touchées;
  • une description des mesures de sécurité pertinentes mises en place par l’organisation, y compris les améliorations qu’elle a apportées ou convenu d’apporter, pour assurer une protection contre le risque d’une atteinte similaire à l’avenir.

Vous remarquerez ci-dessus que nous proposons d’inclure dans les déclarations au commissaire un résumé de l’évaluation des risques effectuée par l’organisation. En plus du bénéfice que retirent les organisations en rendant compte de cette évaluation, l’information pourrait s’avérer utile au Commissariat pour déterminer si les organisations font des déclarations excessives et si elles surestiment le risque de préjudice associé à certaines atteintes. Cette description pourrait également aider le Commissariat à élaborer par la suite des documents d’orientation complémentaires à cet égard.

Nous recommandons également d’exiger que les déclarations au commissaire se fassent par écrit, tout en laissant aux organisations le choix de décider si elles les présenteront sur support
électronique ou papier. En outre, les organisations devraient non seulement déployer tous les efforts requis afin que le contenu des déclarations initiales transmises au Commissariat soit complet et exact, mais aussi fournir dès que possible de l’information à jour et des addenda aux déclarations lorsque des données importantes figurant dans la déclaration initiale ont été modifiées ou jugées inexactes ou incomplètes.

Notification aux intéressés

En imposant des exigences supplémentaires concernant le contenu des notifications aux intéressés, on assurerait une clarté et une certitude importantes quant au type d’information que les organisations doivent leur communiquer. Grâce à cette information supplémentaire, les personnes pourront mieux comprendre ce que l’atteinte signifie pour elles et réduire ou atténuer le risque de préjudice.

Le document du Commissariat intitulé Principales étapes à suivre par les organisations en cas d’atteintes à la vie privée, renferme une liste complète des éléments à inclure dans les notifications aux intéressés, et s’est révélé efficace pour garantir qu’ils reçoivent bien l’information nécessaire concernant les atteintes. Conformément à ce document, nous tenons aussi à souligner que le contenu des notifications devrait pouvoir varier en fonction de l’atteinte en cause et de la méthode de notification choisie. En nous inspirant de ce documentNote de bas de page 3, nous proposons que le règlement précise les éléments suivants :

  • une description des circonstances dans lesquelles l’atteinte a eu lieu;
  • la date de l’atteinte, si elle est connue, ou encore la date ou la période estimative où l’on croit que l’atteinte a eu lieu;
  • une description des renseignements personnels en jeu;
  • une description des mesures prises par l’organisation pour limiter ou réduire le préjudice;
  • les mesures que peut prendre la personne pour réduire le préjudice ou atténuer davantage le risque de préjudice;
  • les coordonnées d’une personne qui peut répondre au nom de l’organisation aux questions concernant l’atteinte;
  •  de l’information sur le droit de recours et le processus de plainte sous le régime de la LPRPDE.

Les organisations devraient être autorisées à utiliser diverses méthodes de communication pour aviser directement les personnes, y compris une discussion en personne, un appel téléphonique, un courriel ou une lettre envoyée par la poste, selon les circonstances. Le règlement devrait être technologiquement neutre, de sorte que d’autres moyens de communication numériques efficaces, y compris ceux qui pourraient être mis au point à l’avenir, puissent aussi être utilisés. Les méthodes employées doivent être documentées, vérifiables, et la notification devrait être formulée dans un langage clair de sorte qu’une personne puisse raisonnablement comprendre l’information fournie.

Que ce soit dans le contenu de la notification proprement dite ou en sélectionnant la ou les méthodes de notification, les organisations devraient veiller à ne pas accroître le risque de préjudice pour la personne touchée par l’atteinte.

Le document de consultation vise notamment à déterminer si le règlement devrait imposer des exigences précises afin que les notifications soient bien en vue et distinctes des autres communications. Compte tenu de la variété des méthodes pouvant être utilisées pour aviser les intéressés et du fait que le contexte revêt une importance particulière dans ces communications, nous estimons qu’il serait préférable de donner de l’information détaillée dans un document d’orientation afin que les organisations sachent comment s’assurer que les notifications sont bien en vue et les concevoir de manière à attirer l’attention.

Notification indirecte

Le Commissariat propose que les organisations soient autorisées à aviser les intéressés de manière indirecte uniquement dans des circonstances particulières:

  • lorsque la notification directe est susceptible de causer un préjudice supplémentaire injustifié, par exemple lorsque l’on risquerait ainsi de faire savoir à d’autres personnes, comme les membres de sa famille, que la personne concernée a fait l’achat d’un produit ou a eu accès à un service, alors qu’elle souhaiterait que cette information demeure confidentielle;
  • lorsqu’une notification directe individuelle de chaque personne touchée entraînerait des coûts prohibitifs pour l’organisation et pourrait nuire à ses activités de façon déraisonnable;
  • lorsque l’organisation ne connaît pas les coordonnées des personnes concernées, par exemple lorsque leurs coordonnées ne sont pas disponibles ou qu’elles sont désuètes, incomplètes ou inexactes.

Lorsque les organisations ont démontré qu’elles pourraient dûment avoir recours à une notification indirecte, elles devraient avoir la latitude voulue pour choisir la façon d’aviser indirectement les personnes touchées. Comme les façons de les aviser indirectement dépendent largement du contexte, nous recommandons de n’imposer aucune méthode particulière à cet égard. Il faudrait plutôt assurer une certaine flexibilité en ce qui a trait aux méthodes utilisées afin que l’information atteigne bien les destinataires. À cette fin, nous croyons que les organisations pourraient recourir à la fois à la notification directe et à la notification indirecte aux intéressés. 

Nous proposons de préciser plusieurs caractéristiques fonctionnelles pour aider les organisations à renforcer la probabilité que les personnes touchées reçoivent une notification indirecte. Par exemple :

  • La méthode utilisée devrait refléter le marché géographique des activités commerciales de l’organisation ainsi que la répartition géographique des personnes concernées.
  • La méthode devrait aussi être adaptée au type de produit ou de service fourni par l’organisation et convenir à la nature de l’interaction entre l’organisation et de la personne.
  • La notification devrait être affichée pendant une période suffisamment longue et être formulée dans un langage clair et simple de sorte qu’une personne puisse raisonnablement comprendre l’information fournie.
  • Le règlement devrait permettre, dans certaines circonstances, une notification indirecte par l’intermédiaire d’un tuteur ou d’un représentant autorisé, s’il y a lieu.
  • Il faudrait aussi envisager la possibilité d’autoriser les organisations à recourir à un tiers pour donner une notification en leur nom, à la condition que des mesures soient prises afin qu’elles demeurent responsables de la notification et que toute communication ou utilisation des renseignements personnels nécessaires à la notification soit conforme à la Loi.

Notification à des tierces parties

Sous sa forme actuelle, le paragraphe 10.1(2) a une portée suffisamment large pour permettre qu’un éventail adéquat d’organisations tierces soient avisées, à l’appui des objectifs stratégiques de la mesure.

Nous ne proposons pas d’imposer d’autres conditions pour obliger les organisations à aviser les tierces parties des atteintes. En tant que loi protégeant les renseignements personnels, la LPRPDE ne rend pas obligatoire la communication. Au contraire, elle est de nature permissive.

Tenue de registres

La nouvelle exigence concernant la tenue de registres donnera au Commissariat un aperçu fort utile de la façon dont les organisations interviennent en cas d’atteinte aux mesures de sécurité. Comme l’indique le document de consultation d’ISDE, « cela permettra au commissaire de surveiller la conformité aux exigences de signalement et de notification énoncées à l’article 10.1 de la Loi ».

Dans sa déclaration d’ouverture devant le Comité permanent de l’industrie, des sciences et de la technologie (INDU) de la Chambre des communes concernant le projet de loi S-4, Loi sur la protection des renseignements personnels numériques, le commissaire Therrien a souligné le rôle important que devrait jouer la nouvelle exigence relative à la tenue de registres. En particulier, il a souligné que le fait d’« astreindre les organisations à tenir un registre des atteintes et à en fournir sur demande une copie à [son] bureau conférera au Commissariat un important rôle de supervision quant au degré auquel les organisations se conforment à l’obligation de communiquer des avis ».

À cette fin, les registres tenus et mis à jour par les organisations devraient inclure assez d’information pour faire la preuve de la conformité aux nouvelles exigences de la LPRPDE en matière de notification et pour permettre au Commissariat d’exercer efficacement son rôle de supervision. Le contenu de ces registres devrait aussi aider le Commissariat à comprendre le processus utilisé par les organisations pour déterminer si elles aviseront ou non les personnes touchées.

Par conséquent, nous estimons que les éléments d’information suivants devraient figurer dans les registres des atteintes à la protection des données :

  • la date ou la date approximative de l’atteinte;
  • une description générale des circonstances dans lesquelles l’atteinte a eu lieu;
  • la nature des renseignements en jeu;
  • un résumé et la conclusion de l’évaluation des risques effectuée par l’organisation pour décider de donner ou non une notification ou bien de déclarer ou non l’atteinte.

Signalons que les registres ne devraient pas renfermer de renseignements personnels.

Toutes les atteintes à la protection des données, y compris celles déclarées au Commissariat, devraient être documentées et consignées au cas par cas, et non de manière regroupée. En ce qui concerne la conservation, nous proposons que les registres soient conservés pendant cinq ans à compter de la date de création, après quoi ils pourraient être détruits, sauf s’ils font l’objet d’une enquête du commissaire, d’une vérification ou d’un accord de conformité ou si le dossier fait l’objet d’une audience devant la Cour fédérale.

Dans le document de consultation, ISDE demande si le règlement devrait préciser que l’obligation de tenir un registre des atteintes à la protection des données s’applique uniquement aux atteintes à la protection des données dont l’organisation a vraiment eu connaissance. À notre avis, cette démarche ne serait pas nécessaire et peut, en fait, susciter certains risques. En agissant ainsi, les organisations risquent de ne pas mettre en place de mesures pour détecter et évaluer les atteintes. Elles pourraient également être amenées à entreprendre des mesures ou des discussions superflues avec le Commissariat pour déterminer si l’organisation était au courant ou non de l’atteinte.

Autres sujets

En réponse à l’intérêt manifesté par ISDE, qui souhaite être informé de toute autre question à considérer dans l’élaboration du règlement, le Commissariat lui propose d’examiner et de prendre en compte les situations où les personnes touchées résident à l’étranger. Étant donné que l’activité commerciale ne connaît aucune frontière, en particulier dans le monde en ligne, les organisations assujetties à la LPRPDE peuvent recueillir des renseignements personnels se rapportant à des personnes qui résident à l’étranger. De façon générale, la Loi oblige les organisations à protéger les renseignements personnels qu’elles détiennent concernant toutes les personnes, quel que soit leur lieu de résidence. Par conséquent, les exigences de notification et de déclaration des atteintes à la protection des données devraient prendre en compte la mesure dans laquelle les organisations peuvent être tenues d’aviser des personnes à l’étranger susceptibles d’être touchées par une atteinte à la protection des données mettant en cause une organisation assujettie à la LPRPDE. Le règlement devrait donc être formulé de manière à ne créer aucun obstacle aux notifications transfrontalières qui pourraient être requises et à ne pas interdire ces notifications. Nous ne recommandons pas d’en faire une exigence en vertu du règlement, mais nous conseillons généralement aux organisations de prendre en considération les lois sur la notification des atteintes à la protection des données en vigueur dans le pays visé lorsqu’elles savent que des personnes touchées par une atteinte aux mesures de sécurité résident à l’étranger. Les organisations devraient également envisager d’aviser les autorités chargées de l’application des lois sur la protection de la vie privée dans ces pays, lorsque cela est possible et faisable.

De plus, même si la notification vise à permettre aux personnes touchées de comprendre l’incidence que l’atteinte peut avoir sur elles pour prendre des mesures afin de réduire le risque de préjudice ou d’atténuer le préjudice, l’emploi de langues différentes peut poser problème dans certains cas. Il peut être raisonnable d’exiger que la notification aux personnes touchées dans d’autres pays soit donnée dans la langue utilisée au cours de leurs interactions avec les organisations.

Enfin, nous constatons que le document de consultation indique que les nouvelles exigences applicables en cas d’atteinte à la protection des données entreront en vigueur lorsque le gouvernement aura adopté le règlement définitif. Au moment où vous élaborerez le règlement et y mettrez la dernière main, nous serons prêts à élaborer des lignes directrices qui s’ajouteront à son contenu et apporteront aux organisations une aide supplémentaire à l’appui de la conformité.

Nous sommes impatients de collaborer avec ISDE et d’autres intervenants à l’élaboration de ces lignes directrices.

Nous vous prions d’agréer, Monsieur, l’expression de notre haute considération.

La directrice des Politiques et de la recherche,
Commissariat à la protection de la vie privée du Canada

Original signé par

Barbara Bucknell

Date de modification :