Sondage d'opinion publique

Supports de substitution

Table des matières

1. Sommaire

2.Déclaration volontaire

3. Déclaration obligatoire

4. Programmes de gestion de la protection de la vie privée-

5. Examen des statistiques du CPVP relatives à la déclaration des cas d’atteinte à la protection des renseignements personnels

Annexe A - Méthodologie

Annexe B - Présentation

Annexe C - Enquête

Annexe D - Lettre de Terry McQuay, président, Nymity Inc.

Recherche sur la déclaration des incidents au CPVP

Rapport au Commissariat à la protection de la vie privée du Canada

Nymity Inc.

Juillet 2010


1. Sommaire

1.1 Contexte

Depuis près de deux ans maintenant, le Commissariat à la protection de la vie privée du Canada (CPVP) encourage les organisations du secteur privé qui ont subi une atteinte à la sécurité des renseignements personnels qu’elles conservent à lui déclarer de tels incidents. Ce régime de déclaration volontaire a été expliqué en détail dans des lignes directrices publiées par le CPVP en août 2007 intitulées « Principales étapes à suivre par les organisations en cas d'atteintes à la vie privéeNote de bas de page 1 » (les Lignes directrices). À l’étape 3 : Notification, section (iv) Autres personnes à notifier, les Lignes directrices présentent les détails relatifs à la déclaration et énonce que « les organisations sont priées d’informer le(s) commissaire(s) à la protection de la vie privée approprié(s) des cas concrets d'atteinte à la vie privée. »

Les Lignes directrices présentent un certain nombre d’éléments dont doivent tenir compte les organisations lorsqu’elles déterminent s’il s’agit d’une atteinte importante à la protection des renseignements personnels, qui est donc assujettie aux directives sur la déclaration volontaire. Ces éléments comprennent les suivants :

  • toute loi applicable pouvant exiger le signalement;
  • les renseignements personnels en cause sont-ils visés par une loi en matière de protection des renseignements personnels;
  • le type de renseignements personnels en cause, y compris ce qui suit :
    • les renseignements communiqués peuvent-ils être utilisés pour commettre un vol d’identité;
    • y a-t-il un risque raisonnable de préjudice découlant de l’atteinte à la protection des données, y compris des pertes non financières;
  • le nombre de personnes concernées par l’atteinte;
  • les personnes concernées ont-elles été avisées;
  • peut-on s’attendre raisonnablement à ce que le Commissariat à la protection de la vie privée reçoive des plaintes ou des demandes de renseignements concernant l’atteinte à la protection des renseignements personnels.

Dans les Lignes directrices, le CPVP a souligné qu’il encourageait les organisations à déclarer les cas d’atteinte à la protection des renseignements personnels en vue de ce qui suit :

  • aider le CPVP à répondre aux demandes de renseignements du public et à toute plainte éventuelle;
  • permettre au CPVP de fournir aux organisations des conseils utiles pour faire face à ces situations.

1.2 Objectif de l’étude

Le CPVP a lancé le projet de recherche sur la déclaration des incidents au CPVP en vue de comprendre les obstacles qui nuisent à la déclaration des cas d’atteinte à la protection des renseignements personnels au CPVP dans le cadre de l’actuel régime de déclaration volontaire de même que de comprendre les conséquences possibles des modifications proposées à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) visant la déclaration obligatoire des atteintes à la protection des renseignements personnels par les organisations assujetties à la LPRPDE.

Au cours de la période du 1er janvier 2006 au 31 décembre 2008, le CPVP a enregistré un total de 136 cas d’atteinte à la protection des renseignements personnels. De ce nombre, 113Note de bas de page 2 incidents (83,1 %) avaient été déclarés volontairement par les organisations responsables. Un des objectifs du présent projet de recherche consiste à déterminer si le nombre d’incidents en matière d’atteinte à la protection des renseignements personnels était représentatif du nombre de cas survenus au sein des entreprises du secteur privé ou si celles-ci hésitaient à déclarer les atteintes importantes à la protection des renseignements personnels, ce qui ferait en sorte qu’un nombre important d’entre eux ne seraient pas déclarés au CPVP.

1.3 Principales conclusions

Déclaration volontaire

Les organisations du secteur privé ont une bonne connaissance des Lignes directrices émises par le CPVP. Presque tous les répondants étaient au courant des visées et du contenu des Lignes directrices, et leurs connaissances étaient particulièrement apparentes lorsque les organisations décrivaient leur processus de déclaration des cas d’atteinte à la protection des renseignements personnels. De nombreuses organisations ont structuré leurs processus en fonction des Lignes directrices du CPVP et, lorsqu’on leur demandait quels éléments étaient pris en compte en vue de déterminer si une atteinte à la protection des renseignements personnels devait être déclarée, la majorité d’entre eux faisaient référence aux éléments désignés dans les Lignes directrices.

L’erreur humaine est une cause fondamentale sous-jacente de nombreux incidents où il y a eu atteinte à la protection des renseignements personnels déclarés par les répondants à l’enquête. Toutefois, les « failles » du système comme la mise sous pli, l’accès inapproprié par les employés et le matériel perdu étaient également cités à titre de sources d’incidents.

Lorsqu’on leur a demandé comment ils abordaient un incident relatif à la protection des renseignements personnels et la décision de le déclarer ou non au CPVP, la majorité des répondants ont cité mot à mot les éléments à prendre en compte énoncés dans les Lignes directrices du CPVP. Lorsqu’elles décidaient de déclarer ou non les incidents, les organisations prenaient habituellement compte des éléments clés que sont le degré de sensibilité des renseignements touchés, le nombre de personnes affectées et la possibilité que l’atteinte à la protection des renseignements personnels soit connue du public, que ce soit par l’entremise d’une plainte au CPVP ou des médias.

Les organisations font preuve d’une grande acceptation du régime actuel de déclaration volontaire du CPVP et, au cours de nos entrevues, nous n’avons pas senti de résistance à la déclaration. Le défi pour les organisations réside dans la détermination de la façon dont les éléments à prendre en compte sont liés les uns aux autres. Les organisations souhaiteraient que les définitions soient clarifiées à l’aide d’exemples où le CPVP s’attendrait ou non à ce que les organisations déclarent un incident.

Afin d’encourager la déclaration dans le cadre d’un régime volontaire, les organisations demandent au CPVP de fournir des renseignements supplémentaires quant à la façon dont il utilise les renseignements reçus. Plus du quart des répondants étaient d’avis que le caractère volontaire de la déclaration faisait en sorte qu’elle ne devrait pas donner lieu à une enquête. Les organisations étaient également inquiètes de la publicité émanant de la déclaration et ont souligné que le nom de l’organisation ne devrait pas être publié, étant donné que la déclaration est volontaire.

Déclaration obligatoire

Bien que les organisations ne se soient pas opposées de manière significative à la déclaration des incidents au CPVP, le fait que celle-ci puisse devenir obligatoire a soulevé des inquiétudes. La préoccupation la plus commune avait trait aux pénalités possibles pouvant découler du défaut de déclarer lorsque les organisations sont tenues de le faire. Étant donné que la définition du mot « importante » contenue dans le cadre d’Industrie Canada exige toujours des organisations qu’elles tiennent compte d’un certain nombre d’éléments, une interprétation différente de ces éléments pourrait entraîner la non-conformité, ce qui pourrait mener à des pénalités. Dans ce contexte, près du tiers des répondants ont demandé au CPVP d’élaborer des documents d’interprétation plus précis afin d’aider les organisations à interpréter des expressions comme « degré de sensibilité des renseignements », « nombre d’individus touchés » et « préjudice grave ».

Les répondants ont également décrit certaines façons dont la mise en œuvre du régime de déclaration obligatoire pouvait toucher leur organisation. Beaucoup d’entre eux ont désigné des conséquences positives et négatives. Parmi les conséquences positives, un certain nombre de participants ont relevé le fait que la déclaration obligatoire pouvait centrer et améliorer leurs politiques et la prévention des atteintes à la protection des renseignements personnels. Parmi les conséquences négatives, près du quart des répondants ont souligné le fait que la déclaration obligatoire pouvait entraîner des dépenses supplémentaires (par exemple en raison du besoin d’affecter d’autres employés à l’unité de la protection de la vie privée ou du recours à un conseiller juridique afin d’aider à traiter des nouvelles exigences en matière de déclaration).

Parmi les répondants, 96 % ont rapporté qu’ils ne prévoyaient pas de changement important au nombre total de cas d’atteinte à la protection des renseignements personnels déclarés au CPVP en fonction du cadre d’Industrie Canada et de leur propre processus décisionnel fondé sur les Lignes directrices.

Lorsqu’on leur a demandé si la déclaration anonyme à un tiers aurait une incidence sur la décision de l’organisation de déclarer un incident lié à une atteinte à la protection des renseignements personnels, près de 60 % des répondants ont fait valoir qu’ils n’étaient pas en faveur d’une telle option et qu’ils préféraient faire une déclaration directe au CPVP.

Programmes de gestion de la protection de la vie privée

Jusqu’à présent, les entreprises n’ont en général pas pris de mesures précises pour se préparer à la déclaration obligatoire. La plupart des organisations semblent plutôt attendre que des mesures supplémentaires soient prises avant d’investir dans des ressources. La formation est de loin l’initiative la plus souvent mentionnée à titre de mesure à envisager si la déclaration devenait obligatoire. Un peu plus de la moitié des répondants ont fait valoir que leur organisation était dotée d’un protocole officiel et documenté en cas d’atteinte à la protection des renseignements personnels. L’autre moitié avait aussi une certaine forme de plan d’intervention en pareil cas, mais celui-ci était généralement plus officieux et se fondait souvent sur l’expérience et l’expertise du bureau ou du responsable de la protection de la vie privée. La plupart des participants à l’enquête, qu’ils soient dotés ou non d’un protocole documenté, se servaient de la structure des Lignes directrices comme outil pour intervenir en cas d’incident où il y avait atteinte à la protection des renseignements personnels.

Lorsqu’on demandait aux participants de noter la maturité globale de l’ensemble du programme de gestion de la protection de la vie privée de leur organisation sur une échelle de 1 à 10 (10 représentant une pleine maturité et un plan exhaustif), le plus grand groupe (33 %) a donné une note de 8-9 à son programme. Un second groupe de 33 % a accordé une note de 5-6 ou 6-7 à la maturité de leur programme de gestion de la protection de la vie privée. Les personnes ayant donné une note plus basse affirmaient généralement que des politiques de base étaient en place, que leur site Web affichait un avis de confidentialité et qu’elles avaient eu une certaine formation, mais admettaient sans détour qu’il restait beaucoup de travail à faire.

Les participants ont également commenté les initiatives mises en œuvre ou à l’étude en vue d’une mise en œuvre en 2010 et 2011. Près de 6 entreprises sur 10 (59 %) prévoyaient offrir de la formation et des programmes de sensibilisation supplémentaires au cours des deux prochaines années. Les autres initiatives les plus souvent mentionnées étaient les suivantes :

  • création ou mise à jour de politiques sur la conservation des données;
  • examen des contrats avec des tiers et vérification par des tiers;
  • application du cryptage;
  • vérification des pratiques actuelles et analyse des lacunes;
  • installation de logiciels de journalisation et de suivi;
  • création ou mise à jour de programmes généraux de gestion des dossiers;
  • protection des appareils mobiles.

2. Déclaration volontaire

La première partie de l’étude visait à déterminer la façon dont les organisations interagissaient avec les lignes directrices actuelles sur la déclaration volontaire des incidents. À titre de fondement pour le lancement du projet de recherche, le CPVP a remarqué que les données statistiques qu’il avait recueillies au sujet des incidents ne permettaient pas de déterminer si les organisations déclaraient toutes les atteintes importantes à la protection des renseignements personnels et si le nombre plutôt faible d’incidents déclarés était représentatif du nombre réel d’incidents. Subsidiairement, le petit nombre d’incidents déclarés pourrait signifier que les organisations canadiennes ne déclarent pas les incidents où il y a eu atteinte à la protection des renseignements personnels tandis que, dans les faits, leur nombre serait beaucoup plus élevé que ce que les chiffres laissent entendre. Le CPVP a souligné que les études américaines semblaient montrer que les entreprises des États-Unis étaient confrontées à un nombre de cas d’atteinte à la protection des renseignements personnels beaucoup plus élevé que celui déclaré par les entreprises canadiennes.

2.1 Sensibilisation

Question :

Est-ce que vous ou votre organisation connaissez les lignes directrices en place sur la déclaration volontaire des cas d’atteinte à la protection des renseignements personnels et la façon dont elles s’appliquent à votre organisation?

L’étude a permis de déterminer que les 27 organisations contactées connaissaient les Lignes directrices et leur contenu général. La grande majorité des répondants ont fait part d’une grande sensibilisation à l’égard des exigences des Lignes directrices du CPVP, bien qu’un petit nombre d’entre eux aient admis qu’ils n’en connaissaient pas les détails autant qu’ils le devraient.

Interrogés à savoir comment ils ont appris l’existence des Lignes directrices, les participants ont notamment relevé les sources suivantesNote de bas de page 3 :

  • alertes quotidiennes de Nymity;
  • directement du site Web du CPVP;
  • associations industrielles;
  • participation au processus de consultation en vue de l’élaboration des Lignes directrices;
  • autres, comme les mémoires juridiques, les conférences, les médias.

2.2 Sources communes d’incidents en matière d’atteinte à la protection des renseignements personnels

Question :

Votre organisation a-t-elle vécu par le passé des situations où des renseignements personnels ont été perdus, utilisés ou communiqués de manière inappropriée? Dans l’affirmative, veuillez décrire la nature ou la source de l’incident.

On a demandé aux participants à l’enquête de déterminer les causes les plus communes d’incidents liés à une atteinte à la protection des renseignements personnels. La réponse la plus fréquente était l’erreur humaine. Un peu plus de la moitié des incidents (51 %) étaient le résultat d’erreurs commises par les employés. Voici quelques exemples fournis par les répondants :

  • Le représentant d’un client a transmis un courriel au mauvais destinataire en tapant par inadvertance la mauvaise adresse de courriel dans le champ « à »;
  • Un formulaire contenant des renseignements personnels a été transmis à la mauvaise personne lorsqu’un employé a saisi le mauvais numéro de porte dans le champ d’adresse;
  • Les adresses électroniques d’autres destinataires ont été exposées dans le champ « à » d’un courriel, alors qu’il aurait été plus opportun de les insérer dans le champ « c. c. i. »;
  • Un fax a été transmis à la mauvaise entreprise par erreur;
  • Un disque dur retourné par un client n’a pas été reformaté au complet avant d’être revendu à un autre client.

Tandis que la plupart des cas d’atteinte à la protection des renseignements personnels causées par des employés pourraient être désignés comme étant des erreurs humaines, un petit nombre de répondants ont souligné que, dans certains cas, l’utilisation ou la communication inappropriées des renseignements personnels était délibérée. Un participant a fait valoir qu’un employé avait recueilli des renseignements personnels sur des clients afin de solliciter ces clients pour une entreprise qu’il gérait en dehors des heures de bureau, tandis qu’un autre a souligné que les employés aimaient parfois consulter les renseignements personnels d’autres personnes, comme les amis, la famille ou même un ex-conjoint, souvent pour des raisons associées à une rupture.

La deuxième cause la plus commune, qui représente 26 % des incidents déclarés, constitue la perte de matériel, notamment les ordinateurs portatifs, les dispositifs de stockage et d’autres supports de données. Il importe de souligner que de nombreuses organisations ont désigné la perte ou le vol d’ordinateurs portatifs à titre d’incident lié à la sécuritéNote de bas de page 4, mais dans les cas où l’ordinateur portatif était protégé par le cryptageNote de bas de page 5, l’affaire n’était pas considérée comme une perte de renseignements personnels.

Un examen des incidents par l’industrie a révélé qu’au sein des secteurs des télécommunications, des finances et de l’assurance, où la facturation est toujours communément effectuée par la poste, les incidents de mise sous pli incorrecte sont une source d’inquiétudes et représentent 18 % de tous les incidents. Un certain nombre d’organisations de ces secteurs de l’industrie ont fait valoir qu’elles avaient des processus en place pour vérifier la mise sous pli et que les incidents, qui se limitaient généralement à un petit nombre de clients, étaient habituellement réglés par la communication avec ces derniers afin de les aviser de l’erreur.

Il est intéressant de souligner qu’une grande majorité des cas d’atteinte à la protection des renseignements personnels déclarés par les participants à l’enquête avaient trait aux processus internes; seules deux organisations ont rapporté une situation relative à un cas d’atteinte à la protection des renseignements personnels externe, comme l’accès à une base de données par une source externe. Un participant a rapporté que, par inadvertance, des personnes non autorisées avaient accès à une base de données contenant des renseignements personnels via Internet.

Quatre (4) organisations (15 % de tous les répondants) ont déclaré n’avoir eu aucun incident impliquant la perte, l’accès ou l’utilisation inappropriés de renseignements personnelsNote de bas de page 6.

Bien que les renseignements personnels des employés ne soient pas visés par la LPRPDE (à moins que l’organisation ne soit comprise dans la définition d’entreprises fédérales), les entreprises avaient jugé que les incidents impliquant les renseignements personnels des employés constituaient des cas d’atteinte à la protection des renseignements personnels aux fins de la déclaration au CPVP. Comme l’a souligné un participant, même si les employés ne sont peut-être pas visés, il traite ces renseignements personnels de la même façon que ceux des clients — il ne fait pas de différence entre les deux.

2.3 Détection des incidents en matière d’atteinte à la protection des renseignements personnels

La plupart des organisations participantes ont élaboré des processus conçus pour cerner, déclarer et traiter les cas d’atteinte à la protection des renseignements personnels. Parmi les répondants, 93 % avaient élaboré une certaine forme de processus comprenant des formulaires papier précis ou des gabarits de système qui enregistrent la nature de l’incident, de même qu’un processus hiérarchique officiel qui est habituellement entamé au sein d’un secteur du service à la clientèle, qui implique les gestionnaires des opérations au besoin et se rend jusqu’au bureau ou au responsable de la protection de la vie privée de l’organisation.

L’ampleur de ces politiques correspond habituellement à la taille de l’organisation : les grandes organisations faisaient habituellement état de processus plus détaillés et souvent mécanisés pleinement documentés; les plus petites se fiaient souvent plus aux processus hiérarchiques en ce qui a trait aux documents papier et aux courriels, et se fiaient souvent sur l’expérience et les connaissances du responsable de la protection de la vie privée plutôt que sur des procédures officielles documentées.

Un participant a expliqué par exemple que son organisation est dotée d’un processus rigoureux de traitement des plaintes qui permet de signaler toutes les demandes relatives à la protection de la vie privée : le simple fait de cliquer sur un bouton relatif à la protection de la vie privée dans le système déclenche la production d’une note à l’intention du spécialiste en matière de respect de la vie privée dans le secteur d’activité approprié. Toutes les questions relatives à la protection de la vie privée sont cotées comme étant de préoccupation faible, moyenne ou élevée, ce qui détermine le niveau hiérarchique requis.

Un participant d’une organisation de taille moyenne a fait valoir qu’il était parfois difficile pour chacun de reconnaître une question relative à la protection de la vie privée lorsqu’elle survient et que, par conséquent, toutes les questions ne seront peut-être pas cernées et transmises au niveau approprié. La majorité des répondants étaient confiants qu’en cas de déclenchement d’un incident potentiel par un employé (comme la transmission d’un courriel au mauvais destinataire), celui-ci déclarerait l’incident comme l’exige la politique. De nombreuses organisations étaient d’avis que leurs employés étaient confiants qu’en cas d’erreur humaine, l’employeur était plus intéressé à résoudre le problème du client ou la question relative à la protection de la vie privée qu’à punir l’employé, ce qui les encouragerait à déclarer les cas d’atteinte à la protection des renseignements personnels. Une organisation a souligné qu’elle imposait des sanctions aux employés qui omettaient de déclarer les incidents lorsque la politique l’exigeait.

2.4 Prise de décision relative à la déclaration au CPVP

Questions :

Lorsqu’il est déterminé qu’il y a eu atteinte à la protection des renseignements personnels, de quelle façon la décision d’aviser le CPVP est-elle prise?

Dans quelles circonstances le CPVP serait-il avisé?

La décision de déclarer ou non un incident au CPVP est soigneusement étudiée par les organisations aux termes du processus global d’intervention en cas d’atteinte à la protection des renseignements personnels.

Règle générale, les organisations au sein d’industries assujetties à d’autres organismes de réglementation, comme les entreprises de services financiers et de télécommunications, étaient plus susceptibles d’appuyer la déclaration volontaire au CPVP. Une seule organisation a fait valoir qu’elle ne déclarerait aucun cas d’atteinte à la protection des renseignements personnels au CPVP, à moins que la déclaration ne soit obligatoire. Elle a souligné qu’il n’y avait aucune obligation légale de déclaration, et que celle-ci n’entraînait aucun avantage, mais plutôt une responsabilité possible, comme une enquête.

Bien que les participants aient exprimé des opinions différentes quant à l’intérêt de la déclaration volontaire, la grande majorité d’entre eux ont fait valoir qu’ils respectaient les objectifs de la déclaration, c’est-à-dire d’aider l’organisation à l’origine de la déclaration et d’assurer une sensibilisation proactive pour le CPVP en cas de plainte ou d’attention médiatique. Il apparaît évident d’après les réponses des participants que les organisations ou professionnels du domaine de la protection de la vie privée qui entretiennent de bonnes relations de travail avec le CPVP étaient généralement plus favorables à la déclaration volontaire, et que le climat de respect mutuel en place encourageait ces répondants. Comme l’a souligné un participant, le commissaire à la protection de la vie privée fait preuve d’un grand appui et comprend les questions relatives aux activités commerciales; le CPVP transmet toujours des commentaires constructifs afin d’aider à résoudre les problèmes.

Les participants qui n’avaient eu aucun contact ou presque avec le CPVP étaient généralement plus réticents à déclarer volontairement les cas d’atteinte à la protection des renseignements personnels; l’un d’eux a souligné qu’il ne savait pas ce que le CPVP faisait avec cette information, et qu’au beau milieu d’une atteinte à la protection des renseignements personnels, la dernière chose dont il avait besoin était d’être embêté par une personne qui lui disait quoi faire.

L’étude a permis de constater que, bien que les organisations appuient en grande partie la déclaration volontaire, elles se demandent toujours ce que fait le CPVP avec cette information. Parmi les préoccupations communes exprimées se trouvent les suivantes :

  • Est-ce que chaque déclaration donnera lieu à une enquête du CPVP?
  • Quand la déclaration doit-elle être faite?
    • Une déclaration hâtive peut entraîner un rapport incomplet et nécessiter des interactions supplémentaires avec le CPVP, ce qui risque de nuire aux efforts de réparation.
  • Pendant combien de temps le CPVP conservera-t-il cette information? Par exemple, si une grande organisation fait face à un certain nombre de cas d’atteinte à la protection des renseignements personnels relativement mineures pendant une période de temps donnée, est-ce que la fréquence entraînera une vérification ou une enquête?
  • Est-ce que le CPVP rendra publics les incidents déclarés par les organisations?
  • Est-ce que d’autres organisations pourront obtenir l’information déclarée de façon volontaire au CPVP et l’utiliser à d’autres fins, comme la déclarer à la presse?

Pour de nombreuses organisations, la décision de procéder à une déclaration volontaire est prise par le responsable de la protection de la vie privée. Souvent, l’équipe responsable d’enquêter et de gérer l’incident (qui comprend habituellement les représentants du secteur d’activités au sein duquel l’atteinte à la protection des renseignements personnels s’est produite, les services de technologies de l’information [TI], les responsables de la conformité ou de la sécurité internes et le bureau ou le responsable de la protection de la vie privée) recommandait de déclarer ou non l’incident. La décision finale dans de nombreux cas était laissée à la discrétion du responsable de la protection de la vie privée, bien que dans certaines organisations, la décision était prise après une consultation avec un cadre supérieur comme le conseiller juridique en chef, l’agent de conformité principal ou le dirigeant principal des finances. Le PDG n’est impliqué dans la décision qu’au sein des petites organisations.

D’après les réponses des répondants, il était évident que les Lignes directrices du CPVP étaient bien connues et comprises. Afin de déterminer si le CPVP devait être avisé d’un cas d’atteinte à la protection des renseignements personnels, les organisations ont fait valoir qu’elles prenaient compte de nombreux éléments énoncés dans les Lignes directrices, notamment les suivants :

  • nombre de personnes touchées;
  • type ou nature des renseignements visés, par exemple :
    • degré de sensibilité;
    • quantité de renseignements visés.
  • possibilité d’une plainte au CPVP;
  • possibilité que l’atteinte à la protection des renseignements personnels soit connue du public;
  • avis transmis ou non aux parties;
  • obligations en vertu de contrats ou d’ententes;
  • importance du risque de préjudice dans le contexte des renseignements visés;
  • s’il s’agit d’un cas isolé ou d’une tendance.

Un certain nombre d’organisations ont fait valoir qu’elles déclareraient les incidents au CPVP uniquement si le client était avisé; elles ne pouvaient pas imaginer une situation où le CPVP serait avisé sans que les personnes concernées ne le soient. Comme un répondant l’a souligné, s’il n’est pas nécessaire d’aviser les clients étant donné que les renseignements n’étaient pas sensibles ou qu’il n’y avait pas de risque de préjudice, pourquoi le CPVP voudrait-il être au courant?

Bon nombre des grandes organisations ont créé un processus structuré de notation pour coter les incidents selon leur gravité. Par exemple, une organisation a décrit son système de classification, qui classe la gravité à l’aide d’une échelle numérique de 1 à 3. Un incident classé dans la catégorie 3 implique les renseignements personnels d’un grand nombre de parties; un incident de catégorie 2 risque de toucher un nombre important de parties, mais vise seulement leurs noms ou leurs coordonnées de base, dans un contexte à faible risque; un incident de catégorie 1 peut viser un courriel unique transmis à la mauvaise personne. D’autres organisations ont utilisé des termes comme « risque élevé, moyen ou faible » pour classer les incidents. Les organisations établissent habituellement au préalable que les incidents de catégorie 3 ou représentant un « risque élevé » seront déclarés, que les incidents de catégorie 2 ou représentant un « risque moyen » seront déclarés uniquement si le contexte l’exige, et que les incidents de catégorie 1 ou représentant un « faible risque » ne seront pas déclarés.

Bien que la déclaration soit grandement considérée comme « la chose à faire », il est évident que les organisations ont toujours du mal à mettre en pratique les Lignes directrices. La relation entre tous ces éléments est très contextuelle et, par conséquent, aucun facteur en lui-même ne semble l’emporter sur les autres.

Voici quelques exemples qui illustrent bien ces défis :

  • L’entreprise A a souligné que, si elle affichait les adresses électroniques de vingt clients dans l’en-tête d’un courriel, elle ne rapporterait probablement pas l’incident étant donné qu’une adresse électronique ne constitue habituellement pas un renseignement de nature sensible. Toutefois, si elle affichait le numéro de compte bancaire ou de carte de crédit de vingt clients, elle le déclarerait sans doute d’elle-même;
  • L’entreprise B a indiqué qu’une boîte renfermant des bandes de stockage non chiffrées avait été envoyée au dépotoir et jetée par mégarde; même si ces bandes contenaient des renseignements personnels sur de nombreuses personnes, la probabilité d’une mauvaise utilisation avait été jugée très faible; l’incident devrait-il être déclaré?;
  • L’entreprise C a signalé une situation où, en raison d’une erreur de mise sous pli, plus de 100 enveloppes avaient été envoyées aux mauvais clients; bien que tous les clients aient été contactés, l’incident pourrait ne pas devoir faire l’objet d’une déclaration volontaire car 100 enveloppes représentent un très petit nombre des envois mensuels, qui peuvent atteindre 10 millions d’enveloppes; par conséquent, le taux d’erreur s’inscrit dans les tolérances normales de fonctionnement;
  • L’entreprise D a souligné qu’elle avait découvert une atteinte à des renseignements plutôt sensibles appartenant à un assez grand nombre de personnes, mais que l’incident s’était produit plusieurs années auparavant; est-ce que le long délai écoulé entre l’événement et sa découverte influe sur la nécessité de le déclarer?;
  • L’entreprise E n’a pas déclaré un incident qu’elle avait au départ jugé « grave » à l’interne, faisant valoir qu’elle avait qualifié cet événement de grave étant donné que ce qui s’était passé ne semblait pas immédiatement clair; un tiers avait été embauché pour régler le problème, mais, en définitive, l’incident n’avait touché qu’un nombre restreint de personnes, aucune donnée sensible n’avait été compromise et l’organisation n’était même pas certaine qu’une atteinte à la protection des renseignements personnels ait vraiment eu lieu.

Certaines organisations ont aussi de la difficulté à saisir la nuance entre des incidents liés à la protection de la vie privée et les atteintes à la protection des renseignements personnels. Par exemple, si une enveloppe est envoyée à un client à la dernière adresse qu’il a fournie, mais qu’il a déménagé et que le nouveau propriétaire retourne ladite enveloppe encore cachetée, s’agit-il d’une atteinte à la protection des renseignements personnels ou d’un incident?

Un participant a raconté qu’un ordinateur portatif contenant les renseignements personnels de moins de 70 personnes avait été volé. L’entreprise avait alors informé les personnes intéressées et, même si les renseignements en cause étaient des données non publiques, aucun des clients n’a porté plainte ou avait l’impression qu’il s’agissait de données « sensibles ». L’incident n’a donc pas été signalé au CPVP. L’entreprise a ajouté qu’elle fondait ses décisions sur le nombre de personnes touchées et le degré de sensibilité des renseignements.

En dépit des préoccupations susmentionnées, il est juste de caractériser le niveau d’acceptation générale de déclaration volontaire comme favorable et d’affirmer qu’il ne semble pas régner en ce moment un climat de résistance importante en la matière.

2.5 Interaction avec le Commissariat à la protection de la vie privée

Question :

Si vous avez déclaré une atteinte à la protection des renseignements personnels au CPVP, comment décririez-vous cette expérience en général?

Les participants ayant déclaré des incidents par le passé ont été invités à émettre quelques commentaires concernant le processus de déclaration volontaire et les réponses reçues du CPVP.

Six (6) répondants ont rapporté que leur organisation avait déclaré volontairement au CPVP un ou plusieurs incidents liés à une atteinte à la protection des renseignements personnels qui, à leur avis, respectaient les critères énoncés dans les Lignes directrices. Les répondants ont qualifié l’expérience générale de positive : deux l’ont décrite comme étant « extrêmement » ou « très » positive, trois comme étant positive et un, comme étant « mitigée ».

Ceux ayant jugé l’expérience positive ont formulé les commentaires suivants :

  • Le CPVP a compris les réalités de la situation et s’est concentré sur les mesures prises pour y mettre fin, aider le client et empêcher que cela ne se reproduise.
  • Le CPVP s’est montré coopératif et non autoritaire.

Voici d’autres commentaires obtenus :

  • Le CPVP peut mettre du temps avant de fournir une réponse :
    • Une entreprise a rapporté avoir reçu, trois mois après sa déclaration d’un incident, un appel du CPVP qui lui posait d’autres questions; après tout ce temps, certaines des données peuvent ne pas être accessibles rapidement.
  • Les organisations apprécieraient recevoir une lettre finale leur confirmant la réception du rapport et la fermeture du dossier;
  • Il importe que les commissaires à la protection de la vie privée fédéral et provinciaux aient des réponses uniformes :
    • Une entreprise ayant déclaré un incident à plusieurs commissaires a reçu une rétroaction positive au sujet des mesures prises de la part de deux commissaires provinciaux alors que le CPVP l’a quelque peu critiquée.

2.6 Comment encourager la déclaration volontaire

Questions :

Quelles mesures ou quels incitatifs le CPVP pourrait-il mettre en place afin d’encourager la déclaration d’atteintes à la protection des renseignements personnels?

Quels processus de soutien le CPVP pourrait-il fournir en vue de faciliter la déclaration volontaire auprès de son organisation?

On a demandé aux participants à l’enquête de désigner les mesures, incitatifs ou processus de soutien que le CPVP pourrait mettre en place afin d’encourager la déclaration volontaire.

Bien que très peu d’organisations aient émis des commentaires sur le processus actuel de déclaration, affirmant qu’il convient parfaitement en soi, beaucoup se sont prononcées sur les mesures que pourrait prendre le CPVP pour apaiser les préoccupations et encourager la déclaration volontaire.

Au total, 27 % des répondants étaient fermement d’avis qu’en raison du caractère volontaire de la déclaration, aucune enquête ne devrait être menée à sa suite. Si la déclaration a pour but d’aider les organisations à traiter l’incident impliquant une atteinte à la protection des renseignements personnels et à se préparer à l’éventualité d’une plainte ou d’une demande de renseignements de la part des médias, alors aucune enquête ne devrait être ouverte à partir de la déclaration, en l’absence d’une plainte précise.

La confidentialité arrivait en tête de liste pour de nombreux répondants. En tout, 18 % d’entre eux ont émis des commentaires sur les questions ayant trait au respect de la confidentialité du nom de l’entreprise à l’origine de la déclaration et à l’assurance qu’il ne soit pas utilisé dans les rapports publiés par le CPVP. Comme l’a expliqué un participant, si son organisation a satisfait tous ses clients et pris les mesures nécessaires pour s’assurer que la situation ne se reproduise jamais, elle ne devrait pas être assujettie à la dénonciation et à la honte qui s’ensuit. Il faudrait réserver ce traitement à ceux qui ne sont pas prêts à faire ce qui convient. Ou, comme l’a présenté un autre participant, la publication du nom des entreprises qui agissent correctement en déclarant les incidents pourrait décourager les entreprises à faire des déclarations. Bien qu’un petit nombre de participants aient suggéré que le CPVP envisage la déclaration anonyme, comme nous le verrons à la section 3.6, cette idée n’a pas reçu l’appui de la majorité.

La plupart des répondants ont encouragé le CPVP à transmettre aux organisations davantage de précisions sur le sort réservé à l’information fournie dans les déclarations et, ce faisant, à favoriser de manière plus efficace un sentiment de « confort » en sachant que le CPVP a l’intention de collaborer avec les organisations. Les communications avec ces dernières devraient se concentrer sur offrir de l’aide en vue d’atténuer les préjudices et d’empêcher de futures atteintes à la protection des renseignements personnels. Un des répondants a fait valoir que les déclarations présentées au CPVP ainsi que les discussions subséquentes devraient porter non pas sur ce qui s’est passé, mais bien plus sur les mesures prises par l’organisation afin de renforcer la sécurité, d’atténuer les préjudices et d’améliorer la protection de la vie privée dans son ensemble.

Toutefois, dans ce qui est, en apparence, un conflit par rapport à la question de la « confidentialité » abordée précédemment, un participant a même proposé que le CPVP publie le nom des organisations dont les interventions ont surpassé les attentes raisonnables à la suite d’un incident lié à une atteinte à la protection des renseignements personnels.

En ce qui concerne les processus, les répondants ont formulé les commentaires suivants :

  • Mieux expliquer les seuils relatifs à la déclaration, c.-à.-d. en quoi constitue une atteinte « importante », en fournissant des exemples de situations précises qui appellent ou non une déclaration volontaire;
  • Offrir un soutien quant aux éléments devant être déclarés, le moment de faire la déclaration et la marche à suivre, au moyen d’une foire aux questions;
  • Pour chaque incident déclaré, affecter une personne au sein du CPVP pour servir d’agent de liaison avec l’organisation (favoriser l’uniformité et tisser des liens);
  • Fournir un formulaire à remplir sur le site Web du CPVP afin de faciliter les déclarations.

3. Déclaration obligatoire

La deuxième partie de cette étude avait pour but de connaître le point de vue des organisations à propos des modifications proposées à la LPRPDE concernant l’exigence obligatoire de déclarer les incidents au CPVP. Les participants avaient alors reçu un aperçu du cadre de déclaration obligatoire élaboré par Industrie Canada au cours de ses tables rondes avec des intervenants.

3.1 La déclaration obligatoire influera-t-elle sur le processus décisionnel?

Questions :

En fonction du cadre proposé, votre organisation a-t-elle, par le passé, vécu des incidents liés à la perte de données qui n’ont pas été déclarés au CPVP et qui le seraient maintenant?

En vertu d’un régime de déclaration obligatoire, le processus visant à décider du moment de la déclaration serait-il différent de celui en vigueur actuellement?

Étant donné que le cadre proposé par Industrie Canada comprend un nouvel élément dans la définition du mot « importante », les organisations participant à l’étude ont dû décrire de quelle façon une exigence de déclaration obligatoire pourrait influer sur le processus décisionnel comparativement à un système de déclaration volontaire.

Interrogés à savoir si un incident n’ayant auparavant pas été déclaré aurait dû l’être en vertu d’un régime obligatoire, 89 % des répondants ont fait savoir qu’il ne serait pas nécessaire de le déclarer aux termes du cadre proposé. Selon les 11 % qui restent, le nouveau cadre aurait éventuellement pu changer leur décision.

Parmi les nouveaux éléments à prendre en compte se trouve la question de savoir si l’atteinte à la protection des données constitue une tendance, ou fournit la preuve d’une cause systémique profonde extérieure aux normes opérationnelles acceptables sur le plan commercial. Des organisations ont souligné le manque de clarté de cet élément, lequel pourrait entraîner davantage de déclarations d’incidents en matière d’atteinte à la protection des renseignements personnels. Par exemple, si, au cours d’une période d’un an, un certain nombre de courriels étaient envoyés aux mauvais destinataires tout simplement parce que l’adresse avait été mal tapée, cela constituerait-il une tendance? Par ailleurs, si, pendant un mois, un nombre élevé d’enveloppes étaient envoyées aux mauvaises adresses, par exemple 500 sur un envoi de 5 millions, cette erreur s’inscrirait-elle dans les normes opérationnelles acceptables?

Au total, 63 % des répondants ont affirmé que leur processus décisionnel ne changerait d’aucune façon en vertu d’un régime obligatoire. Pour les organisations ayant fait mention d’éventuelles modifications, la plus courante était une participation plus hâtive ou plus approfondie des conseillers juridiques, tant internes qu’externes, dans le processus. Comme l’a décrit un participant, si la déclaration devient une obligatoire juridique, notre avocat voudra alors approuver le moment et la raison d’une déclaration ainsi que les éléments rapportés compte tenu de la responsabilité qui n’existait pas auparavant. Selon certains répondants, le processus décisionnel pourrait être plus rigoureux afin d’assurer la conformité, alors que pour d’autres, l’approbation de la décision finale pouvait se faire à un échelon plus élevé au sein de l’organisation, par exemple par un avocat ou un cadre supérieur. Des répondants ont mentionné que cette nouvelle exigence pouvait accroître la reddition de comptes pour les secteurs d’activités, comme l’a noté un participant, cela augmentera le fardeau qui pèse sur les gens d’affaires; ils devront prendre la responsabilité d’empêcher les atteintes à la protection des renseignements personnels.

3.2 Incidence pour les organisations

Question :

Selon vous, quelle incidence la déclaration obligatoire aura-t-elle sur votre entreprise?

Les répondants ont relevé différentes façons dont la déclaration obligatoire pourrait influer sur leur organisation.

Vingt-deux pour cent (22 %) des répondants ont rapporté que la déclaration obligatoire n’aurait aucune incidence sur leur entreprise.

Les 78 % qui ont cerné une incidence possible s’attendraient à un nombre égal d’effets positifs et négatifs.

Effets positifs relevés :

  • Les entreprises devraient élaborer une politique ou une matrice structurée en matière de déclaration : 27 %;
  • Une sensibilisation accrue à la protection de la vie privée dans son ensemble : 27 %;
  • Les entreprises mettraient l’accent sur la prévention : 18 %;
  • Plus grande reddition de comptes à l’égard de la protection de la vie privée dans les secteurs d’activités : 11 %.

Voici d’autres commentaires formulés par les répondants sur les effets de la déclaration obligatoire :

  • renforce le rôle du bureau responsable de la protection de la vie privée au sein de l’entreprise;
  • entraîne des mesures disciplinaires plus officielles contre les employés qui, sciemment, commettent des atteintes à la protection des renseignements personnels;
  • offre l’occasion de parler directement avec la haute direction et les pairs, et de saisir cette chance pour prêcher la bonne nouvelle.

Les effets négatifs découlant de la déclaration obligatoire étaient généralement attribuables aux coûts. Les répondants ont ciblé les sources éventuelles suivantes de dépenses supplémentaires advenant l’instauration de la déclaration obligatoire :

  • coûts associés à un processus décisionnel plus rigoureux, par exemple, le recours à un conseiller juridique externe : 26 %;
  • dotation supplémentaire au sein du bureau responsable de la protection de la vie privée : 22 %;
  • coûts de formation : 11 %.

Une entreprise a fait remarquer qu’en vue d’assurer la conformité, elle ajouterait sans doute la protection de la vie privée comme élément de la vérification annuelle de sa gouvernance effectuée par des vérificateurs externes.

3.3 Tendances en matière de déclaration

Il a été demandé aux répondants de relever les effets que la déclaration obligatoire aurait sur le nombre d’incidents qui seraient déclarés à l’interne au bureau ou au responsable de la protection de la vie privée ainsi que sur ceux déclarés auprès du CPVP.

Déclaration à l’interne :

Question :

Veuillez estimer le nombre d’incidents déclarés au bureau ou au responsable de la protection de la vie privée en 2008 et combien seraient prévus après la déclaration obligatoire.

La majorité des répondants (70 %) avaient l’impression qu’après l’entrée en vigueur des exigences liées à la déclaration obligatoire, le nombre d’incidents déclarés au bureau ou au responsable de la protection de la vie privée ne changerait pas. En général, le programme de protection de la vie privée actuellement en place suffisait, selon eux, à assurer que toute atteinte soupçonnée à la protection des renseignements personnels soit déjà déclarée par l’entremise de l’organisation.

Toutefois, de l’avis de 26 % des répondants, les obligations en matière de déclaration augmenteraient le nombre global d’incidents rapportés au bureau ou responsable de la protection de la vie privée. Même si la plupart d’entre eux prévoyaient une légère augmentation au fil du temps, l’un a affirmé que, si une entreprise planifiait des formations ou des campagnes de sensibilisation, elle devrait s’attendre à un bond isolé dans le nombre d’incidents déclarés au bureau ou au responsable de la protection de la vie privée et a noté que, lorsque l’entreprise avait offert des séances de formation, le nombre d’incidents déclarés avait connu un point culminant, soit une hausse d’au moins 25 % pendant un certain temps, pour diminuer et retrouver son taux normal.

D’après les statistiques transmises par les répondants, nous avons relevé les tendances suivantes :

  • Les grandes organisations dotées de plusieurs succursales, comme les institutions financières et les magasins de vente au détail, étaient plus susceptibles d’enregistrer un nombre élevé d’incidents; toutefois, ceux-ci impliquaient généralement des données peu sensibles et découlaient habituellement d’erreurs humaines;
  • Plus un programme de gestion de la protection de la vie privée d’une organisation était solide et très structuré, plus le nombre d’incidents déclarés auprès du bureau ou du responsable de la protection de la vie privée était élevé.

Déclaration au CPVP :

Question :

Veuillez estimer le nombre d’incidents déclarés au CPVP et combien seraient prévus après la déclaration obligatoire.

Au total, 96 % des répondants ont rapporté qu’en fonction du cadre proposé par Industrie Canada et de leur propre processus décisionnel interne qui se fonde sur les Lignes directrices actuelles, il n’y aurait aucun changement dans le nombre global d’incidents liés à des atteintes à la protection des renseignements personnels déclarés au CPVP.

En général, les répondants se sentaient à l’aise avec le fait que les décisions prises de déclarer ou non un incident étaient toujours appropriées selon le cadre proposé. Certaines organisations ont ajouté un commentaire relatif à la façon dont le cadre, advenant son adoption sans modification, pouvait être interprété et comment cela pouvait influer sur les déclarations futures. Comme il en sera discuté ci-dessous, il paraissait évident, d’après les commentaires, que la surdéclaration constituait une préoccupation, mais qu’il était possible de la gérer et de l’atténuer au moyen de lignes directrices et d’exemples efficaces de la part du CPVP.

3.4 Inquiétudes découlant de la déclaration obligatoire

Question :

La déclaration obligatoire des atteintes à la protection des renseignements personnels au CPVP suscite-t-elle des inquiétudes et, si oui, pourquoi?

Bien que les organisations ne se soient pas fortement opposées à la déclaration des incidents au CPVP, le fait qu’elle puisse devenir obligatoire les a tout de même inquiétées.

Un tiers des entreprises ont rapporté que la déclaration obligatoire, plutôt que volontaire, ne les inquiétait pas davantage. Selon elles, leurs politiques et processus étaient tels qu’elles résisteraient à tout examen supplémentaire susceptible d’être effectué en vertu d’un système de déclaration obligatoire.

Les deux tiers restants ont ciblé un certain nombre d’inquiétudes, nouvelles ou accentuées, soulevées par la déclaration obligatoire. La question abordée le plus souvent (par 26 % des participants) avait trait aux sanctions ou responsabilités éventuelles qui pourraient être imposées aux organisations qui ne déclaraient pas les incidents conformément aux exigences. La question ici ne portait pas sur l’omission de déclarer les incidents, mais sur le fait que la définition du mot « importante » pouvait laisser place à l’interprétation, et si la définition qu’en donne le CPVP n’est pas claire et concise, les organisations courent alors un risque déraisonnable de non-conformité involontaire. Comme l’a souligné un des répondants, dans le cadre du régime de déclaration volontaire, il est possible que l’opinion d’une organisation et celle du CPVP diffèrent quant à savoir si un incident aurait dû être déclaré, mais il existe maintenant un risque en matière de responsabilité associé à cette divergence. Le corollaire est que les organisations puissent faire des surdéclarations, une inquiétude exprimée par près de 20 % des répondants, créant un effet négatif tant sur les organisations à l’origine de la déclaration que sur le CPVP (qui sera tenu d’y donner suite et de gérer un nombre accru de déclarations d’incidents).

Des organisations, particulièrement celles faisant partie des industries réglementées, se sont dites inquiètes à l’idée d’un chevauchement possible entre les organismes de réglementation. Au sein de certaines industries, les organisations doivent déclarer aux organismes de réglementation tout renseignement susceptible d’être « important ». Ce qui préoccupait les organisations était que si, chez l’une d’elles, survenait une atteinte à la protection des renseignements personnels qui répondait à la définition du mot « importante » selon le cadre d’Industrie Canada, bien qu’elle puisse ne pas avoir une grave incidence, elle peut en fait entraîner une autre exigence visant la déclaration de l’incident à l'organisme de réglementation de l'industrie ou encore une autre enquête effectuée par ce dernier.

Près de 20 % des répondants ont manifesté de l’inquiétude quant à la façon dont le CPVP pouvait choisir de rendre publics les incidents en matière d’atteinte à la protection des renseignements personnels, particulièrement si l’atteinte en question n’était pas largement connue.

Questions :

Quels éléments réduiraient toute hésitation à déclarer un incident?

Si la déclaration devenait obligatoire, ou lorsqu’elle le sera, de quel soutien aurez-vous besoin pour respecter les nouvelles exigences?

3.5 Éléments visant à encourager et à appuyer la déclaration volontaire

Deux questions de l’enquête portaient sur la façon dont le CPVP pouvait aider les organisations à respecter les exigences obligatoires proposées.

À la question concernant la façon dont le CPVP pouvait réduire les hésitations à faire une déclaration, la réponse la plus fréquente, formulée par 22 % des répondants, était que le CPVP devait agir comme « partenaire » et non être perçu comme une « police » ou un « adversaire ». Au total, 18 % des répondants ont mentionné que le CPVP devait indiquer aux organisations que les déclarations ne se traduiraient pas toutes par des enquêtes. Parmi les autres éléments cités se trouve le fait que le CPVP ne rendrait pas les déclarations publiques (15 %), qu’il devrait expliquer aux organisations ce qu’il adviendrait des déclarations suivant leur réception de même que leur garantir que les déclarations ne serviraient pas de fondement en vue de poursuites contre l’entreprise. Le graphique ci-après présente toutes les réponses données à cette question.

Les participants ont demandé à ce que le CPVP fournisse ce qui suit :

  • Un formulaire ou gabarit électronique à remplir;
  • Une matrice visant à aider à déterminer l’importance d’un incident;
  • Des exemples du type d’atteintes à la protection des renseignements personnels que le CPVP s’attendrait à voir déclarées;
  • Des définitions claires des termes suivants :
    • degré de sensibilité;
    • normes opérationnelles acceptables sur le plan commercial;
    • préjudice grave.
  • une structure de déclaration conforme à celle des administrations provinciales.

Graphique : Quels facteurs réduiraient toute hésitation à déclarer un incident?

Interrogés à savoir de quel soutien les organisations avaient besoin, le plus grand nombre de répondants ont demandé à ce que le CPVP élabore des lignes directrices plus précises afin de les aider à mieux comprendre les exigences. Près de 30 % des répondants ont souhaité obtenir des exemples détaillés sur la façon d’interpréter des préjudices graves, de juger de la sensibilité et d’évaluer le nombre de personnes touchées. Certains ont suggéré une forme de matrice sur laquelle l’organisation pourrait « superposer » l’incident et déterminer s’il doit être déclaré ou non.

En plus des directives précises concernant la déclaration, certains répondants ont aussi recommandé que le CPVP informe les consommateurs afin d’aider le public à comprendre le contexte de la déclaration des incidents, les responsabilités des organisations à l’égard de la déclaration et les occasions où la déclaration ne serait pas nécessaire. Une personne a affirmé que les clients devaient savoir que les atteintes à la protection des renseignements personnels ne devaient pas toutes être déclarées et que toutes n’entraînaient pas de graves conséquences comme le vol d’identité.

Quelques répondants ont également recommandé que le CPVP prépare une formation à l’intention de cadres afin de les aider à comprendre le but de la déclaration, la façon dont elle profitera au CPVP, au consommateur et à l’organisation, de même que les conséquences de la non-déclaration.

En ce qui concerne les processus, plusieurs répondants ont demandé à ce que le CPVP fournisse un formulaire électronique à remplir en vue de faciliter la déclaration des incidents. Comme l’a rapporté l’un deux, en préparant un formulaire à remplir, le CPVP obtiendra des commentaires uniformes et ne perdra pas de temps à demander aux organisations l’information qu’il doit obtenir.

3.6 Déclaration anonyme à un tiers

Question :

En vertu d’un régime obligatoire, la décision des entreprises de déclarer ou non un incident serait-t-elle influencée s’il s’agissait d’une déclaration anonyme faite à un tiers?

Les répondants ont eu l’occasion d’émettre des commentaires sur les avantages de la déclaration d’incidents en matière d’atteinte à la protection des renseignements personnels faite de manière anonyme et à un tiers plutôt que directement au CPVP.

En tout, 8 % des répondants préféraient cette option parce qu’elle limite les obligations et la visibilité de l’organisation. Par contre, près de 60 % des organisations l’ont rejetée et affirmé qu’elles choisiraient plutôt de rapporter un incident directement au CPVP. Un des répondants a expliqué que la déclaration anonyme ne fournirait pas au CPVP l’information nécessaire et nuirait au but général de la déclaration. Pour les autres (32 %), la plupart ont fait valoir que la décision de déclarer un incident ou non pourrait être influencée, et souvent ont ajouté que la déclaration anonyme pouvait profiter à d’autres, mais qu’ils ne préféreraient sans doute pas cette option.

Le seul avantage perçu d’une déclaration anonyme à un tiers serait la possibilité de contacter ce tiers de manière anonyme afin d’obtenir des conseils quant au caractère approprié de la déclaration.

4. Programmes de gestion de la protection de la vie privée

Dans cette section de l’enquête, les organisations ont dû répondre à une série de questions touchant leurs programmes de gestion de la protection de la vie privée. Ces questions avaient pour but de déterminer quelles mesures, le cas échéant, les organisations prenaient afin de se préparer à la mise en œuvre de la déclaration obligatoire ainsi que la maturité des interventions en cas d’infraction et les programmes de gestion de la protection de la vie privée.

4.1 Préparation en vue de la déclaration obligatoire

Questions :

Vote entreprise a-t-elle commencé sa planification en vue de la déclaration obligatoire? 

Dans l’affirmative :

  • Quelles mesures ont été prises
  • Quelles mesures sont prévues?

Quatre-vingt-seize pour cent (96 %) des répondants ont fait savoir que leur organisation n’avait toujours pas pris de mesures pour se préparer à la déclaration obligatoire. Comme il a été noté à la section 3.2 ci-dessus, 22 % des répondants ont souligné que la déclaration obligatoire des cas d’atteinte à la protection des renseignements personnels n’aurait aucun effet sur leur organisation de sorte qu’il serait raisonnable de s’attendre à ce que ces organisations ne prennent aucune mesure en ce sens. Les autres organisations semblent attendre la prise d’une quelconque autre mesure par rapport à la modification proposée. Certaines ont affirmé que, si la déclaration obligatoire entrait en vigueur, elles fourniraient sans doute une formation supplémentaire.

Questions :

Votre entreprise est-elle dotée d’un protocole documenté et officiel d’intervention en cas d’atteinte à la vie privée?

Dans l’affirmative, veuillez en décrire les principaux éléments.

Dans la négative, un protocole sera-t-il établi pour traiter de la nouvelle exigence en matière de déclaration?

4.2 Protocoles d’intervention en cas d’atteinte à la protection des renseignements personnels

Le fait d’être doté d’un protocole d’intervention en cas d’atteinte à la protection des renseignements personnels officialisé et documenté constitue un élément important dans le traitement efficace de ces incidents. Au total, 52 % des organisations ont rapporté avoir un tel protocole en place. Selon leurs réponses, il paraît évident que la structure de ces protocoles se fonde surtout sur les Lignes directrices. Ces organisations ont affirmé que leur politique leur procurait une approche très disciplinée afin de traiter des atteintes à la protection des renseignements personnels.

En ce qui concerne les 48 % restants, plus de la moitié ont dit avoir un processus « officieux » en place, qui pouvait comprendre, par exemple, l’utilisation d’une courte liste de vérification des points que le bureau responsable de la protection de la vie privée pouvait demander à l’équipe opérationnelle concernée de réviser, le regroupement de certaines personnes en vue d’une discussion ponctuelle à propos des prochaines étapes, ou encore, le recours à un avocat extérieur afin d’obtenir de l’aide. Même si un certain nombre de ces organisations étaient sur le point d’instaurer un protocole en cas d’atteinte à la protection des renseignements personnels, ou en cours d’élaboration d’un tel protocole, toutes n’ont pas mentionné qu’il s’agissait d’un élément sur lequel elles travaillaient. Pour expliquer l’absence d’une politique, une des organisations a fait valoir qu’elle ne voulait pas que toute autre organisation externe interprète ce qu’elle aurait dû faire ou ne pas faire par rapport à la politique advenant une atteinte à la protection des renseignements personnels.

Un tiers des répondants (33 %) ont déclaré que leur entreprise avait en place un programme officiel de suivi des incidents fondé sur un système. D’ordinaire, ces systèmes repéraient tous les types d’incidents, y compris ceux touchant les TI (p. ex. la perte de matériel) ou ceux comme le courrier mal dirigé, les communications inappropriées par des employés, etc. Ces systèmes ont l’avantage d’offrir aux organisations un aperçu complet de tous les incidents afin de permettre des mesures correctives ciblées. Un des participants a noté que son entreprise examinait les incidents liés à la protection de la vie privée avec une équipe spécialisée en la matière tous les six mois dans le but de déterminer les mesures à prendre, tandis qu’un autre a fait remarquer que les renseignements saisis dans le système de suivi étaient partagés avec le comité de vérification du conseil d’administration chaque année dans le cadre de son programme de gouvernance général.

En tout, 52 % des répondants disposent d’un mécanisme officieux pour repérer les incidents relatifs à la protection de la vie privée. Ces mécanismes vont des formulaires remplis par la personne qui répond à l’incident et qui sont conservés à des fins de référence aux feuilles de calcul Excel tenues par le bureau chargé de la protection de la vie privée. Le défi inhérent à ce genre de mécanismes de suivi est qu’ils ont tendance à être de nature anecdotique et, par conséquent, ils entraînent le risque important que les incidents ne soient pas tous déclarés.

4.3 Maturité des programmes de gestion de la protection de la vie privée

Les organisations ont été invitées à coter la maturité globale de leur programme de gestion de la protection de la vie privée sur une échelle de 1 à 10, ce dernier chiffre correspondant à un programme totalement mature, documenté et mis en œuvre. Le graphique suivant représente les notes des participants :

Graphique : Sur une échelle de 1 à 10, quelle note attribueriez-vous à l'état général du programme de gestion de la protection de la vie privée de votre entreprise?

Ce graphique illustre clairement que les programmes de gestion de la protection de la vie privée en sont toujours à l’étape de l’élaboration. Certaines organisations ont rapporté l’existence d’un cadre général, en ce sens qu’elles affichaient sur leur site Web des politiques internes ainsi que des avis en matière de protection de la vie privée et que quelques séances de formation avaient été dispensées à leur personnel. Toutefois, beaucoup ont reconnu que leur processus de gestion de la protection de la vie privée n’était pas encore tout à fait au point. Les grandes organisations décentralisées, en particulier celles connaissant un important roulement de personnel, savaient pertinemment qu’il est toujours possible d’apporter des améliorations tant dans l’élaboration que dans l’exécution. Un participant a souligné que la formation devait continuellement se donner compte tenu que, chaque année, l’entreprise cernait de nouveaux enjeux et problèmes qu’elle souhaitait partager avec ses employés.

4.4 Initiatives de gestion de la protection de la vie privée

Comme il a été noté précédemment, les organisations savent généralement que la gestion de la protection de la vie privée exige de mettre à jour de façon continue les politiques, procédures et mesures de protection techniques. Dans le but de connaître ce que font les organisations pour améliorer leur gestion de la protection de la vie privée, nous avons demandé aux participants de relever les initiatives qu’ils planifiaient mettre en place au cours des deux prochaines années. Le graphique ci-après en présente la liste :

Graphique : Initiatives en matière de protection de la vie privée pour 2010-2011

5. Examen des statistiques du CPVP relatives à la déclaration des cas d’atteinte à la protection des renseignements personnels

Depuis quelques années, le CPVP recueille des renseignements sur les incidents touchant la protection de la vie privée survenus dans le secteur privé. La Direction des enquêtes et des demandes de renseignements du CPVP a fourni à Nymity un résumé de ses conclusions dans une étude sur les incidents et les atteintes à la protection des renseignements personnels pour 2006 à 2008 (ci-après « l’Étude du CPVP »).

Cette étude offre une analyse statistique des atteintes à la sécurité des données déclarées volontairement et d’autres incidents s’étant produits dans le secteur privé entre le 1er janvier 2006 et le 31 décembre 2008 et pour lesquels un dossier d’enquête sur l’incident avait été ouvert au CPVP.

Dans le cadre de ce projet de recherche, Nymity a examiné ces statistiques en fonction des questions suivantes :

  • Les réponses à l’enquête correspondent-elles aux enjeux relevés dans l’étude du CPVP?;
  • Le CPVP devrait-il recueillir d’autres points de données à l’avenir?

5.1 Harmonisation de l’enquête avec l’étude du CPVP

L’étude du CPVP a permis de cerner les types d’incidents suivants par ordre de fréquenceNote de bas de page 7 :

  • accès, utilisation ou communication non autorisés : 36 %
  • communication accidentelle : 31 %
  • vol : 24 %
  • perte : 10 %.

Bien que Nymity n’ait pas principalement centré sa recherche sur la réalisation d’une analyse quantitative des statistiques concernant les atteintes à la protection des renseignements personnels, les réponses à nos questions étaient assez semblables aux conclusions de l’étude du CPVP. Les employés des organisations ont été désignés comme la source de la plupart des accès, utilisations ou communications non autorisés et, comme l’a souligné un participant, l’accès est presque toujours motivé par une intention malveillante, habituellement la découverte de renseignements sur une personne susceptibles d’être utilisés contre elle. Cette situation préoccupait particulièrement les grandes organisations qui détiennent un important volume de renseignements hautement personnels, comme des informations financières.

En outre, les participants à la recherche de Nymity ont souvent fait référence aux types de pertes accidentelles mentionnées dans l’étude du CPVP, comme le courrier mal dirigé, les problèmes avec les courriels et l’utilisation de numéros de télécopieur incorrects.

Bien que, dans son étude, le CPVP ait jugé que le manque de sensibilisation et de formation des employés arrivait au deuxième rang des enjeux liés à la protection de la vie privée, certains participants ont rapporté qu’en de nombreux cas, les communications accidentelles ou même des incidents ayant trait à un accès ou à une utilisation inappropriés, ne découlaient pas d’un manque de formation comme tel, mais plutôt d’une mauvaise observation des politiques en place ou d’une infraction à ces dernières commise sciemment. Comme l’a fait remarquer un participant, dans la plupart des cas où l’employé consultait les renseignements personnels d’une personne à des fins malveillantes, il savait exactement ce qu’il était en train de faire et que son comportement allait à l’encontre de la politique. Un autre a déclaré que la formation et la sensibilisation ne consistent pas à toujours dire aux employés quelque chose de nouveau, mais de renforcer ce qu’ils savent déjà.

5.2 Points de données supplémentaires

L’Étude du CPVP fournit une analyse exhaustive de la source des incidents, par type et par cause profonde.

Afin d’appuyer l’objectif énoncé d’émettre des commentaires aux organisations en vue d’aider à empêcher de futures atteintes à la protection des renseignements personnels, le CPVP pourrait avoir avantage à recueillir des données statistiques et descriptives auprès des organisations concernant les mesures qu’elles ont prises dans le but d’atténuer les risques associés aux atteintes à la protection des renseignements personnels et d’empêcher que d’autres ne surviennent. Bien que certaines de ces mesures puissent être de nature exclusive et considérées comme étant des renseignements commerciaux confidentiels dans certaines circonstances, bon nombre des stratégies et tactiques d’atténuation des risques peuvent être partagées avec d’autres organisations. Cela pourrait s’avérer particulièrement utile au sein des secteurs de l’industrie et, le cas échéant, l’association industrielle concernée peut devenir un partenaire utile dans l’amélioration des pratiques globales de gestion de la protection de la vie privée au sein d’un secteur donné.

Annexe A. Méthodologie

A.1 Préparation de l’enquête et de la présentation

L’enquête et la présentation ont été préparées par Nymity et, en plus d’avoir été étudiées en détail par le CPVP, des commentaires sur ces deux documents ont été reçus des professionnels de la protection de la vie privée associés aux organisations suivantes :

  • deux associations industrielles;
  • un grand expert de la protection de la vie privée qui travaille au privé dans un éminent cabinet d’avocats;
  • une entreprise de télécommunications;
  • un grand magasin de vente au détail;
  • un fournisseur de services Internet.

Après la réception des commentaires, des changements ont été apportés à la présentation et aux questions de l’enquête. Certaines ont été ajoutées, modifiées et, parfois, placées dans un autre ordre afin de veiller à ce que l’enquête soulève les questions et les discussions pertinentes.

A.2 Participants

Nymity a contacté plus de 65 professionnels de la protection de la vie privée afin de solliciter leurs commentaires et leur participation; 27 d’entre eux ont accepté de participé à l’enquête.

La présentation et l’enquête ont aussi été affichées sur le site Web de la firme Note de bas de page 8 pour permettre aux professionnels de la protection de la vie privée non sollicités par Nymity de prendre également part à ce projet de recherche. De plus, Nymity a publié un communiqué de presse annonçant cette étude dans le but d’encourager la participation.

L’enquête s’est déroulée entre le 27 août et le 18 septembre 2009 par l’entremise d’un appel téléphonique d’une durée moyenne d’une heure chacun.

Les industries sondées comprenaient les suivantes :

  • Services financiers — 6 participants;
  • Télécommunications — 4 participants;
  • Technologies de l’information — 3 participants;
  • Assurances — 3 participants;
  • Secteur manufacturier — 3 participants;
  • Vente au détail — 3 participants;
  • Autres — 5 participants.

Les réponses à l’enquête ont aussi été étudiées en tenant compte de la taille de l’organisation, en se servant du nombre d’employés comme mesure de base. Les entreprises participantes comptaient dans leurs rangs moins de 100 à plus de 80 000 employés, comme le montre le graphique ci-dessous :

Graphique : Taille des entreprises participantes

Annexe B.  Présentation

Aperçu du projet de recherche

Le Commissariat à la protection de la vie privée du Canada (CPVP) a retenu les services de Nymity Inc. afin de mener un projet de recherche concernant les incidents qui sont déclarés au CPVP.

Ce projet de recherche a pour but de comprendre comment les organisations interagissent actuellement avec les Lignes directrices sur la déclaration volontaire des incidents publiées par le CPVP. L’attention est surtout accordée au processus qu’utilisent les organisations pour déterminer à quel moment aviser le CPVP après une atteinte à la protection des renseignements personnels, par exemple, le genre d’incidents qui seraient déclarés, les préoccupations des organisations à l’égard de la déclaration et les mesures incitatives susceptibles d’être mises en place pour encourager cette dernière. En outre, ce projet de recherche vise à comprendre l’incidence qu’aurait la déclaration obligatoire au commissaire à la protection de la vie privée advenant l’édiction des modifications proposées à la LPRPDE.

Les participants à l’enquête bénéficient d’une occasion unique d’exprimer des préoccupations précises quant à la déclaration des incidents et au signalement d’atteintes à la protection des renseignements personnels. Nymity réalisera des entrevues auprès de responsables de la protection de la vie privée dans le secteur privé partout au Canada afin d’obtenir leurs commentaires et rétroactions sur les enjeux susmentionnés. Une version abrégée des entrevues sera également accessible sur le site de la firme (Nymity.com) pour les professionnels de la protection de la vie privée qui souhaitent participer à l’enquête, mais qui ne sont pas disponibles pour une entrevue. L’étude s’effectuera de façon anonyme au cours de laquelle aucun renseignement signalétique au sujet des entreprises sondées ne sera recueilli, compris dans le rapport de l’étude ou transmis au CPVP. Nymity fera état des rétroactions et tendances particulières le cas échéant et compilera toute donnée statistique à l’échelle de l’industrie.

Présentation de John Jager, vice-président des programmes de recherche chez Nymity

John Jager

Le projet de recherche est dirigé par John Jager, CIPP/C, vice-président des programmes de recherche chez Nymity. John est un professionnel de la protection de la vie privée accrédité et expérimenté qui travaille pour Nymity depuis trois ans à titre de vice-président. Son expérience dans le domaine de la protection de la vie privée comprend deux ans chez Sears Canada Inc. comme responsable de la protection de la vie privée. Il est aussi vice-président d’un comité de protection des renseignements personnels et de l’éthique de l’Association canadienne du marketing (ACM) et a représenté cette dernière lors d’une table ronde consultative d’Industrie Canada au cours de l’élaboration des modifications à la LPRPDE. John offre les ateliers de formation de Nymity sur les interventions en cas d’atteintes à la protection des renseignements personnels et a créé le Breach Response Centre, une composante de PrivaWorks. Enfin, John effectue ces entrevues en raison de ses vastes connaissances des enjeux touchant le traitement des atteintes à la protection des renseignements personnels.

Lignes directrices actuelles sur la déclaration volontaire

En août 2007, le CPVP a publié un certain nombre de documents sous le titre « Lignes directrices des étapes à suivre par les organisations en cas d'atteintes à la vie privée ». Outre ces principales étapes à suivre, les lignes directrices comprennent une liste de contrôle en cas d’atteintes à la protection des renseignements personnels.

La section 3 du document intitulé « Principales étapes à suivre par les organisations en cas d'atteintes à la vie privée » traite de la question des avis. Elle offre notamment des directives à propos des parties concernées qui devraient être avisées advenant une atteinte à la protection des renseignements personnels ainsi que la façon de les aviser et le moment pour le faire. La section 3(iv) — Autres personnes à notifier aborde la question de la déclaration de l’atteinte à d’autres parties que celles directement touchées par elle.

Le CPVP incite les organisations à signaler les atteintes importantes à la protection des renseignements personnels au commissariat à la protection de la vie privée approprié afin qu’il puisse répondre aux demandes de renseignements du public et à toute plainte éventuelle. De plus, le CPVP pourrait également fournir aux organisations des conseils utiles pour faire face à ces situations.

Au moment d’envisager un signalement le CPVP, les éléments suivants devraient être pris en compte :

  • toute loi applicable pouvant exiger un avis;
  • les renseignements personnels en cause sont-ils visés par une loi en matière de protection des renseignements personnels;
  • le type de renseignements personnels en cause;
  • les renseignements communiqués peuvent-ils être utilisés pour commettre un vol d’identité;
  • y a-t-il un risque raisonnable de préjudice découlant de l’atteinte à la protection des données, y compris des pertes non financières;
  • le nombre de personnes concernées par l’atteinte ;
  • les personnes concernées ont-elles été avisées;
  • peut-on s’attendre raisonnablement à ce que le Commissariat à la protection de la vie privée reçoive des plaintes ou des demandes de renseignements concernant l’atteinte à la protection des renseignements personnels.

Il importe de noter qu’à l’heure actuelle, la LPRPDE (ou la Personal Information Protection Act de l’Alberta ou de la Colombie-Britannique) ne contient aucune exigence légale de transmettre un avis d’atteinte à la protection des renseignements personnels à l’une ou l’autre des parties visées ou à toute autre partie, mais que cette mesure est encouragée par les commissaires à la protection de la vie privée au Canada.

Modifications proposées à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

En 2006 et 2007, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes (le Comité) a entrepris un examen législatif de la LPRPDE comme l’exige la Loi. Le Comité a publié ses recommandations dans un rapport en mai 2007.

La recommandation 23 du rapport du Comité se lisait comme suit : « que la LPRPDE soit modifiée par l'ajout d'une disposition obligeant les organisations à signaler certaines violations précises de la confidentialité de leurs fonds de renseignements personnels à la commissaire à la protection de la vie privée. »

Industrie Canada a par la suite tenu une série de réunions avec les intervenants intéressés afin d’élaborer un cadre proposé qui pourrait constituer le fondement de la modification de la LPRPDE. Dans son rapport de juin 2008, Industrie Canada a publié un modèle de travail en vue d’aider à encadrer et à étudier les modifications législatives proposées à la LPRPDE.

La section 3 de la partie B du rapport d’Industrie Canada traite de l’obligation de déclarer les incidents au commissaire à la protection de la vie privée du Canada et en recommande la définition suivante :
L’organisation est tenue de déclarer au commissaire toute atteinte importante à la protection des données. Les éléments servant à constater si une atteinte à la protection des renseignements personnels est importante sont les suivants : (i) le degré de sensibilité des renseignements visés par l’atteinte à la protection des renseignements personnels; (ii) le nombre d’individus touchés; (iii) le fait que l’atteinte fasse partie d’une tendance ou fournisse des preuves d’une cause fondamentale systémique qui ne respecte pas les normes opérationnelles acceptables du point de vue commercial.

En vue de déterminer qui sera chargé de déclarer l’incident au commissaire à la protection de la vie privée, le rapport recommande que l’organisation qui contrôle l’information soit responsable de déterminer le besoin de déclarer un cas d’atteinte à la protection des renseignements personnels. Cette recommandation vise à traiter de problèmes comme l’atteinte aux renseignements personnels conservés par des fournisseurs de services tiers.

Le rapport recommande d’aviser le commissaire le plus tôt possible à la suite de la détection, de la confirmation et de l’évaluation de la portée et de l’ampleur de l’atteinte à la protection des renseignements personnels. Le rapport énonce également certains renseignements pertinents que devrait contenir un rapport au commissaire, notamment les suivants :

  • nom de l’organisation et secteur de l’industrie;
  • circonstances de l’atteinte à la protection des données;
  • types de renseignements visés;
  • processus de signalement entrepris ou envisagé;
  • étapes en vue de contenir l’atteinte à la protection des renseignements personnels.

Au moment de la rédaction du présent document, le gouvernement n’avait pas apporté de modifications législatives à la LPRPDE impliquant ce cadre de déclaration au commissaire à la protection de la vie privée, mais il est généralement attendu que les activités à cet égard seront entreprises au cours de la session législative débutant à l’automne 2009.

Termes et définitions clés

« Renseignement personnel » :

  • Tout renseignement concernant un individu identifiable, à l’exclusion du nom et du titre d’un employé d’une organisation et des adresse et numéro de téléphone de son lieu de travail. (LPRPDE, paragraphe 2(1)).

« Atteinte à la vie privée » [atteinte à la protection des renseignements personnels ] :

  • accès non autorisé à des renseignements personnels ou la collecte, l'utilisation ou la communication non autorisée de tels renseignements :
    • Ces activités sont « non autorisées » lorsqu’elles contreviennent aux lois applicables en matière de protection des renseignements personnels.

(selon la définition du document « Principales étapes à suivre par les organisations en cas d'atteintes à la vie privée » publié par le CPVP).

« Atteinte importante à la protection des renseignements personnels »

  • Parmi les éléments servant à constater si une atteinte à la protection des renseignements personnels est importante se trouvent les suivants :
    • le degré de sensibilité des renseignements visés par l’atteinte à la protection des renseignements personnels;
    • le nombre d’individus touchés;
    • le fait que l’atteinte soit une tendance ou fournisse des preuves d’une cause fondamentale systémique qui ne respecte pas les normes opérationnelles acceptables du point de vue commercial.

Enquête de recherche

L’enquête sera réalisée par téléphone et consistera en une série de questions élaborées en vue de solliciter des réponses qualitatives. L’étude de recherche recueillera certains renseignements quantitatifs. Soyez assurés que ces données sont recueillies de façon anonyme et qu’aucun des renseignements fournis à titre confidentiel dans le cadre de cette enquête ne sera utilisé ou communiqué. Toutes les données statistiques seront enregistrées et suivies séparément du reste de l’enquête afin de veiller à ce que les renseignements ne puissent être associés à aucune organisation en particulier.

Afin d’aider les participants à recueillir les renseignements avant l’enquête téléphonique, les questions qui nécessitent une réponse qualitative à des fins statistiques sont présentées ci-dessous :

Question 1 — Estimer le nombre d’incidents déclarés au bureau ou au responsable de la protection de la vie privée de l’organisation :

  • en 2008
  • prévu une fois que la déclaration obligatoire sera en vigueur

Question 2 — Estimer le nombre de cas d’atteinte à la protection des renseignements personnels survenus en 2008 selon le niveau de gravité estimé par l’entreprise :

  • Grave
  • Modéré
  • Faible

Question 3 — Estimer le nombre de cas d’atteinte à la protection des renseignements personnels des clients ou des employés :

  • Renseignements personnels des clients
  • Renseignements personnels des employés

Question 4 — Estimer le nombre de cas d’atteinte à la protection des renseignements personnels déclarés au CPVP :

  • en 2008
  • prévu une fois que la déclaration obligatoire sera en vigueur

Annexe C. Enquête

Section 1 — Renseignements sur l’entreprise :

  • Industrie :
  • Taille de l’entreprise — nombre approx. d’employés

Section 2 — Régime actuel de déclaration volontaire :

Comme l’énonce la présentation, le Commissariat à la protection de la vie privée a publié des lignes directrices intitulées « Principales étapes à suivre par les organisations en cas d'atteintes à la vie privée ». Les organisations sont priées de signaler les atteintes importantes à la protection des renseignements personnels au Commissariat à la protection de la vie privée approprié en fonction d’un certain nombre d’éléments comme la loi applicable, le type de renseignements personnels en cause, le nombre de personnes concernées et le fait que les parties concernées aient été ou non avisées. Cette section de l’entrevue vise à recueillir des renseignements sur l’actuel régime de déclaration volontaire des organisations.

Question 1 :
Est-ce que vous ou votre organisation connaissez les lignes directrices en place sur la déclaration volontaire des cas d’atteinte à la protection des renseignements personnels et la façon dont elles s’appliquent à votre organisation?

Question 2 :
Votre organisation a-t-elle déjà perdu des données?

Question 3 :
Quels processus ou procédures sont en place au sein de votre entreprise en vue de l’aider à désigner et à évaluer les cas possibles d’atteinte à la protection des renseignements personnels ou de perte de données?

Question 4 :
Lorsqu’il est déterminé qu’il y a eu atteinte à la protection des renseignements personnels, de quelle façon la décision d’aviser le CPVP est-elle prise?

Question 5 :
Dans quelles circonstances le CPVP serait-il avisé?

Question 6 :
Est-ce que l’organisation a vécu un cas de perte de données où il y avait un risque de préjudice grave pour les parties concernées et où on a décidé de ne pas aviser le CPVP?

Pouvez-vous expliquer pourquoi le CPVP n’a pas été avisé?

Question 7 :
Quelle est l’opinion de la haute direction de votre organisation quant à la déclaration volontaire des cas d’atteinte à la protection des renseignements personnels au CPVP?
Quelles sont ses préoccupations relatives à la déclaration ou à la non-déclaration?

Question 8 :
Quelles mesures ou quels incitatifs le CPVP pourrait-il mettre en place afin d’encourager la déclaration d’atteintes à la protection des renseignements personnels?

Question 9 :
Quels processus de soutien le CPVP pourrait-il fournir en vue de faciliter la déclaration volontaire auprès de son organisation?

Question 10 :
Avez-vous connu un cas d’atteinte à la protection des renseignements personnels de Canadiennes et Canadiens s’étant produit à l’extérieur du pays?

Dans l’affirmative, quelles mesures ont été prises par l’organisation à cet égard?
Dans la négative, y a-t-il en place une politique qui traite de ce type de situation? Que comporte cette politique?

Question 11 :
Avez-vous connu un cas d’atteinte à la protection des renseignements personnels où ceux-ci avaient été transmis à un tiers?

Dans l’affirmative, y avait-il un protocole en place pour traiter de ce cas?
Dans la négative, y a-t-il en place une politique qui traite de ce type de situation? Que comporte cette politique?

Question 12 :
Si vous avez déclaré une atteinte à la protection des renseignements personnels auprès du CPVP, comment décririez-vous cette expérience en général?

Question 13 :
Diriez-vous que votre organisation a une culture ouverte et honnête relativement à la déclaration d’incidents de perte de données?

Question 14 :
Selon vous, pour quels motifs et objectifs le CPVP demande-t-il aux organisations de déclarer les cas d’atteinte à la protection des renseignements personnels de façon volontaire?

Section 3 — Régime de déclaration obligatoire :

Comme l’énonce la présentation, Industrie Canada recommandera que les modifications apportées à la LPRPDE comprennent un régime de déclaration obligatoire exigeant des organisations qu’elles déclarent toute atteinte importante à la sécurité des données au commissaire à la protection de la vie privée. Cette section vise à étudier les défis auxquels pourront être confrontées les organisations dans le cadre d’un régime de déclaration obligatoire.

Question 1 :
En fonction des renseignements fournis dans la présentation au sujet des modifications proposées, votre organisation a-t-elle, par le passé, vécu des incidents liés à la perte de données qui n’ont pas été déclarés au CPVP et qui le seraient maintenant?

Dans l’affirmative, quels sont les éléments qui auraient rendu ces incidents déclarables en vertu d’un régime de déclaration obligatoire?

Question 2 :
La déclaration obligatoire des atteintes à la protection des renseignements personnels au CPVP suscite-t-elle de nouvelles inquiétudes et, si oui, pourquoi?

Question 3 :
En vertu d’un régime de déclaration obligatoire, le processus visant à décider du moment de la déclaration serait-il différent de celui en vigueur actuellement?

Question 4 :
En vertu d’un régime de déclaration obligatoire, la décision des entreprises de déclarer ou non un incident sera-t-elle influencée s’il s’agissait d’une déclaration anonyme faite à un tiers?

Question 5 :
Quels éléments pourraient réduire toute hésitation à déclarer un incident?

Question 6 :
Si la déclaration devenait obligatoire, ou lorsqu’elle le sera, de quel soutien aurez-vous besoin pour vous aider à respecter les nouvelles exigences?

Section 4 — Incidence possible de la déclaration obligatoire sur les organisations

Cette section comprend un certain nombre de questions qui examinent l’incidence possible de la déclaration obligatoire proposée sur les organisations. L’incidence pourrait être de nature financière, comprendre le besoin de mettre à jour les protocoles de gestion de la protection de la vie privée ou même impliquer des changements structuraux à la façon dont les organisations exécutent leurs programmes de protection de la vie privée.

Question 1 :
Selon vous, quelle incidence la déclaration obligatoire aura-t-elle sur votre entreprise?

Question 2 :
Vote entreprise a-t-elle déjà commencé sa planification en vue de la déclaration obligatoire? Dans l’affirmative :
Quelles mesures ont été prises?
Quelles mesures sont prévues?

Question 3 :
Votre entreprise est-elle dotée d’un protocole officiel d’intervention en cas d’atteinte à la protection des renseignements personnels?
Dans l’affirmative, veuillez en décrire les principaux éléments;
Dans la négative, un protocole sera-t-il établi pour traiter de la nouvelle exigence en matière de déclaration ?

Question 4 :
Votre entreprise a-t-elle un programme de suivi des incidents en place?
Dans l’affirmative, veuillez en décrire les principaux éléments;
Dans la négative, un programme de suivi des incidents sera-t-il établi pour traiter de la nouvelle exigence en matière de déclaration?

Question 5 :
Comment décririez-vous l’état général du programme de gestion de la protection de la vie privée de votre entreprise?

Question 6 :
En plus des questions relatives à la déclaration obligatoire, est-ce que votre entreprise affectera des ressources supplémentaires en vue d’améliorer ou d’appuyer le programme de gestion de la protection de la vie privée en 2010? En 2011? Dans l’affirmative, veuillez décrire les types d’investissements étudiés.

Section 5 — Mesures quantitatives :

Cette section recueillera auprès des participants les données disponibles relatives aux incidents ou aux atteintes à la protection des renseignements personnels qui se sont produits au sein des organisations. Veuillez prendre note que toutes les données sont recueillies de façon anonyme et visent la réduction des données et l’établissement de tendances générales.

Veuillez si possible fournir les données suivantes :

Question 1 :
Estimer le nombre d’incidents déclarés au bureau ou responsable de la protection de la vie privée de l’organisation :

  • en 2008
  • prévu une fois que la déclaration obligatoire sera en vigueur

Question 2 :
Estimer le nombre de cas d’atteinte à la protection des renseignements personnels survenus en 2008 selon le niveau de gravité estimé par l’entreprise :

  • Grave
  • Modéré
  • Faible

Question 3 :
Estimer le nombre de cas d’atteinte à la protection des renseignements personnels des clients ou des employés :

  • Renseignements personnels des clients
  • Renseignements personnels des employés

Question 4 :
Estimer le nombre de cas d’atteinte à la protection des renseignements personnels déclarés au CPVP :

  • en 2008
  • prévu une fois que la déclaration obligatoire sera en vigueur

Annexe D. Lettre de Terry McQuay, président, Nymity Inc.

À : Lecteurs du rapport de recherche sur la déclaration des incidents au CPVP
De : Terry McQuay, président, Nymity Inc.

Objet : Comparaison des résultats de l’enquête avec ceux des consultations auprès des professionnels de la protection de la vie privée de Nymity

Comme le projet de recherche a été réalisé de manière indépendante par John Jager, le vice-président des programmes de recherche de Nymity, je n’ai pas été impliqué directement dans l’étude de recherche ni dans l’élaboration du présent rapport. J’étais donc très curieux de lire les résultats de cette étude de recherche afin de voir s’ils étaient le reflet de mon expérience personnelle au sein de l’industrie canadienne. Le modèle opérationnel de Nymity comprend un programme de diffusion directe par l’entremise duquel nous communiquons avec les responsables de la protection de la vie privée des entreprises de toutes tailles afin de présenter nos produits. Le programme de diffusion n’est pas sélectif, mais communique avec les organisations au hasard, sans connaître la mesure dans laquelle elles prennent la protection de la vie privée au sérieux ou investissent de manière proactive dans la gestion et le respect de la vie privée. Je communique personnellement avec plus de 150 responsables de la protection de la vie privée par année, et mon expérience est la suivante :

  • Les organisations connaissent les lois en matière de protection de la vie privée et, bien qu’elles ne soient pas toutes dotées d’un poste de responsable de la protection de la vie privée, quelqu’un s’en charge. Règle générale, il est facile de trouver ce responsable : nous contactons l’entreprise, demandons le service juridique puis demandons à parler au responsable de la protection de la vie privée. Dans les plus petites organisations, il n’y a souvent pas de service juridique, mais on sait toujours à qui s’adresser pour les questions juridiques;
  • Les organisations qui recueillent des renseignements personnels sur les clients sont dotées d’une politique sur la protection de la vie privée;
  • La plupart des organisations qui recueillent des renseignements personnels sur les clients ont offert une certaine formation à leurs employés;
  • La plupart des organisations qui traitent des renseignements sensibles vont au-delà des politiques et de la formation et ont entrepris les mesures suivantes :
    • mise en place de procédures et, dans certains cas, création de manuels détaillés sur la protection de la vie privée,
    • création d’un protocole sur les atteintes à la protection des renseignements personnels;
  • La plupart des organisations n’ont pas reçu beaucoup de plaintes, et peu de demandes d’accès;
  • Les organisations dont le siège est en Colombie-Britannique ou en Alberta sont généralement dotées d’un programme de gestion de la protection de la vie privée plus mature que celles du reste du Canada, et elles ont entrepris plus de mesures dans le domaine de la protection de la vie privée des employés. En Alberta, nous avons vu des petites entreprises dotées de programmes de gestion de la protection de la vie privée très matures.

La plupart de mes observations et expériences relatives aux professionnels de la protection de la vie privée du Canada sont conformes aux résultats de l’étude, et je ne suis pas surpris du niveau de connaissances des organisations quant aux Lignes directrices du Commissariat sur les atteintes à la protection des renseignements personnels. Je m’attendais à ce que les organisations soient plus préoccupées par la déclaration volontaire des incidents relatifs à des atteintes à la protection des renseignements personnels au CPVP et à ce qu’elles préfèrent déclarer les incidents de façon anonyme. Le niveau élevé de confiance dans le cadre de la collaboration avec le Commissariat est fort probablement attribuable à la réputation qu’il s’est forgée auprès de la communauté de la protection de la vie privée au cours de quatre dernières années.

Je crois que les investissements des organisations dans la gestion de la protection de la vie privée sont liés aux éléments suivants :

  • La quantité et le degré de sensibilité des renseignements recueillis;
  • Le fait que le siège de l’organisation soit en Colombie-Britannique ou en Alberta;
  • La culture organisationnelle;
  • L’âge de l’organisation;
  • Les croyances personnelles du responsable de la protection de la vie privée.

Selon mes entretiens exhaustifs avec les responsables de la protection de la vie privée du Canada, je suis d’avis que cette étude est représentative de l’industrie canadienne. Je suis confiant que le processus relatif à l’étude a été respecté de façon méticuleuse afin de veiller à la collecte d’un contenu juste et représentatif.

À propos de Nymity

Nymity est une firme mondiale de services de recherche sur la protection de la vie privée et des données qui se spécialise dans la gestion de la conformité et des risques opérationnels. Elle est reconnue pour son outil de recherche de pointe, PrivaWorks, utilisé par plus de 1 000 professionnels de la protection de la vie privée. Nymity a créé la méthodologie de l’optimisation des risques par la planification de la protection des renseignements personnels (PbD Risk Optimization Methodology) reconnue comme étant un excellent outil de gestion de la vie privée en vue d’intégrer la protection de la vie privée et des données dans les activités commerciales. Nymity a rendu la méthodologie disponible au sein de la communauté de la protection de la vie privée. Nymity réalise des travaux de recherche aux États-Unis, en Europe et au Canada, et ceux-ci s’étendront à la région Asie-Pacifique et à l’Amérique du Sud en 2010.

Date de modification :