Le règlement sur les atteintes à la sécurité des renseignements personnels revisité

  • 30 octobre 2017

L’annonce d’une atteinte à la sécurité des données a de quoi vous donner des cauchemars. Est vulnérable toute personne qui a déjà envoyé des renseignements confidentiels en ligne, et de nos jours, nous sommes de plus en plus nombreux à l’être, il suffit de se souvenir de l’atteinte à la sécurité de Yahoo! qui a touché trois milliards d’utilisateurs cet été.

Le gouvernement fédéral élabore un règlement d’application de la LPRPDE pour préciser les modalités et le moment de la notification des personnes dont les renseignements personnels pourraient avoir été impliqués dans une atteinte aux mesures de sécurité. Le projet de règlement a été publié en septembre dans la Gazette du Canada.

Dans l’ensemble, les commentaires (disponibles uniquement en anglais) au sujet du projet de règlement exprimés par la Section du droit des renseignements personnels et de l’accès à l’information de l’ABC et par l’ACCJE visent à trouver le point d’équilibre entre la protection du consommateur et les impératifs commerciaux de l’organisation qui effectue la notification.

Les sections félicitent le gouvernement d’avoir accepté les recommandations proposées antérieurement par l’ABC de n’exiger que ni avis ni rapports concernant une violation ne soient destinés à déterminer ou à spéculer sur les genres de préjudices qui pourraient en découler. [TRADUCTION] « Les sections de l’ABC avaient recommandé que le contenu des rapports soit fondé sur les faits », affirme le mémoire le plus récent.

Le projet de règlement exige qu’un avis soit adressé à toute personne touchée par « une atteinte aux mesures de sécurité […] s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu. »

Cependant, le projet de règlement va trop loin lorsqu’il exige que les notifications d’atteintes  contiennent des renseignements au sujet du processus interne de plainte de l’organisation, affirme le mémoire. Il suffit de fournir un numéro à appeler pour obtenir de plus amples renseignements. Selon le mémoire, l’avis devrait être axé sur la communication d’un message convivial à la personne sur la façon de se procurer des renseignements supplémentaires au sujet de l’atteinte à la sécurité des renseignements et des mesures qu’elle peut, et devrait, prendre pour se protéger.

Le projet de règlement prévoit un certain nombre de moyens pour notifier une personne touchée par une violation; moyens dont les sections pensent  pourraient être simplifiés et réduits à a) un courriel, b) une communication sécurisée (si la personne touchée a consenti à recevoir des communications envoyées par l’organisation sous cette forme, c) une lettre, d) une communication orale (qui peut inclure un message vocal ou non) et e) des réunions en personne.

Selon les sections, l’utilisation du courrier électronique à cette fin devrait être exemptée de consentement préalable puisqu’elle ne répondrait pas au critère de « message électronique commercial » aux fins de la LCAP.

[TRADUCTION] « La notification directe a pour objet d’informer les personnes d’une atteinte à la sécurité des renseignements personnels et de leur donner une chance de réduire le risque de préjudice, ou de limiter la portée des préjudices, découlant de cette atteinte. Il est fondamental que les avis soient envoyés très rapidement afin de donner à leurs destinataires les meilleures chances possibles de réduire les risques et la portée des préjudices. Assortir la capacité d’envoyer un avis par courrier électronique de l’exigence de l’obtention d’un consentement préalable limite la capacité d’une organisation et d’une personne à atteindre l’objectif visé. »

Les sections soulignent en outre les incohérences au niveau des exigences connexes aux adresses et aux numéros de téléphone, soit « dernière adresse de résidence connue » et « téléphone », mais pas nécessairement « dernier numéro de téléphone connu ». Ces exigences spécifiques n’ont pas lieu d’être, il suffit d’exiger que l’ensemble des communications, quelle que soit leur forme, soient adressées aux dernières coordonnées connues.

Il est parfois plus efficient, ou plus faisable, d’aviser indirectement les personnes affectées par une atteinte à la sécurité. Les sections suggèrent de modifier le projet de règlement afin d’y ajouter cette possibilité lorsque les coordonnées sont « probablement » désuètes (le projet de règlement dit « sont » désuètes) ou lorsque l’organisation ne pourrait faire face au coût excessif d’une notification directe adressée à chaque intéressé du groupe affecté.

Lorsque le règlement prévoit, dans sa version anglaise, que la notification indirecte pourrait revêtir la forme d’une annonce en utilisant le terme « advertisement » (soit annonce publicitaire en français), les sections recommandent de plutôt utiliser le mot « announcement » (soit annonce en français), eu égard à la signification commerciale précise et limitée du terme « advertisement ».

Pour obtenir de plus amples renseignements sur la LPRPDE et sur les atteintes à la sécurité, veuillez lire les mémoires publiés par l’ABC en mars 2017 et en mai 2016 (ce dernier disponible uniquement en anglais).

[0] Commentaires

Les membres de l’ABC peuvent commenter ce billet.