Technologie, propriété intellectuelle et communications

Atteinte à la sécurité de renseignements personnels

  • Samuel Nadeau
Par Samuel Nadeau Avocat
Une entreprise qui subit une cyberattaque pouvant compromettre la sécurité des renseignements personnels qu’elle détient dans le cadre de ses activités commerciales doit-elle en aviser une autorité gouvernementale?

Non. En ce moment, la législation tant fédérale que provinciale ne prévoit aucune obligation de ce genre et la divulgation de tels incidents est faite de manière volontaire.

Par contre, un projet de règlement fédéral propose trois (3) nouvelles obligations aux organisations victimes d’une telle atteinte.

1. L’organisation devra déclarer cette atteinte à la sécurité des renseignements personnels au Commissaire à la protection de la vie privée du Canada, en fournissant certaines informations sur l’atteinte, telles les circonstances ou la nature des renseignements visés.

2. L’organisation devra aviser les personnes pouvant subir un préjudice découlant de cette atteinte de l’occurrence de cet incident et leur indiquer, entre autres, les mesures prises pour réduire les risques de préjudice.

3. L’organisation devra tenir un registre interne documentant les atteintes et les mesures entreprises pour corriger ces situations. Ce registre permettra de démontrer que les organisations effectuent un suivi sur les intrusions qui peuvent constituer une atteinte à la sécurité des renseignements.

Advenant l’adoption de ce règlement, il y a fort à parier que la législation provinciale sera modifiée prochainement.

Bien que pour l’instant il n’y ait aucune obligation de déclarer une atteinte à la protection des renseignements personnels, nous recommandons tout de même aux entreprises de réagir promptement à ces évènements et de documenter les situations mettant à risque la protection des renseignements personnels.

Pour toute question supplémentaire sur la protection des renseignements personnels que votre entreprise détient aux fins d’activités commerciales, n’hésitez pas à communiquer avec notre équipe!

1