Assurer la sécurité et la protection des renseignements personnels des Canadiens

Nouvelles exigences touchant le signalement des atteintes à la protection des données par les entreprises

Le 1^er novembre 2018 — Ottawa (Ontario)

Le gouvernement du Canada veille à ce que le Canada dispose de solides lois en matière de protection de la vie privée pour assurer la sécurité des renseignements personnels des Canadiens tout en soutenant l’innovation.

De nouvelles exigences entrent aujourd’hui en vigueur aux termes de la législation sur la protection des renseignements personnels détenus par les entreprises. Ces exigences précisent comment les entreprises doivent prévenir les personnes concernées dans le cas d’une perte ou d’un vol de leurs renseignements personnels. Elles prévoient également de nouvelles sanctions pécuniaires pour les entreprises qui omettent de le faire. L’adoption de ces nouvelles exigences en matière de signalement et de ces nouvelles sanctions renforcera le régime de protection des renseignements personnels des Canadiens et donnera aux Canadiens les moyens de se protéger et de protéger leurs renseignements.

Conformément aux nouvelles exigences, les organismes qui constatent une atteinte à la sécurité des données qui incluent des renseignements personnels, doivent faire ce qui suit :

• déterminer si l’atteinte pose un risque réel de préjudice grave à quiconque dont les renseignements personnels ont été touchés par l’atteinte;
• aviser le plus tôt possible les personnes touchées de toute atteinte posant un risque réel de préjudice grave;
• signaler le plus tôt possible toute atteinte posant un risque réel de préjudice grave au Commissariat à la protection de la vie privée du Canada;
• aviser, au besoin, toute tierce partie en mesure, selon eux, d’atténuer le préjudice causé aux personnes touchées;
• tenir un registre de toutes les atteintes à la sécurité des données connues et le fournir au Commissariat à la protection de la vie privée du Canada, sur demande.

Les sanctions pécuniaires prévues pour les entreprises qui omettent de signaler les atteintes comprennent des amendes pouvant atteindre 100 000 $ dans le cas des entreprises qui omettent sciemment d’aviser les personnes touchées ou de signaler une atteinte au Commissariat à la protection de la vie privée du Canada. 

La réglementation est mise en œuvre en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi canadienne qui régit la protection des renseignements personnels dans le secteur privé. La Loi établit les règles de base pour la collecte, l’utilisation et la divulgation des renseignements personnels par les entreprises dans le cadre de leurs activités commerciales.

Le document d’orientation publié par le Commissariat à la protection de la vie privée du Canada contient plus de précisions sur la façon dont les entreprises doivent se conformer à leurs nouvelles obligations.

La collecte, la rétention, l’utilisation et la divulgation de renseignements personnels par les organismes gouvernementaux sont régies par la Loi sur la protection des renseignements personnels. Les institutions fédérales sont déjà tenues de signaler les atteintes importantes à la vie privée au Commissariat à la protection de la vie privée du Canada et au Secrétariat du Conseil du Trésor du Canada.