Résumé des réponses à la consultation — Règlement sur la notification et la déclaration des atteintes à la protection des données

Octobre 2016

Introduction

Le 4 mars 2016, Innovation, Sciences et Développement économique Canada (ISDE) a publié un document de discussion au sujet du règlement sur la notification et la déclaration des atteintes à la protection des données en application de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), invitant les parties intéressées à lui faire part de leurs commentaires sur les options présentées dans le document, et ce, au plus tard le 31 mai 2016.

Le document de discussion visait à solliciter l'avis et le point de vue des intéressés sur la façon dont le gouvernement du Canada devrait élaborer ce règlement. Il décrivait chaque domaine où le gouvernement a le pouvoir d'établir des règlements et invitait les intervenants à répondre à des questions précises sur des éléments clés de chaque domaine. Le présent document résume les réponses reçues.

ISDE remercie tous les répondants de leur apport précieux à l'élaboration du règlement de la LPRPDE sur les atteintes à la protection des données. La publication du projet de règlement dans la Partie I de la Gazette du Canada offrira une nouvelle occasion de présenter des commentaires.

Modifications à la Loi sur la protection des renseignements personnels et les documents électroniques

Le 18 juin 2015, la Loi sur la protection des renseignements personnels numériques (aussi appelée projet de loi S -4) a reçu la sanction royale, apportant d'importantes modifications à la LPRPDE afin de mieux protéger les renseignements personnels, de simplifier les règles applicables aux entreprises et d'y accroître la conformité.

Au nombre des modifications apportées par la Loi sur la protection des renseignements personnels numériques figure l'établissement d'exigences obligatoires de notification des atteintes à la protection des données. Les exigences sont énoncées à la section 1.1 de la LPRPDE, laquelle n'est pas encore en vigueur. En résumé, en cas d'intrusion dans leurs données – appelée dans la Loi « atteinte aux mesures de sécurité » –, les organisations doivent :

  • déterminer si l'atteinte présente un « risque réel de préjudice grave » à l'endroit de tout individu dont les renseignements personnels sont en cause;
  • aviser le plus tôt possible les individus de toute atteinte présentant un « risque réel de préjudice grave » à leur endroit;
  • déclarer le plus tôt possible auprès du commissaire à la protection de la vie privée toute atteinte à la protection des données présentant un « risque réel de préjudice grave »;
  • aviser, s'il y a lieu, tout tiers qu'elles croient être en mesure d'atténuer le risque de préjudice;
  • tenir un registre des atteintes à la protection des données et donner accès à ce registre au commissaire à la protection de la vie privée à la demande de celui-ci.

Le gouvernement a le pouvoir d'établir des règlements afin de conférer davantage de clarté et de précision aux exigences de déclaration des atteintes à la protection des données prévues par la LPRPDE. Cela comprend le pouvoir d'établir les modalités et le contenu des notifications et déclarations, les facteurs additionnels à considérer dans la détermination du risque, les exigences de tenue de registres et d'autres éléments. Les nouvelles exigences de notification en cas d'atteinte à la protection des données entreront en vigueur quand le gouvernement aura adopté le règlement définitif.

Réponses

Généralités

Tous les répondants à qui on a demandé de présenter leurs observations étaient heureux de l'occasion qu'on leur offrait de commenter l'élaboration du règlement sur la notification et la déclaration des atteintes à la protection des données. La majorité d'entre eux sont en faveur de réglementer sur certains des éléments décrits dans le document de discussion afin d'apporter plus de certitude en ce qui a trait aux nouvelles obligations des organisations réglementées.

Le thème dominant, qui recoupe les réponses dans tous les domaines, est la nécessité d'un maximum de flexibilité. Disant craindre les règlements trop normatifs, les répondants expriment le désir de pouvoir adapter les exigences à la conjoncture de l'atteinte, aux processus opérationnels existants et aux pratiques de communication établies.

Un autre thème témoigne du désir que soient harmonisées les exigences de déclaration des atteintes à la protection des données avec celles en usage dans d'autres champs d'application, en particulier avec les lignes directrices de signalement volontaire en vigueur du Commissariat à la protection de la vie privée du Canada (CPVP) et avec le règlement de l'Alberta en application de la Personal Information Protection Act (PIPA) (en anglais seulement).

Un répondant exprime ses préoccupations au sujet de l'approche générale de la Loi sur la protection des renseignements personnels numériques en ce qui a trait à la notification et au signalement des atteintes à la protection des données et demande qu'on l'écarte en faveur d'un modèle différent en vertu duquel toutes les atteintes seraient déclarées auprès du commissaire à la protection de la vie privée, qui déciderait alors du moment où les intéressés doivent être avisés.

Facteurs servant à déterminer le risque réel de préjudice grave

Les répondants sont divisés sur la nécessité pour le règlement d'indiquer ou non des facteurs de risque additionnels pour déterminer si l'atteinte représente un « risque réel de préjudice grave », une mince majorité étant favorable à l'ajout de facteurs, notamment les mesures prises par l'organisation pour atténuer le risque en cas d'atteinte, le degré malveillance de l'atteinte à la protection des données, et la nature de la relation entre les personnes touchées et l'organisation qui a subi une intrusion (employés, clients, etc.).

Les autres sont d'avis que les facteurs déjà énoncés dans la loi sont suffisants pour guider l'évaluation des risques. Dans sa réponse, publiée sur son site Web, le CPVP déclare « que les facteurs énoncés au paragraphe 10.1(8) de la Loi regroupent déjà les éléments clés que les organisations devraient examiner au moment d'évaluer les risques » et suggère d'offrir de l'aide additionnelle aux organisations dans les documents d'orientation plutôt que dans le règlement.

Sur la question du chiffrement, la grande majorité des répondants sont en faveur de confirmer dans le règlement que l'on peut présumer faible le risque qu'une atteinte fait courir à l'intéressé lorsqu'une méthode appropriée de chiffrement a été utilisée. Le CPVP est d'avis contraire, déclarant que s'il est vrai que le chiffrement contribue à réduire le préjudice associé à une atteinte, son utilisation n'équivaut pas nécessairement à un faible risque de préjudice puisque d'autres considérations peuvent influer sur son efficacité, par exemple la possibilité que la clé de chiffrement ait également été piratée.

Déclaration présentée auprès du commissaire à la protection de la vie privée

Contenu

La plupart des répondants sont favorables au fait de prescrire dans le règlement les renseignements minimaux à inclure dans une déclaration présentée auprès du commissaire à la protection de la vie privée. Ils sont aussi en faveur d'harmoniser les exigences à celles de l'actuel formulaire de signalement volontaire du CPVP. Le CPVP lui-même propose aussi d'inclure une description des mesures de sécurité pertinentes de l'organisation, telle que toute amélioration apportée pour se protéger contre le risque d'une atteinte similaire à l'avenir.

Sur la question d'inclure ou non dans la déclaration l'évaluation du risque de préjudice découlant de l'atteinte, les répondants sont encore partagés. Ceux qui s'opposent à une telle exigence déclarent qu'il serait trop fastidieux et difficile pour de nombreuses organisations de s'y conformer, surtout pour les PME, et que l'analyse tiendrait essentiellement de la conjecture. Par ailleurs, ceux qui sont en faveur d'inclure une telle évaluation soutiennent qu'elle aiderait les intéressés à comprendre l'importance de l'atteinte. De plus, le CPVP soutient qu'elle lui permettrait de déterminer si les organisations font des déclarations excessives ou si elles surestiment le risque de préjudice.

Pour ce qui est de mettre à jour les déclarations présentées auprès du CPVP concernant les atteintes, et ce, dès que des renseignements nouveaux ou additionnels sont disponibles, tous les répondants demandent l'instauration d'un cadre flexible. Ils reconnaissent la nécessité de signaler les atteintes auprès du CPVP « dès que possible », mais soulignent que les renseignements au sujet d'une atteinte ne seront pas tous disponibles immédiatement et souhaitent que le règlement permette à une organisation de mettre à jour une déclaration présentée auprès du commissaire à la protection de la vie privée lorsque cela est jugé nécessaire, par exemple en cas de modifications importantes apportées à l'information.

Modalités

Tous les répondants sont en faveur de fournir une déclaration écrite auprès du commissaire à la protection de la vie privée. Cependant, plusieurs estiment que les organisations devraient jouir d'une certaine latitude quant à la façon de faire cette déclaration. Par exemple, certains préféreraient pouvoir faire une déclaration  téléphonique d'abord, puis une déclaration écrite plus détaillée.

La plupart des répondants étaient en faveur d'utiliser un portail en ligne pour déclarer les atteintes, invoquant sa facilité d'utilisation et le potentiel ainsi offert de mieux protéger les données. En particulier, certains ont insisté sur la nécessité de traiter en toute confidentialité les déclarations d'atteintes puisqu'elles peuvent renfermer des renseignements commerciaux et stratégiques de nature délicate. Certains sont toutefois d'avis que l'utilisation d'un portail devrait être optionnelle et être compatible avec les technologies commerciales standard.

Notification aux intéressés

Contenu

Les répondants divergent de position quant à la nécessité de préciser dans le règlement le contenu requis des notifications aux intéressés. Les uns sont d'avis que l'exigence prévue par la loiNote de bas de page 1 est suffisamment claire et les autres, qu'il serait utile de prescrire une liste limitée de contenu obligatoire (c.-à-d. les exigences de base ou minimales). S'il faut préciser le contenu, l'on convient toutefois en général que cela doit se faire dans le respect des exigences de déclaration en vigueur en Alberta et des lignes directrices de signalement volontaire du CPVP. Il est aussi proposé qu'il soit obligatoire d'inclure dans les déclarations des renseignements au sujet des mesures que la personne touchée peut prendre afin d'atténuer le préjudice causé à son endroit par l'atteinte et de formuler l'avis dans un « langage clair et simple » pour veiller à ce que le lecteur moyen puisse le comprendre.

Modalités

Sur cette question, tous les répondants sont d'avis que le règlement devrait offrir aux organisations le plus de latitude possible sur la façon d'aviser les personnes touchées. En ce qui a trait à la notification directe, une petite majorité préfère que les exigences soient claires et explicites, c'est-à-dire que la notification directe soit permise par voie téléphonique, par courriel, par lettre ou en personne. D'autres estiment cependant que le règlement devrait contenir une approche plus générale, technologiquement neutre, et permettre toute forme de communication directe établie et convenue avec les personnes touchées. Ils affirment qu'en cette ère d'évolution des technologies de communication, la prescription d'une liste exhaustive rendrait rapidement le règlement caduc et que certaines organisations ne conservent que certains types de coordonnées au sujet de leurs clients. Certains répondants donnent l'exemple du règlement albertain de signalement des atteintes à la protection des données, lequel ne prescrit aucun moyen de notification aux intéressés.

Plusieurs répondants souhaitent l'imposition de restrictions sur certains modes de communication dans le cas de la notification directe. Par exemple, lorsqu'elle avise de vive voix la personne touchée, l'organisation devrait tenir un registre écrit de cet entretien, et lorsqu'elle l'avise par voie téléphonique, elle devrait le faire directement sans passer par quelqu'un d'autre ou par la messagerie vocale.

Certains proposent d'utiliser des critères basés sur la performance pour restreindre la sélection de la méthode de communication. Par exemple, l'on estime que la méthode de notification choisie ne devrait pas accentuer le risque de préjudice pour les personnes touchées et que les organisations devraient s'enquérir de leur préférence quant à la méthode à utiliser pour leur communiquer des notifications d'importance.

Le CPVP est d'accord avec ce point de vue, déclarant que le règlement devrait permettre aux organisations d'utiliser un large éventail de méthodes de communication et que les directives aux organisations quant à la sélection des méthodes pourraient figurer dans les documents d'orientation.

Quant à la communication indirecte, la vaste majorité des répondants sur ce sujet préfèrent que le règlement prévoie une approche technologiquement neutre et non exhaustive permettant aux organisations de choisir en toute discrétion la méthode de communication idéale selon les circonstances. Les répondants proposent de permettre, en sus des traditionnels moyens que sont la radiodiffusion et l'affichage sur les sites Web, d'aviser indirectement les intéressés par l'entremise des médias sociaux, de portails Web, de signalisation sur les lieux et d'applications mobiles.

Quelques répondants proposent que la notification indirecte fasse l'objet d'exigences additionnelles, par exemple qu'elle soit affichée pendant une période suffisamment longue et que la méthode soit adaptée au type de produit ou de service et convienne à la nature de l'interaction entre le consommateur et l'organisation.

Quant à la nécessité de prescrire des conditions lorsqu'il est permis d'utiliser la notification indirecte, les répondants se disent généralement favorables aux lignes directrices du CPVP et au règlement de l'Alberta en la matière, à savoir que l'on peut y recourir lorsque la notification directe est susceptible de causer davantage de préjudices, lorsque les coordonnées des personnes concernées sont inconnues ou insuffisantes ou lorsque les coûts de la notification directe sont excessifs. Sur ce dernier point, la plupart des répondants sont d'avis que les organisations sont les mieux placées pour déterminer le coût qu'elles sont en mesure d'absorber compte tenu de l'ampleur de l'atteinte et des ressources à leur disposition. Toutefois, quelques-uns demandent qu'on fixe des seuils clairs et même qu'on définisse la notion de « coûts excessifs » dans le règlement.

Notification à de tierces parties

Pour ce qui est d'indiquer les circonstances de notification obligatoire à d'autres organisations, la majorité des répondants sont d'avis que les organisations devraient avoir pleine discrétion en la matière, soutenant que des accords contractuels ont été conclus avec des partenaires et des fournisseurs à cette fin et que le contexte de chaque atteinte déterminera s'il y a lieu d'en informer les tierces parties.

D'autres sont d'avis que le règlement devrait préciser les circonstances exactes qui obligent à informer des tiers tels que les organismes d'application de la loi et les agences d'évaluation du crédit. Le CPVP suggère de ne pas imposer d'autres conditions au moyen du règlement, déclarant qu'il est possible d'aider les organisations par le truchement des documents d'orientation.

Tenue de registres

En ce qui a trait aux exigences applicables à la tenue de registres sur les atteintes à la protection des données, les répondants divergent d'opinion quant à la nécessité de préciser ou non le contenu d'un registre dans le règlement. Beaucoup se disent préoccupés par le fardeau administratif qu'impose la tenue de registres et par le risque qu'une manière exhaustive de faire soit préjudiciable à une organisation dans le cadre de procédures judiciaires.

Parmi ceux en faveur de réglementer le contenu d'un registre des atteintes, plusieurs proposent des éléments de données précis à inclure dans la déclaration à des fins de clarté et de cohérence. D'autres proposent plutôt une approche axée sur la performance, comme l'obligation qu'un registre des atteintes renferme suffisamment d'information pour démontrer que l'organisation fait preuve de diligence raisonnable dans la surveillance des atteintes et l'évaluation du risque. Un répondant propose que le registre renferme suffisamment de renseignements pour convaincre le commissaire à la protection de la vie privée que l'atteinte a fait l'objet d'une enquête interne et qu'on a conclu à l'inutilité de soumettre une déclaration intégrale auprès de ce dernier.

Dans son mémoire, le CPVP indique que le contenu de ces registres devrait aider l'organisme de réglementation à comprendre le processus utilisé par une organisation pour évaluer le risque, déclarant que le registre devrait renfermer suffisamment d'information pour faire la preuve de la conformité aux nouvelles exigences de notification et pour permettre au CPVP d'exercer son rôle de supervision. Le CPVP va toutefois plus loin, précisant que les registres devraient inclure la date (ou la date approximative) de l'atteinte, une description des circonstances entourant l'atteinte, la nature des renseignements personnels en cause et un résumé de l'évaluation des risques effectuée par l'organisation.

La majorité des répondants commentant la question d'une période de conservation obligatoire des registres sont d'avis que le CPVP devrait y avoir accès pendant deux ans, alors que plusieurs proposent qu'il y ait accès pendant cinq ou six ans, comme pour les dossiers d'impôt.

Les répondants s'entendent généralement pour dire que le règlement ne devrait rien prescire en ce qui a trait à la partie de l'organisation responsable de déclarer l'atteinte à la protection des données; il devrait par contre dire clairement qu'une déclaration d'atteinte faite auprès du CPVP peut aussi satisfaire à l'exigence applicable à la tenue de registres, et ce, à l'appréciation de l'organisation.

La majorité convient aussi que le règlement devrait indiquer clairement que la tenue de registres ne s'applique qu'aux atteintes à la protection des données dont l'organisation a réellement connaissance et qu'elle devrait pouvoir prendre la forme de récapitulatifs périodiques. Le CPVP est toutefois en désaccord sur ces deux points, affirmant que le fait de restreindre la tenue de registres aux atteintes dont l'organisation a réellement connaissance pourrait la dissuader  de mettre en place des mesures de détection des intrusions. Le CPVP dit aussi préférer que les atteintes soient toutes documentées au cas par cas sans être regroupées.

Commentaires additionnels

Période de transition

Plusieurs répondants ont demandé qu’il y ait une période de transition entre la publication et l’entrée en vigueur du règlement définitif pour que les organisations aient le temps d’appliquer toute modification nécessaire à leurs systèmes de gestion de l’information et de former leurs employés. Les périodes de transition suggérées vont de 6 à 18 mois.

Accès public aux déclarations

Quelques répondants ont soulevé certaines préoccupations sur l'accès public aux déclarations d'atteinte à la protection des données, d'une part, préconisant plus particulièrement que le commissaire à la protection de la vie privée assure la confidentialité de ces déclarations puisqu'elles peuvent renfermer des renseignements exclusifs et, d'autre part, que le CPVP n'ait la permission de communiquer des renseignements tirés des déclarations d'atteinte à la protection des données que sous forme rendue anonyme et agrégée.

Il convient de noter que la Loi sur la protection des renseignements personnels numériques modifie la Loi sur l'accès à l'information (LAI) de façon à créer une exception en vertu de la loi à la divulgation de tout registre d'atteintes à la protection des données ou de toute déclaration d'atteinte à la protection des données en réponse à une demande d'accès à l'informationNote de bas de page 2. Cette modification à la LAI entrera en vigueur avec les autres dispositions de la LPRPDE en matière de notification et de déclaration des atteintes à la protection des données indiquées à la section 1.1 de la LPRPDE.

Impartition/gestion

Certains répondants ont fait remarquer que la Loi sur la protection des renseignements personnels numériques n'indique pas à qui il incombe de déclarer et de notifier en cas d'atteinte à la protection des données chez un fournisseur de services et proposent que le règlement précise les rôles et responsabilités dans le contexte d'une relation mandant-mandataire.

Lors de consultations antérieures sur l'élaboration de modifications législatives à la LPRPDE relativement à la notification et à la déclaration d'atteintes à la protection des données, les intervenants s'entendaient généralement pour dire que le concept de gestion déjà établi en vertu du principe de responsabilité de la LPRPDE est suffisant pour déterminer à qui échoit l'obligation de notifier l'atteinte en vertu de la LPRPDE. Autrement dit, si l'atteinte se produit dans le cadre d'une relation mandant-mandataire, la responsabilité de la notification et de la déclaration de l'atteinte à la protection des données appartiendrait à l'organisation qui gère les données.

Conformément au principe de responsabilité, le terme « gestion » n'équivaut pas nécessairement à celui de « garde », renvoyant plutôt à la notion de responsabilité globale à l'égard des renseignements personnels. Ainsi, bien qu'une tierce partie traitant les données, ou mandataire, puisse avoir temporairement la garde des renseignements personnels, en vertu du principe de responsabilité, le mandant en assume la gestion. Par exemple, une banque qui retient les services d'une société pour le traitement de paiements serait responsable de la notification de l'atteinte à la protection des données même si la brèche s'est produite chez la tierce partie. Il s'agira dans bien des cas de la même organisation qui entretient une relation continue en matière d'information avec l'intéressé et qui assume toutes les obligations afférentes de protection des données en vertu de la LPRPDE.

Des situations peuvent justifier la notification par une autre organisation que celle gérant les renseignements. Par exemple, dans le cas d'une atteinte à la protection des données qui se produit chez un petit détaillant et qui met en cause des renseignements concernant des cartes de crédit, la société émettrice des cartes de crédit pourrait intervenir en avisant les titulaires de celles-ci puisque le commerçant n'a peut-être pas les coordonnées nécessaires. Les intervenants conviennent généralement que de tels arrangements ou ententes devraient faire l'objet d'accords contractuels.

Prochaines étapes

La rétroaction obtenue durant la consultation guidera l’élaboration du projet de règlement sur la notification et la déclaration des atteintes à la protection des données en application de la section 1.1 de la LPRPDE (non encore en vigueur). Le projet de règlement sera publié dans la Partie I de la Gazette du Canada en vue d’obtenir d’autres commentaires. Les points de vue et les opinions au sujet du projet de règlement seront pris en compte dans la préparation du projet de règlement définitif, qui sera publié dans la Partie II de la Gazette.

ISDE tient à remercier tous ceux qui ont participé à la présente consultation.

Date de modification :