Technologie et gouvernance de l’information
Atteinte à la sécurité de renseignements personnels
Non. En ce moment, la législation tant fédérale que provinciale ne prévoit aucune obligation de ce genre et la divulgation de tels incidents est faite de manière volontaire.
Par contre, un projet de règlement fédéral propose trois (3) nouvelles obligations aux organisations victimes d’une telle atteinte.
1. L’organisation devra déclarer cette atteinte à la sécurité des renseignements personnels au Commissaire à la protection de la vie privée du Canada, en fournissant certaines informations sur l’atteinte, telles les circonstances ou la nature des renseignements visés.
2. L’organisation devra aviser les personnes pouvant subir un préjudice découlant de cette atteinte de l’occurrence de cet incident et leur indiquer, entre autres, les mesures prises pour réduire les risques de préjudice.
3. L’organisation devra tenir un registre interne documentant les atteintes et les mesures entreprises pour corriger ces situations. Ce registre permettra de démontrer que les organisations effectuent un suivi sur les intrusions qui peuvent constituer une atteinte à la sécurité des renseignements.
Advenant l’adoption de ce règlement, il y a fort à parier que la législation provinciale sera modifiée prochainement.
Bien que pour l’instant il n’y ait aucune obligation de déclarer une atteinte à la protection des renseignements personnels, nous recommandons tout de même aux entreprises de réagir promptement à ces évènements et de documenter les situations mettant à risque la protection des renseignements personnels.
Pour toute question supplémentaire sur la protection des renseignements personnels que votre entreprise détient aux fins d’activités commerciales, n’hésitez pas à communiquer avec notre équipe!