Restez informé de nos articles les plus récents, nos activités de formation et offres d'emploi.

Infolettre Therrien Couture Joli-Coeur

Restez informé de nos articles les plus récents, nos activités de formation et offres d'emploi.

Écrivez-nous

En remplissant ce formulaire, vous permettez à notre équipe de saisir pleinement vos besoins et de vous offrir le service le plus adapté à vos attentes. Merci de votre confiance, nous nous engageons à vous fournir un suivi dans les plus brefs délais.

Technologie et gouvernance de l’information

Atteinte à la sécurité de renseignements personnels

Une entreprise qui subit une cyberattaque pouvant compromettre la sécurité des renseignements personnels qu’elle détient dans le cadre de ses activités commerciales doit-elle en aviser une autorité gouvernementale?

Non. En ce moment, la législation tant fédérale que provinciale ne prévoit aucune obligation de ce genre et la divulgation de tels incidents est faite de manière volontaire.

Par contre, un projet de règlement fédéral propose trois (3) nouvelles obligations aux organisations victimes d’une telle atteinte.

1. L’organisation devra déclarer cette atteinte à la sécurité des renseignements personnels au Commissaire à la protection de la vie privée du Canada, en fournissant certaines informations sur l’atteinte, telles les circonstances ou la nature des renseignements visés.

2. L’organisation devra aviser les personnes pouvant subir un préjudice découlant de cette atteinte de l’occurrence de cet incident et leur indiquer, entre autres, les mesures prises pour réduire les risques de préjudice.

3. L’organisation devra tenir un registre interne documentant les atteintes et les mesures entreprises pour corriger ces situations. Ce registre permettra de démontrer que les organisations effectuent un suivi sur les intrusions qui peuvent constituer une atteinte à la sécurité des renseignements.

Advenant l’adoption de ce règlement, il y a fort à parier que la législation provinciale sera modifiée prochainement.

Bien que pour l’instant il n’y ait aucune obligation de déclarer une atteinte à la protection des renseignements personnels, nous recommandons tout de même aux entreprises de réagir promptement à ces évènements et de documenter les situations mettant à risque la protection des renseignements personnels.

Pour toute question supplémentaire sur la protection des renseignements personnels que votre entreprise détient aux fins d’activités commerciales, n’hésitez pas à communiquer avec notre équipe!

0