Saviez-vous que depuis le 1er novembre 2018, de nouvelles règles relatives à la divulgation des incidents de sécurité impliquant des renseignement personnels sont entrées en vigueur au Canada? Si votre entreprise est assujettie à la législation canadienne sur la protection des renseignements personnels[1], cela vous concerne directement.
Ces règles ont un impact certain sur la gestion des entreprises. Les dirigeants doivent y être sensibilisés et s’assurer de prendre toutes les mesures nécessaires pour s’y conformer.
Pour faire le point sur ces nouvelles règles, Kateri-Anne Grenier, avocate associée spécialisée en litiges commerciaux et protection de la vie privée au cabinet Fasken, a répondu à nos questions. Voici tout ce que nous avons appris lors de cette entrevue.
Kateri-Anne, avant d’aller plus loin sur les récents changements législatifs, pouvez-nous nous en dire plus sur votre parcours?
Je suis diplômée de la faculté de droit à l’Université de Laval, et membre du Barreau depuis 2002. Lorsque la Loi sur la Protection des Renseignements Personnels et les Documents Électroniques (LPRPDE) est entrée en vigueur au début des années 2000, on a observé un essor dans le domaine de la protection de la vie privée au Canada et une prise de conscience, chez les citoyens et les entreprises, de l’importance d’assurer la protection des renseignements personnels.
Cet essor, accompagné d’importants développements technologiques, a aussi vu naître la loi anti-pourriels (début des années 2010). Dès le début des années 2010, le parlement fédéral a reconnu l’importance de mettre à jour la LPRPDE, de l’adapter aux réalités du monde des affaires et du commerce électronique. Le Canada a toujours, également, souhaité se positionner comme leader et conserver une équivalence juridique avec l’Europe vu l’importance du transfert de données à l’international.
Après plusieurs années de travaux, des amendements à la LPRPDE ont été adoptés, complétés par des règlements. Cette dernière phase réglementaire introduit la déclaration obligatoire des atteintes aux mesures de sécurité. Les incidents de cyber sécurité (intrusions, vol de données, demandes de rançon, fraudes) sont en constante croissance et touchent de plus en plus d’entreprises. Dans le cadre de ma pratique, j’interviens fréquemment dans le feu de l’action pour conseiller des entreprises qui subissent des cyber-attaques.
Je travaille également en amont pour amener les entreprises à se structurer et élaborer leur plan de réponse en cas d’attaque ou d’incidents. Elles doivent avoir les bons réflexes lorsqu’elles sont confrontées à des incidents de sécurité. Comme spécialiste des litiges, je les aide aussi à se prémunir et se défendre contre des recours en responsabilité découlant de leur gestion des renseignements personnels, incluant des recours collectifs.
Entrons maintenant dans le vif du sujet : pouvez-vous nous parler des nouvelles règles applicables aux entreprises canadiennes dans le cadre d’atteintes aux mesures de sécurité?
Ces nouvelles règles ont été introduites par des amendements à la LPRPDE en 2015 (Projet de loi S4), et complétées par un long processus d’adoption de règlements, ce qui a repoussé leur entrée en vigueur au 1er novembre 2018.
En vertu de ces dispositions, les organisations sont tenues d’informer (1) les personnes visées et (2) le Commissariat à la protection de la vie privée du Canada des atteintes à la vie privée, dans certaines circonstances précises.
À moins d’une interdiction prévue dans la loi, l’organisation doit aviser les personnes visées et déclarer les atteintes à la protection des données personnelles au Commissariat dès que possible, en respectant les modalités prescrites, s’il est raisonnable de croire que l’atteinte présente « un risque réel de préjudice grave à l’endroit d’un individu ».
La définition de « préjudice grave » aux termes de la LPRPDE comprend, parmi d’autres préjudices, l’humiliation, le dommage à la réputation ou aux relations, le vol d’identité, des pertes financières, atteinte au dossier de crédit, possibilité de perte d’emploi etc.
Afin de déterminer s’il existe un « risque réel », il faut considérer le degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements soient utilisés de manière abusive et tout autre élément prescrit. Le Règlement n’identifie aucun autre facteur, toutefois le Commissariat a publié des lignes directrices à cet égard.
Lorsqu’un incident se produit, il faut prendre en compte le degré de sensibilité des données en jeu, ainsi que la probabilité que ces dernières puissent être utilisées à mauvais escient.
Il s’agit aussi de comprendre l’origine de l’incident : est-ce un acte volontaire, quel individu aurait pu se saisir des renseignements et à quelles fins? Si la victime peut agir afin de réduire les risques, cela penche en faveur d’une divulgation rapide, le but ultime étant toujours de minimiser au maximum les répercussions possibles pour la personne et aussi, de garder le lien de confiance entre l’entreprise, sa clientèle, ses employés et le public. Une atteinte aux mesures de sécurité peut toucher tout le monde, même des entreprises qui ont mis en place des systèmes de défense sophistiqués et qui ne sont pas négligentes dans leur gestion des renseignements personnels. Les pirates informatiques ont recours, dans certains cas, à des technologies capables de déjouer les systèmes de défense, et il ne faut pas oublier le facteur humain : un seul employé qui clique sur une pièce jointe d’un courriel contaminé peut offrir une porte d’entrée à un virus. Dans la majorité des cas, les entreprises ont tout intérêt à faire face à la situation de manière proactive et transparente.
Afin de ne pas créer de vague de panique ou laisser place aux spéculations, il est recommandé, avant de faire des déclarations publiques ou de notifier les autorités, d’être en possession des faits et d’avoir établi une voie de passage vers une solution. Les avocats spécialisés et les experts en sécurité jouent un rôle actif dans l’investigation, de manière à pouvoir ensuite identifier les risques, orienter les actions stratégiques à poser et effectuer les divulgations requises.
Que risque-t-on si l’on ne se conforme pas à la législation?
La loi prévoit des seuils de pénalités par la procédure sommaire (jusqu’à 10 000$) et par acte d’accusation (jusqu’à 100 000$).
Les textes réfèrent à une intention de commettre une infraction, ce qui sera sujet à interprétation.
Toutefois, au-delà de ces sanctions prévues dans la loi, nous avisons nos clients qu’ils doivent avant tout considérer le risque d’interruption d’affaires, de perte de clientèle et de recours civils, notamment la possibilité pour les victimes d’une atteinte à la vie privée d’utiliser la procédure de recours collectif. Les risques financiers et réputationnels sont alors très importants. La réaction d’une entreprise face à une cyber-attaque aura une importance capitale vis-à-vis ses clients et face au public.
Certaines provinces telles la Colombie-Britannique, l’Alberta et le Québec disposent déjà de lois équivalentes en matière de protection de la vie privée qui remplace l’application de la législation fédérale en matière de vie privée. Les entreprises œuvrant dans ces juridictions sont-elles concernées?
Les entreprises fédérales, notamment les banques, certaines entreprises de télécommunications ou agissant dans un secteur d’activité en lien avec le transport maritime, aérien ou encore les stations de radio diffusion, même si elles œuvrent uniquement au Québec, sont assujetties d’office à ces règles.
Quant aux autres entreprises, il subsiste encore un certain flou quant à l’application de ces règles vu la législation provinciale spécifique. Par contre, une entreprise qui a des activités à l’extérieur du Québec qui impliquent la collecte, la détention ou la communication des renseignements personnels à l’extérieur du Québec sera vraisemblablement soumise à ces règles, minimalement pour les situations visant ces renseignements personnels.
Doit-on avertir la police?
La loi oblige la divulgation au Commissariat fédéral à la protection de la vie privée du Canada. L’opportunité d’enclencher une enquête policière en parallèle de l’incident doit être évaluée au cas par cas. On va alors tenir compte de plusieurs facteurs tels la nature de l’incident, le temps dont dispose l’entreprise pour solutionner la difficulté et l’impact de la démarche sur la réduction ou l’atténuation du préjudice qui pourrait être causé aux personnes concernées. Soulignons aussi que ces nouvelles mesures obligent de donner avis à toute autre organisation ou institution gouvernementale, si tel avis peut réduire le risque de préjudice pouvant résulter de l’atteinte ou atténuer ce préjudice.
Pour résumer, quelles mesures pratiques les entreprises peuvent-elles mettre en place pour se conformer aux nouvelles règles entrées en vigueur le 1er novembre?
Les entreprises assujetties doivent savoir qu’elles sont maintenant obligées de tenir un registre relatif aux atteintes aux mesures de sécurité pendant au moins 24 mois suivant la date à laquelle l’entreprise conclut que l’atteinte a eu lieu. Noter que cette exigence s’applique à toutes les attaques et non seulement à celles qui ont nécessité une divulgation, vu l’existence d’un risque réel de préjudice grave. Dans tous les cas, les informations contenues au registre doivent permettre au Commissariat de savoir quelles atteintes ont fait l’objet de divulgation et en l’absence de telle divulgation, les motifs au soutien. Le Commissariat peut demander la communication du registre, entamer une enquête, demander un audit et même rendre le registre public si l’intérêt public l’exige.
Nous invitons aussi les entreprises à se positionner sur l’application de ces règles par rapport aux renseignements personnels qu’elles collectent, détiennent ou communiquent. Elles devraient aussi évaluer leur capacité de détection des incidents. Des firmes spécialisées peuvent mener des tests d’intrusion et il nous est arrivé de mener une opération de simulation d’incident de A à Z pour des clients afin de les conseiller en sécurité informatique. Au-delà de l’aspect technologique, la formation des employés est très importante. Les entreprises devraient en profiter pour mettre à mettre à jour leurs plans d’intervention en cas d’incidents et revoir leurs ententes avec leurs fournisseurs lorsqu’elles confient la gestion de renseignements personnels à l’externe. Finalement, nous leur conseillons de réviser et comprendre leur couverture d’assurance actuelle en matière de cyber risques. Cela leur permettra de déterminer si celle-ci les couvre adéquatement pour les coûts qui découleront des obligations imposées par les nouvelles règles de divulgation.
Il est très important de s’entourer à l’avance des bons spécialistes : cabinet d’avocats, firme en cybersécurité de gestion d’incident, firme de communication et assureur.
Notre entrevue vous a interpellé et vous souhaitez en savoir plus? N’hésitez pas à nous contacter ou encore à contacter Kateri-Anne Grenier.
Pour une analyse détaillée des nouvelles règles et répercussions à l’intention des entreprises en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), vous pouvez consulter le bulletin intitulé Nouvelles règles importantes en matière de déclaration obligatoire d’atteinte à la vie privée et de tenue de registres au Canada.
Si vous souhaitez mettre en place ou renforcer vos actions de préventions de risques en cybersécurité, nous sommes là pour vous conseiller. Contactez-nous dès maintenant.
[1] Loi sur la protection des renseignements personnels et les documents électroniques
1 réflexion au sujet de « Nouvelles règles relatives aux atteintes à la vie privée au Canada : entrevue avec une avocate spécialisée »