Le 18 juin dernier, le projet de loi S-4 (Loi sur la protection des renseignements personnels numériques) a modifié la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Les propriétaires d’entreprise doivent connaître certaines des implications de cette nouvelle loi, comme les amendes et les pénalités liées au signalement d’une atteinte, le besoin d’informer les clients, les exigences en matière de bonne tenue de registres et les modifications quant au consentement.
Amendes et pénalités
Dorénavant, les entreprises doivent consigner et signaler toute atteinte à leurs mesures de sécurité. De plus, elles ne peuvent entraver une enquête ou un audit liés à l’atteinte sans s’exposer à des amendes pouvant atteindre 100 000 $ pour un acte criminel et jusqu’à 10 000 $ pour des infractions punissables par procédure sommaire.
Aviser les clients dans l’éventualité d’une atteinte
Les entreprises doivent également aviser les personnes touchées par l’atteinte si cette dernière peut leur porter préjudice. Au sens large, un préjudice se définit comme étant tout dommage corporel; acte d’humiliation; atteinte à la réputation ou aux relations; perte d’emploi, d’occasions d’affaires ou professionnelles; pertes financières; vol d’identité; répercussions négatives sur le dossier de solvabilité; et dommages ou pertes liés aux biens. En outre, les entreprises ont la responsabilité d’aviser le Commissaire à la protection de la vie privée du Canada.
Exigences relatives à la tenue de registres sur les atteintes
Les entreprises doivent consigner chaque atteinte à la sécurité qui touche les renseignements personnels sous leur contrôle. Ces registres doivent être remis au Commissaire à la protection de la vie privée sur demande. Actuellement, il n’existe aucune norme quant à la durée pendant laquelle ces registres doivent être conservés, à la façon dont ils doivent être élaborés et mis à jour, ni quant à la quantité de renseignements qu’ils doivent contenir. Il est avisé de consigner toute atteinte dans un registre même si elle semble banale et sans conséquence.
Modifications concernant le consentement
Le processus d’obtention d’un consentement valide de la part des clients ou des utilisateurs au moment de recueillir des données ou des renseignements personnels a également changé dans le cadre de ce nouveau projet de loi. Bien qu’il ait toujours été nécessaire pour les entreprises d’obtenir un consentement des clients, il est précisé dans la nouvelle loi que l’utilisateur doit dorénavant comprendre la nature, l’objectif et les conséquences de la cueillette de données. Les politiques en matière de protection des renseignements personnels doivent être rédigées dans un langage simple et clair afin d’assurer la validité du consentement.
Prochaines étapes pour les entreprises
Les entreprises qui gèrent ou recueillent des renseignements personnels doivent procéder aux activités suivantes :
- Passer en revue les politiques de protection des renseignements personnels et les mesures de sécurité pour en assurer la conformité;
- Demander au conseil d’administration de réviser les procédures de gestion et de répartition des risques en fonction des nouvelles pénalités.
- Passer en revue les plans d’intervention et de continuité des activités, ou en rédiger de nouveaux, afin qu’ils soient conformes aux nouvelles exigences en matière de production de rapports et de signalement.
N’oubliez pas qu’en étant proactif dès maintenant, vous pourrez réaliser des économies dans le futur.
Pour connaître les dernières nouvelles en matière de gestion des risques, de cybermenaces et d’assurance, suivez-nous sur Twitter!
