Nous sommes désolés, mais votre navigateur n'est pas pris en charge par Marsh.com

Pour une utilisation optimale, veuillez installer un navigateur pris en charge :

X
Canada CA
Americas
Asia Pacific
Europe
Middle East & Africa
Français FR

RISQUES EN CONTEXTE

Notification obligatoire en cas d’atteinte à la protection des données au Canada

PUBLIÉ PAR Greg Eskins 10 Mai 2018

Le projet de loi S-4, communément appelé Loi sur la protection des renseignements personnels numériques, a été adopté le 18 juin 2015, ce qui a entraîné de nombreuses modifications importantes à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Le 1er septembre 2017, le gouvernement fédéral a proposé des règlements relativement aux exigences de tenue de dossiers et de déclaration obligatoire des atteintes à la protection des données en vertu de la LPRPDE.  La version définitive du règlement de la Loi sur la protection des renseignements personnels numériques a été publiée le 18 avril 2018 et entrera en vigueur le 1er novembre 2018.

À qui le nouveau règlement s'applique-t-il?

Le nouveau règlement s'applique à toutes les organisations qui recueillent, utilisent et divulguent des renseignements personnels dans le cadre de toute activité commerciale, sauf dans certains cas où les lois provinciales s'appliquent.

Dans quelles circonstances une notification est-elle requise?

Le règlement stipule que la notification est requise s'il est raisonnable de croire que l'atteinte présente « un risque réel de préjudice grave à l'endroit d'un individu ».

  • La définition que la LPRPDE donne du terme « préjudice grave » comprend l'humiliation, le dommage à la réputation ou aux relations et le vol d'identité.
  • Pour déterminer s'il existe un « risque réel », on peut notamment tenir compte du degré de sensibilité des renseignements personnels en cause, de la probabilité que les renseignements aient été mal utilisés et de tout autre élément prévu par règlement.

Déclaration obligatoire des atteintes à la vie privée

L’intéressé doit être avisé et la déclaration au commissaire doit être faite en respectant les modalités réglementaires « le plus tôt possible » après qu'il ait été établi qu'il y a eu atteinte.

Obligation de tenir des registres de toutes les atteintes

Les organisations seront tenues de conserver un registre de toutes les atteintes aux mesures de sécurité pendant au moins 24 mois après la date à laquelle l'organisation a conclu que l'atteinte avait eu lieu, peu importe si l’atteinte entraîne l'obligation de signalement et de tenue de dossiers ci-dessus.

Répercussions financières d’une non-conformité

En vertu de la nouvelle réglementation, les organisations qui omettent de se conformer aux exigences de déclaration obligatoire d’atteinte à la vie privée et de tenue de registres seront assujetties à des amendes allant jusqu'à 100 000 $ par infraction, potentiellement jusqu’à concurrence de ce montant par intéressé non avisé.

Aspects pratiques de la déclaration obligatoire et de la tenue de registres

L'introduction de la nouvelle réglementation soulève de nouvelles considérations pour la direction et le conseil d'administration des entreprises de toutes tailles. Par exemple, sur demande, les organisations doivent fournir au commissaire à la protection de la vie privée des registres des cas d’atteintes. Le Commissaire à la protection de la vie privée peut ensuite publier l’information contenue dans ces registres s'il juge de l'intérêt public de le faire.

Si l'entreprise est cotée en bourse, quel signal cela envoie-t-il au marché et comment réagit-il? Qu’arrive-t-il au prix de l’action?

La non-conformité aux exigences de signalement est susceptible d’entraîner des poursuites au civil, ou à tout le moins d’être une considération importante.

Sur le plan opérationnel, les coûts associés à la conformité à la nouvelle réglementation pourraient être élevés. En plus des coûts relatifs au processus de notification, les organisations doivent déterminer comment elles répondront aux demandes des personnes touchées et des autres intervenants et prévoir quels renseignements et aide seront requis pour gérer les retombées d'une atteinte à la protection des données.

Parmi les exemples de coûts découlant d'une atteinte à la vie privée, mentionnons le recours à une équipe de communications de crise, un conseiller juridique, des professionnels de la sécurité de l'information, des conseillers en relations publiques et des comptables afin de fournir des conseils sur :

  • Évaluation de l'étendue de l’atteinte;
  • Rédaction de messages précis pour les principaux intervenants internes et externes (le cas échéant);
  • Fréquence et calendrier des mises à jour aux intervenants au sujet de la résolution de l’atteinte;
  • Déterminer les exigences transfrontalières si l'entreprise exerce ses activités à l’échelle mondiale, par exemple, des clients qui sont des résidents de différents pays;
  • Assistance des TI pour créer une base de données sur les personnes touchées;
  • Établissement d'un centre d'appels pour communiquer avec les personnes concernées;
  • Fournir la surveillance du crédit ou de l’aide en cas de vol d’identité aux personnes touchées;
  • Déterminer une stratégie juridique appropriée en prévision des litiges.

Les entreprises bénéficieront de la création d'une équipe d'intervention en cas d’incidents cybernétiques (si elle n’est pas déjà en place) conjointement avec la mise à l'essai de leur plan d'intervention en cas d’incidents cybernétiques à la lumière de ce règlement, ainsi que des autres règlements, dont le Règlement général sur la protection des données (GDPR) d’Europe.

Marsh recommande de prendre en considération les éléments suivants :

  • Tous les principaux intervenants internes sont-ils au courant des exigences de la nouvelle réglementation?
  • Vos procédures, protocoles et systèmes actuels en cas d’intrusion respectent-ils bien ces exigences?
  • En cas de lacunes, avez-vous un plan et un échéancier pour les résoudre?
  • Êtes-vous en mesure de surveiller la conformité à la nouvelle réglementation sur une base continue?
  • Avez-vous envisagé l'incidence financière sur le bilan, c.-à-d., votre organisation a-t-elle quantifié les cyberrisques importants et pertinents qui menacent vos activités?
  • Avez-vous vérifié si une assurance contre les cyberrisques offrant l’assistance d’un fournisseur expert et des fonds propres conditionnels à prix concurrentiel pourrait être utile en cas d’intrusion (ou d'autres événements cyberinformatiques)?

Cyberassurance : un élément de gestion efficace des risques cybernétiques  

Les coûts liés aux investigations et aux mesures prises en cas d’intrusion, y compris la notification des personnes concernées, les honoraires des conseillers juridiques, le recours à une équipe de communications de crise, la création d’un centre d'appel et la prestation de la surveillance du crédit, peuvent être considérables.

Des coûts supplémentaires peuvent également découler de réclamations de tiers, y compris de mesures réglementaires et de recours collectifs à la suite d’une intrusion.

Marsh a mis au point une gamme d'outils d'évaluation et de quantification des risques et des produits d'assurance contre les cyberrisques afin d'aider nos clients à identifier, gérer et transférer le risque associé aux divers événements cybernétiques.

Précédent

Trois façons de gérer votre risque d’exposition à des maladies infectieuses

Publié par Christian Ryan 05 Juin 2018

Suivant

Ce que #MeToo signifie pour les professionnels de la gestion des risques

Publié par Kelly Thoerig 10 Avril 2018

Marsh.com Ouvrir une session

Veuillez vous connecter pour accéder au site marsh.com au complet.

Cliquez ici pour vous connecter en tant que collègue

Mot de passe oublié? S’inscrire

*Obligatoire