20 avril 2014

Canada: projets de lois (C-580 et S-4) visant notamment les déclarations d'incidents

Comme l'illustre notamment le cas Heartbleed, le risque "zéro" n'existe pas et peu avoir des répercussions sur la protection des renseignements personnels. 

Les organismes publics ou les entreprises qui font l'objet de pareils incidents doivent agir rapidement pour circonscrire et réparer la faille. Il leur revient également d'aviser les personnes concerner pour que celles-ci puissent prendre les mesures nécessaires auprès de leurs institutions financières ou agences de crédit, par exemple.

Si certains pays ou provinces (i.e. l'Alberta) ont légiféré afin que de tels incidents soient déclarés auprès des autorités de protection des renseignements personnels, tel n'est pas le cas du législateur canadien.

En effet, ni la Loi sur la protection des renseignements personnels (visant le secteur public), ni la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ - visant le secteur privé) ne contiennent une telle obligation. La déclaration de ces incidents se fait donc sur une base volontaire au Commissariat à la protection de la vie privée du Canada (CPVPC).

Deux projets de lois viennent d'être déposé au Parlement du Canada afin d'introduire dans ces deux lois une telle obligation.   
Le Projet C-580 a été déposé le 25 mars 2014. Il a pour objet d'obliger toute institution fédérale à aviser le CPVPC "de tout incident ayant entraîné la perte ou la communication non autorisée de renseignements personnels ou l’accès non autorisé à ceux-ci, lorsqu’une personne raisonnable conclurait à l’existence d’un risque de préjudice pour l’individu concerné par cette perte, cette communication ou cet accès" (art. 11.1(2) neau). Pour évaluer le risque de préjudice, les éléments suivants devront être pris en considération: "a) le degré de sensibilité des renseignements personnels en cause; b) le nombre d'individus dont les renseignements personnels ont été touchés" (art. 11.1(3) neau). 
Ce projet vise les institutions fédérales, qui aux termes de l'art. 3 de la Loi sur la protection des renseignements personnels, s'entend comme étant: "a) tout ministère ou département d'État relevant du gouvernement du Canada, ou tout organisme, figurant à l'annexe [de la Loi]; b) toute société d'État mère ou filiale à cent pour cent dune telle société, au sens de l'article 83 de la Loi sur la gestion des finances publiques".
Il convient de remarquer que ce projet fait écho au Projet C-475 visant à modifier la LPRPDÉ et rejeté par la Chambre des communes en janvier dernier (billet)
Le projet S-4 a été déposé le 8 avril 2014. Il a pour objet, entre autres, d'obliger une organisation à déclarer au CPVPC "toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elle a la gestion, s'il est raisonnable de croire, dans les circonstances, que l'atteinte présente un risque réel de préjudice grave à l'endroit d'un individu" (art. 10.1(1) neau). Par "préjudice grave", il convient d'entendre "notamment la lésion corporelle, l'humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d'identité, l'effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d'emploi ou d'occasions d'affaires ou d'activités professionnelles" (art. 10.1(7) neau). Et afin d'évaluer si une telle atteinte "présente un risque réel de préjudice grave à l'endroit de l'intéressé", il conviendra de prendre en considération "notamment le degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l'être et tout autre élément prévu par règlement" (art. 10.1(8) neau). 
Ce projet vise les organisation, qui aux termes de l'art. 2 de la LPRPDÉ, "s'entend notamment des associations, sociétés de personnes, personnes et organisations syndicales".
Il convient de remarquer que les dispositions relatives aux atteintes aux mesures de sécurité et à l'obligation de déclaration au CPVPC prévues par ce projet de loi, ainsi que plusieurs autres, font écho à celles contenues au Projet C-12 mort au feuilleton lors de la prorogation du Parlement en septembre 2013 (billet).


Il conviendra de s'intéresser aux différentes étapes entourant les projets C-580 et S-4. À suivre donc ...

Aucun commentaire:

Enregistrer un commentaire

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.