Droit des affaires, Propriété intellectuelle

Amendements importants à la LPRPDE

6 septembre 2018

Par Frank M. Schlesinger

Retour

En 2015, des amendements ont été adoptés à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) (Canada).

Les nouvelles dispositions, composées principalement d'articles relatifs aux avis suite aux atteintes aux mesures de sécurité, entreront en vigueur en date du 1er novembre 2018.

Les nouveaux amendements stipulent que: «Une organisation déclare au commissaire toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elle a la gestion, si elle est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu. »

En outre, «…l’organisation est tenue d’aviser l’intéressé de toute atteinte aux mesures de sécurité » de toute atteinte de ce type, « s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à son endroit.

Dans les deux cas, l’avis doit conformer aux règlements et doit être donné «le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte».

Veuillez noter que dans le cadre du RGPD (Règles générales sur la protection des données) de l’Union Européenne, qui s’appliquent à l’information personnelle des résidents ou citoyens de l’Union Européenne, l’atteinte doit être signalée dans les soixante-douze (72) heures.

La définition de «préjudice grave» comprend la lésion corporelle, l'humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leurs pertes, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles. »

Les éléments servant à établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice important à l’endroit de l’intéressé sont notamment:

  1. le degré de sensibilité des renseignements personnels en cause;
  2. la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être; et
  3. tous autres éléments prévus par règlement.

Les règlements indiquent la forme et la manière de faire ces avis.

Il est fortement recommandé que chaque organisation assujettie à la LPRPDE prenne les mesures nécessaires pour protéger les renseignements personnels au moyen des règles de l’art.

Les organisations opérant au Québec devraient également connaître la Loi sur la protection des renseignements personnels dans le secteur privé, Québec, chapitre P-39.1, qui contient également de nombreuses dispositions concernant la confidentialité et la protection des renseignements personnels.

Il nous fera plaisir de vous assister dans la détermination si ce qui précède s’applique à votre organisation et quelles mesures à prendre.