Les fuites de données personnelles: Comment une entreprise peut-elle assurer sa conformité à la loi?

En 2019, le Mouvement Desjardins a été victime d’une atteinte importante à sa cybersécurité. Les informations personnelles de millions de ses membres, y compris leurs noms, adresses, dates de naissance et numéros d’assurance sociale ont été compromises. Cet incident a exposé la vulnérabilité des systèmes de cybersécurité les plus robustes au monde et a dévoilé l’impact des fuites de données personnelles sur les clients et les entreprises de toutes tailles.

Pour les entreprises, faire preuve de vigilance envers les fuites potentielles de données personnelles est non seulement bénéfique d’un point de vue pratique, mais également essentielle sur le plan juridique. Dans cet article de blog, nous souhaitons partager les étapes essentielles et les considérations clés destinées aux entreprises, afin qu’elles puissent efficacement lutter contre les fuites de données personnelles. Nous dévoilerons également la manière dont les entreprises peuvent se conformer à la loi, tout en protégeant de manière proactive leurs clients et leur entreprise contre les risques de fuites de données personnelles.

  1. Adopter une approche proactive à la cybersécurité

Tout d’abord, l’adoption d’une approche proactive en matière de cybersécurité s’avère être la meilleure stratégie de défense pour les entreprises. Il est important que votre entreprise établisse une collaboration avec un fournisseur de services spécialisé en cybersécurité. Parallèlement, assurez-vous de bien maîtriser la législation pertinente, notamment la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

  1. Communiquer avec votre fournisseur de services spécialisé en cybersécurité en cas d’une fuite de données personnelles

En cas de fuite de données personnelles, il est essentiel de contacter immédiatement votre fournisseur de services spécialisé en cybersécurité afin d’obtenir des informations sur l’incident. Renseignez-vous sur la nature de l’atteinte, les individus affectés et les catégories de données qui ont pu être compromises. Lors de ces communications avec votre fournisseur, assurez-vous de documenter ces échanges de manière écrite. Notez des détails tels que la date et l’heure des communications, les points clés discutés et les engagements pris par votre fournisseur. La tenue d’une documentation écrite constituera une preuve tangible de vos démarches proactives visant à obtenir des informations détaillées sur l’incident.

  1. Déterminer la nécessité de signaler une fuite de données personnelles aux clients et au Commissariat à la protection de la vie privée du Canada

Il n’est pas nécessaire de signaler toutes atteintes des mesures de sécurité de votre entreprise à vos clients et au Commissariat à la protection de la vie privée du Canada. Seules les atteintes impliquant des renseignements personnels présentant un « risque réel de préjudice grave à des individus » doivent être déclarées. Pour évaluer ce risque, il est essentiel d’examiner la sensibilité des renseignements personnels concernés, ainsi que la probabilité qu’ils aient été ou soient susceptibles d’être mal utilisés. Des exemples de préjudice grave comprennent la lésion corporelle, les dommages à la réputation, la perte financière, l’humiliation, le vol d’identité, les répercussions négatives sur le dossier de crédit, ainsi que la perte d’opportunités d’emploi. Selon les directives du gouvernement fédéral, certaines informations telles que les dossiers médicaux et le revenu sont généralement toujours considérées comme sensibles, tandis que les noms et adresses ne le sont généralement pas.

Selon vos échanges avec votre fournisseur de services spécialisé en cybersécurité et vos recherches sur la nature de l’incident, évaluez s’il est nécessaire de signaler la fuite de données personnelles aux clients ainsi qu’au Commissariat à la protection de la vie privée du Canada.

  1. Signaler une fuite de données personnelles

Si vous constatez qu’un signalement de fuite de données personnelles est justifié, il est impératif d’informer vos clients et de soumettre un rapport au Commissariat à la protection de la vie privée du Canada.

Les avis destinés aux clients peuvent être transmis par courriels et doivent comporter les détails suivants :

  • Une description générale des circonstances de l’atteinte ;
  • La date ou la date estimée de l’atteinte ;
  • La nature des renseignements personnels visés par l’atteinte, dans la mesure où ces informations sont connues ;
  • Un compte rendu des mesures prises par votre entreprise afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte ;
  • Les mesures que peut prendre les clients afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte ;
  • Les coordonnées permettant aux clients de se renseigner davantage au sujet de l’atteinte.

Lorsque vous signalez une atteinte au Commissariat à la protection de la vie privée du Canada, veuillez remplir le formulaire intitulé Rapport d’atteinte à la LPRPDE, et soumettre votre rapport par l’entremise du portail sécurisé de soumission de déclarations d’atteinte.

  1. Conserver les registres sur toutes atteintes aux mesures de sécurité de votre entreprise pendant deux ans

Qu’elles soient signalées ou non, vous devez conserver les registres sur toutes atteintes aux mesures de sécurité de votre entreprise pendant deux ans afin de se conformer aux paragraphes 10.1(1) et (3) de la LPRPDE. Vos registres doivent inclure les informations suivantes :

  • Date ou date approximative de l’atteinte ;
  • Description générale des circonstances de l’atteinte ;
  • Nature des données visés par l’atteinte ;
  • Si l’atteinte a été déclarée au Commissariat à la protection de la vie privée du Canada ou non ;
  • Si les individus affectés ont été informées ou non.

Vos registres doivent inclure des détails suffisants pour que le Commissariat à la protection de la vie privée du Canada puisse évaluer si votre entreprise a effectivement appliqué la norme du « risque réel de préjudice grave » et a rempli ses obligations de signalement. Si votre entreprise décide de ne pas signaler l’incident au Commissariat ou aux clients, vous devez absolument inclure une brève explication dans vos registres pour justifier cette décision.

En résumé, afin de mettre en œuvre une approche proactive en matière de cybersécurité, il est essentiel d’établir une communication efficace avec votre fournisseur de services en cybersécurité, de tenir des registres détaillés de toutes atteintes ou quasi-atteintes aux mesures de sécurité de votre entreprise, et de prendre des décisions éclairées quant à la nécessité de signaler toute violation au Commissariat à la protection de la vie privée du Canada ainsi qu’à vos clients. N’oubliez pas que le respect de la LPRPDE est non seulement une obligation légale, mais également une étape essentielle afin de préserver la vie privée et la confiance de vos clients.

Si vous avez des questions ou besoin de clarification, notre équipe juridique est à votre disposition. Permettez-nous de vous accompagner dans l’adoption d’une approche proactive à la cybersécurité pour votre entreprise, vous assurant ainsi de respecter la législation pertinente en cas de fuites de données personnelles.

 

 

 

Vincent Martel

Vincent Martel

Avocat(e)

Jean-Patrick Davidson

Jean-Patrick Davidson

Stagiaire en droit

Share
Retour aux actualités