Règlement concernant les atteintes aux mesures de sécurité

Soumission à l'intention d’Innovation, Sciences et Développement économique Canada

Le 2 octobre 2017

Madame Jill Paterson
Analyste principale des politiques
Direction générale de la politique sur les technologies numériques
Secteur du spectre, des technologies de l’information et des télécommunications (STIT)
Innovation, Sciences et Développement économique Canada
Immeuble CD Howe, 235, rue Queen, pièce 162D
Ottawa (Ontario) K1A 0H5

Objet : Règlement concernant les atteintes aux mesures de sécurité

Madame,

Le Commissariat à la protection de la vie privée du Canada (ci-après, le Commissariat) se réjouit d’avoir l’occasion de formuler des commentaires sur le règlement concernant les atteintes à la protection des données publié dans la partie 1 de la Gazette du Canada, le 2 septembre 2017^{Note de bas de page 1}.

Le projet de règlement publié dans la Gazette du Canada fait état de certaines recommandations que nous avons faites au ministère de l’Innovation, des Sciences et du Développement économique (ISDE)^{Note de bas de page 2} dans la foulée du document de discussion de mars 2016 sur les atteintes à la protection des données^{Note de bas de page 3}.

Cependant, un certain nombre d’enjeux clés soulevés dans notre mémoire ne s’y retrouvent pas. Nous croyons que cela pourrait nuire à la capacité du règlement de réaliser les avantages recherchés pour les organisations, individus et l’économie numérique.

À notre avis, le projet de règlement sur la notification et la déclaration des atteintes à la protection des données est un instrument important si l’on veut améliorer les pratiques en matière de sécurité et améliorer la confiance des consommateurs.

Par conséquent, le Commissariat exhorte le gouvernement prendre en considération les questions suivants :

Contenu des déclarations au commissaire à la protection de la vie privée

Le Commissariat soutient que les déclarations sur les atteintes fournissent au commissaire à la protection de la vie privée les renseignements nécessaires pour qu’il puisse évaluer la qualité de leurs mesures de sécurité des organisations. Sans cette information, le Commissariat aura beaucoup de difficultés à améliorer les façons de faire en matière de sécurité.

À défaut de rendre obligatoire la déclaration de l’état des mesures de sécurité pertinentes, on envoie le message que la prévention des atteintes est moins importante que l’atténuation de leurs effets après coup.

Par ailleurs, le Commissariat pourrait utiliser de telle information pour compléter celle contenue dans les registres sur les atteintes, ce qui lui permettrait de mieux comprendre les défis associés aux mesures de sécurité et aux atteintes à la protection des données sur le marché. Nous serions ainsi plus à même de conseiller et de guider efficacement les organisations sur la manière d’améliorer leurs mesures de sécurité afin de mieux protéger les renseignements personnels des Canadiens.

Tel que nous l’avions recommandé dans le mémoire du Commissariat sur le document de discussion d’ISDE de 2016, nous demandons instamment au gouvernement d’envisager d’inclure dans les déclarations que font les organisations au commissaire à la protection de la vie privée leur évaluation du risque de préjudice associé à l’atteinte.

Nous croyons que le règlement concernant les atteintes à la protection des données devrait inclure cette évaluation cruciale. Le Résumé de l’étude d’impact de la réglementation (REIR) indique que les exigences proposées s’harmonisent avec celles de l’Alberta et de l’Union européenne. Or, nous faisons le constat que ces instances ont toutes deux, en quelque sorte, ce type d’exigence^{Note de bas de page 4}.

Si le règlement sur les atteintes à la protection des données vise à harmoniser les lois du Canada avec celles d’autres juridictions en vue d’uniformiser les exigences en matière de déclaration et de promouvoir les intérêts économiques, comme le souligne le REIR, le Commissariat recommande que des évaluations similaires soient incluses dans les déclarations présentées au commissaire à la protection de la vie privée.

En plus des éléments de données devant être déclarés au commissaire à la protection de la vie privée en vertu du règlement, nous estimons, tout comme nous l’avions indiqué dans notre mémoire de 2016 à ISDE, que les déclarations devraient inclure ce qui suit :

une évaluation du risque de préjudice pour les personnes à la suite de l’atteinte;
une liste ou une description des organisations tierces qui ont été avisées de l’atteinte, conformément au paragraphe 10.2(1) de la LPRPDE, ainsi que des autorités chargées de l’application des lois sur la protection de la vie privée dans d’autres juridictions;
une description des mesures d’atténuation qui ont été ou seront prises pour circonscrire l’atteinte et réduire ou maîtriser le risque de préjudice pour les personnes touchées (à notre avis, connaître les mesures prises pour prévenir une nouvelle atteinte sera utile);
une description des mesures de sécurité pertinentes mises en place par l’organisation, y compris les améliorations qu’elle a apportées ou convenu d’apporter, pour assurer une protection contre le risque d’une atteinte similaire à l’avenir.

De plus, nous constatons que le REIR soutient que les déclarations d’atteinte à la sécurité des données présentent des avantages plus grands en matière de sécurité publique et auront un rôle à jouer pour ce qui est de fournir « un dépôt, grandement nécessaire, d’information sur les incidents touchant la sécurité des données au Canada ». Bien que nous appuyions cet objectif, l’utilité d’un tel dépôt pourrait être compromise si les déclarations présentées au commissaire ne contiennent pas certains éléments de données importants tels que l’évaluation du préjudice.

En outre, même si le REIR stipule que les organisations peuvent, si elles le désirent, fournir des renseignements supplémentaires dans une déclaration au commissaire à la protection de la vie privée, nous ne savons pas dans quelle mesure les organisations fourniront volontairement des renseignements sur leurs évaluations du risque réel de préjudice grave ou sur leurs évaluations du type de préjudices.

Clarification des exigences en matière de tenue de dossiers

Le REIR énonce ce qui suit : « Le règlement projeté affirmera que la tenue de dossiers sur les atteintes à la protection des données a pour objet d’aider le commissaire à s’acquitter de son devoir de surveillance, c’est-à-dire de veiller à ce que les organisations se conforment aux exigences de lui déclarer toute atteinte importante et d’en aviser les intéressés. Cela incitera les organisations par la suite à se doter de meilleures pratiques de sécurité des données. »

Afin que la tenue de dossiers respecte l’intention du REIR, il serait important d’établir un ensemble prescrit d’éléments de données de manière à faciliter la surveillance par le commissaire à la protection de la vie privée et à aider les organisations à adopter une tenue de dossiers uniforme. Dans le mémoire que nous avons présenté en 2016 à ISDE, nous avons établi que les éléments de données suivants devraient être consignés pour toute atteinte à la protection des données :

la date ou la date approximative de l’atteinte;
une description générale des circonstances de l’atteinte;
la nature de l’information visée par l’atteinte;
le résumé et la conclusion de l’évaluation des risques menée par l’organisation, menant à sa décision d’envoyer ou non une notification ou de déclarer ou non l’atteinte.

Nous notons également que les exigences en matière de tenue de dossiers ont été établies pour une période d’au moins vingt-quatre (24) mois et non pour cinq (5) ans comme le recommandait le Commissariat. Selon le REIR, cette durée a été retenue en partie afin de correspondre aux délais établis pour intenter des poursuites au civil. Le Commissariat estime toutefois que si le règlement a pour objectif de soutenir les intérêts économiques, la santé des organisations et la confiance des consommateurs, une norme de conservation fondée sur les délais des poursuites au civil pourrait passer à côté des avantages qu’offrirait une période de conservation légèrement plus longue pour les entreprises, les personnes et le marché numérique.

Le Commissariat est d’avis qu’une période de deux (2) ans n’est pas suffisante pour établir une évaluation complète et qu’une période de cinq (5) ans permettrait d’avoir une meilleure idée de la façon dont les divers aspects de l’atteinte à la protection des données sont et ont été traités par une organisation. Par ailleurs, une période de rétention de sous permettrait au Commissariat et aux organisations de mieux comprendre les risques, ce qui renforcerait les capacités du Commissariat en matière de renseignement et d’analyse pour mieux relever les enjeux systémiques et orienter les organisations de manière plus efficace afin qu’elles puissent mettre en place des pratiques de sécurité améliorées.

Entrée en vigueur

Bien qu’aucune date d’entrée en vigueur ne semble avoir encore été fixée pour le règlement, le Commissariat constate que les intervenants ont proposé à ISDE une entrée en vigueur dans les six (6) à dix-huit (18) prochains mois.

Le Commissariat comprend qu’un délai de mise en œuvre pourrait être nécessaire; toutefois, nous aimerions rappeler que les organisations sont au courant de la venue prochaine de la déclaration et de la notification obligatoires des atteintes à la protection des données depuis l’entrée en vigueur des modifications à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) en juin 2015.

Puisque d’autres instances au Canada ont établi depuis longtemps la notification et la déclaration des atteintes à la protection des données pour le secteur privé et puisque le Règlement général sur la protection des données qui entrera en vigueur en 2018 aura des impacts économiques et politiques globaux, le Commissariat est d’avis qu’une période de dix-huit (18) mois est trop longue et recommande l’établissement d’une période plus courte en vue d’améliorer la situation pour les organisations et les individus, et d’harmoniser les façons de faire du Canada avec ce qui se fait ailleurs dans le monde.

Conclusion

Comme l’indique le REIR, ISDE propose une collaboration avec le Commissariat pour cerner les domaines où des documents d’orientation seraient nécessaires pour aider les organisations à interpréter leurs nouvelles obligations et à s’y conformer. Le Commissariat est heureux de cette offre et se réjouit à l’idée de poursuivre notre relation de travail positive avec ISDE. Nous croyons que cette collaboration sera particulièrement utile pour l’établissement d’orientations sur les déclarations au commissaire à la protection de la vie privée, l’évaluation des risques et la tenue des dossiers.

Nous attendons la version définitive du règlement et son entrée en vigueur prochaine, et nous saluons les efforts et l’engagement du gouvernement en vue d’améliorer la protection de la vie privée pour tous les intervenants au Canada.

Veuillez agréer, Madame, mes salutations distinguées.

(Original signé par)

Barbara Bucknell
La directrice, Politiques et recherche,

Notes

Note de bas de page 1

Gazette du Canada, vol. 151, n^o 35 — 2 septembre 2017.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Commissariat à la protection de la vie privée du Canada, « Soumission à l'intention d'Innovation, Sciences et Développement économique Canada : Document de discussion touchant au règlement sur la notification et la déclaration des atteintes à la protection des données », 10 juin 2016.

Retour à la référence de la note de bas de page 2

Note de bas de page 3

Innovation, Sciences et Développement économique Canada, « Pour discussion — Règlement sur la notification et la déclaration des atteintes à la protection des données », 4 mars 2016.

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Dans le document intitulé « Alberta Personal Information Protection Act Regulation, Alberta Regulation 366/2003, with amendments up to and including Alberta Regulation 51/2010 », il est indiqué que les organisations doivent faire une déclaration écrite au commissaire, laquelle comprend [traduction] une évaluation du risque de préjudice encouru par les personnes touchées en raison de la perte des données ou de l’accès ou de la communication non autorisés (voir l’alinéa 19(30d)) . Par ailleurs, le Règlement général sur la protection des données stipule qu’advenant une atteinte à la protection des données à caractère personnel, le contrôleur de la protection des données doit déclarer l’atteinte à l’autorité de contrôle et décrire, entre autres, les conséquences probables de celle-ci (voir l’alinéa 33(3)c)).

Retour à la référence de la note de bas de page 4

Date de modification :: 2017-10-10

Sélection de la langue

Recherche et menus

Recherche