L’annonce d’une atteinte Ă la sĂ©curitĂ© des donnĂ©es a de quoi vous donner des cauchemars. Est vulnĂ©rable toute personne qui a dĂ©jĂ envoyĂ© des renseignements confidentiels en ligne, et de nos jours, nous sommes de plus en plus nombreux Ă l’ĂŞtre, il suffit de se souvenir de l’atteinte Ă la sĂ©curitĂ© de Yahoo! qui a touchĂ© trois milliards d’utilisateurs cet Ă©tĂ©.
Le gouvernement fĂ©dĂ©ral Ă©labore un règlement d’application de la LPRPDE pour prĂ©ciser les modalitĂ©s et le moment de la notification des personnes dont les renseignements personnels pourraient avoir Ă©tĂ© impliquĂ©s dans une atteinte aux mesures de sĂ©curitĂ©. Le projet de règlement a Ă©tĂ© publiĂ© en septembre dans la Gazette du Canada.
Dans l’ensemble, les commentaires (disponibles uniquement en anglais) au sujet du projet de règlement exprimĂ©s par la Section du droit des renseignements personnels et de l’accès Ă l’information de l’ABC et par l’ACCJE visent Ă trouver le point d’Ă©quilibre entre la protection du consommateur et les impĂ©ratifs commerciaux de l’organisation qui effectue la notification.
Les sections fĂ©licitent le gouvernement d’avoir acceptĂ© les recommandations proposĂ©es antĂ©rieurement par l’ABC de n’exiger que ni avis ni rapports concernant une violation ne soient destinĂ©s Ă dĂ©terminer ou Ă spĂ©culer sur les genres de prĂ©judices qui pourraient en dĂ©couler. [TRADUCTION] « Les sections de l’ABC avaient recommandĂ© que le contenu des rapports soit fondĂ© sur les faits », affirme le mĂ©moire le plus rĂ©cent.
Le projet de règlement exige qu’un avis soit adressĂ© Ă toute personne touchĂ©e par « une atteinte aux mesures de sĂ©curitĂ© […] s’il est raisonnable de croire, dans les circonstances, que l’atteinte prĂ©sente un risque rĂ©el de prĂ©judice grave Ă l’endroit d’un individu. »
Cependant, le projet de règlement va trop loin lorsqu’il exige que les notifications d’atteintes contiennent des renseignements au sujet du processus interne de plainte de l’organisation, affirme le mĂ©moire. Il suffit de fournir un numĂ©ro Ă appeler pour obtenir de plus amples renseignements. Selon le mĂ©moire, l’avis devrait ĂŞtre axĂ© sur la communication d’un message convivial Ă la personne sur la façon de se procurer des renseignements supplĂ©mentaires au sujet de l’atteinte Ă la sĂ©curitĂ© des renseignements et des mesures qu’elle peut, et devrait, prendre pour se protĂ©ger.
Le projet de règlement prĂ©voit un certain nombre de moyens pour notifier une personne touchĂ©e par une violation; moyens dont les sections pensent pourraient ĂŞtre simplifiĂ©s et rĂ©duits Ă a) un courriel, b) une communication sĂ©curisĂ©e (si la personne touchĂ©e a consenti Ă recevoir des communications envoyĂ©es par l’organisation sous cette forme, c) une lettre, d) une communication orale (qui peut inclure un message vocal ou non) et e) des rĂ©unions en personne.
Selon les sections, l’utilisation du courrier Ă©lectronique Ă cette fin devrait ĂŞtre exemptĂ©e de consentement prĂ©alable puisqu’elle ne rĂ©pondrait pas au critère de « message Ă©lectronique commercial » aux fins de la LCAP.
[TRADUCTION] « La notification directe a pour objet d’informer les personnes d’une atteinte Ă la sĂ©curitĂ© des renseignements personnels et de leur donner une chance de rĂ©duire le risque de prĂ©judice, ou de limiter la portĂ©e des prĂ©judices, dĂ©coulant de cette atteinte. Il est fondamental que les avis soient envoyĂ©s très rapidement afin de donner Ă leurs destinataires les meilleures chances possibles de rĂ©duire les risques et la portĂ©e des prĂ©judices. Assortir la capacitĂ© d’envoyer un avis par courrier Ă©lectronique de l’exigence de l’obtention d’un consentement prĂ©alable limite la capacitĂ© d’une organisation et d’une personne Ă atteindre l’objectif visĂ©. »
Les sections soulignent en outre les incohĂ©rences au niveau des exigences connexes aux adresses et aux numĂ©ros de tĂ©lĂ©phone, soit « dernière adresse de rĂ©sidence connue » et « tĂ©lĂ©phone », mais pas nĂ©cessairement « dernier numĂ©ro de tĂ©lĂ©phone connu ». Ces exigences spĂ©cifiques n’ont pas lieu d’ĂŞtre, il suffit d’exiger que l’ensemble des communications, quelle que soit leur forme, soient adressĂ©es aux dernières coordonnĂ©es connues.
Il est parfois plus efficient, ou plus faisable, d’aviser indirectement les personnes affectĂ©es par une atteinte Ă la sĂ©curitĂ©. Les sections suggèrent de modifier le projet de règlement afin d’y ajouter cette possibilitĂ© lorsque les coordonnĂ©es sont « probablement » dĂ©suètes (le projet de règlement dit « sont » dĂ©suètes) ou lorsque l’organisation ne pourrait faire face au coĂ»t excessif d’une notification directe adressĂ©e Ă chaque intĂ©ressĂ© du groupe affectĂ©.
Lorsque le règlement prĂ©voit, dans sa version anglaise, que la notification indirecte pourrait revĂŞtir la forme d’une annonce en utilisant le terme « advertisement » (soit annonce publicitaire en français), les sections recommandent de plutĂ´t utiliser le mot « announcement » (soit annonce en français), eu Ă©gard Ă la signification commerciale prĂ©cise et limitĂ©e du terme « advertisement ».
Pour obtenir de plus amples renseignements sur la LPRPDE et sur les atteintes Ă la sĂ©curitĂ©, veuillez lire les mĂ©moires publiĂ©s par l’ABC en mars 2017 et en mai 2016 (ce dernier disponible uniquement en anglais).