Le gouvernement fédéral est en train de concevoir une réglementation pour régir les exigences concernant l’atteinte à la confidentialité des données énoncées dans la Loi sur la protection des renseignements personnels numériques promulguée il y a un an. Selon les modifications apportées à la Loi sur la protection des renseignements personnels et les documents électroniques, les organisations du secteur privé sont tenues d’informer les Canadiens et les Canadiennes dont les renseignements électroniques ont été perdus ou volés, et d’informer le Commissaire à la protection de la vie privée de toute atteinte nuisible à la confidentialité des données.
Avant que ces modifications n’entrent en vigueur, le gouvernement doit rédiger des règlements pour les régir. À cette fin, au début de l’année, il a invité au dépôt de commentaires concernant un document de travail. La Section du droit de la vie privée et de l’accès à l’information de l’ABC a envoyé son mémoire (disponible uniquement en anglais) pour alimenter les consultations avant la date limite du 31 mai.
Dans l’ensemble, la Section du droit de la vie privée et de l’accès à l’information de l’ABC appuie l’élaboration de règlements sur l’avis d’atteinte à la confidentialité des données et sur les rapports. Elle met toutefois le gouvernement en garde contre la tentation de rendre ces règlements trop normatifs. [TRADUCTION] « Nos commentaires sont éclairés par notre compréhension du principe fondamental du juste équilibre entre les droits de la personne au respect de sa vie privée et la promotion du commerce », a écrit Laura Davison, présidente de la Section au groupe d’Innovation, Science et Développement économique Canada chargé d’effectuer les consultations
[TRADUCTION] « Nous recommandons en particulier une approche souple et non normative de la rédaction des règlements qui facilite une évaluation au cas par cas et accorde un pouvoir discrétionnaire aux organisations pour prendre les décisions appropriées concernant leurs atteintes. »
Me Davison renvoie aux mémoires précédents publiés à ce sujet : celui de 2005, dans lequel l’ABC a soutenu qu’il devrait incomber aux organisations individuelles de déterminer leur propre niveau de risque quant à l’atteinte aux données, et celui de 2008 dans lequel la Section recommandait que les rapports au Commissaire soient [TRADUCTION] « exclusivement fondés sur les faits. Nous recommandons de n’exiger ni dans les avis ni dans les rapports, des évaluations spéculatives du risque de préjudices. »
S’agissant de signaler les atteintes, la Section milite en faveur de la souplesse des délais afin de laisser le temps à l’organisation d’enquêter et de lui permettre de recueillir autant de faits que possible, et de la forme du rapport, que l’avis soit direct ou indirect. Elle suggère que le bureau du Commissaire à la vie privée pourrait publier des lignes directrices sur le sujet et sur la question de la tenue de dossiers, de la personne qui devrait les tenir, de la durée de leur conservation et des renseignements devant y être consignés.
[TRADUCTION] « Nous appuyons l’établissement de ces règlements et sommes convaincus qu’un régime de réglementation correspondant à nos recommandations renforcera les obligations d’une organisation de protéger les renseignements personnels et établira un équilibre approprié entre les droits individuels à la vie privée et la promotion du commerce », conclut Me Davison.