5. Il y a eu atteinte aux données! Que faire?

Exemple de recours à la LPRPDE

1. L’atteinte potentielle est-elle visée par la définition d’« atteinte aux mesures de sécurité » de la LPRPDE?
2. L’atteinte concerne-t-elle des renseignements personnels?
3. Il faut déterminer si vous êtes le contrôleur des données.
4. Est-il raisonnable dans les circonstances de croire que l’atteinte crée un risque réel de préjudice important pour un individu?
5. Si vous avez répondu par l’affirmative aux questions qui précèdent, vous êtes tenu par la loi de faire ce qui suit :
   1. signaler la situation au commissaire;
   2. aviser l’individu touché;
   3. respecter l’exigence légale de tenir un registre.
6. Après une atteinte à la vie privée, il est aussi important de créer un plan pour gérer les incidents relatifs à la vie privée à l’avenir et/ou évaluer votre plan actuel.

Conseil en matière de protection des renseignements personnels

Si votre entreprise embauche un expert-conseil en affaires, au lieu d’un juriste, pour préparer un rapport sur la protection des renseignements personnels, ce rapport ne sera pas protégé par le secret professionnel de l’avocat.

Le privilège relatif au litige peut viser le rapport d’un expert-conseil en affaires, si le rapport a été rédigé dans le but explicite de la préparation à un litige ou à un litige prévu.

Le privilège peut également viser le rapport d’un expert-conseil en affaires s’il a été rédigé au nom d’un client afin de transmettre des renseignements à l’avocat de sorte que ce dernier puisse fournir un avis juridique.

Exemple réel

Le commissaire à la protection de la vie privée de l’Alberta a abordé la question d’une atteinte aux données dans le rapport d’enquête P2005-IR-005.

Dans ce cas, la société a transmis par erreur les renseignements personnels des employés à une entreprise et les a inclus dans le contrat conclu avec cette dernière. Ces renseignements personnels comprenaient l’adresse domiciliaire et le numéro d’assurance sociale des employés. L’entreprise a ensuite déposé ces contrats dans le Système électronique de données, d’analyse et de recherche (SEDAR), une plateforme qui permet aux sociétés publiques de se conformer aux exigences de production électronique des organismes de réglementation des valeurs mobilières. Lorsqu’elle a produit ces contrats dans le SEDAR, l’entreprise a rendu publics les renseignements concernant les employés.

Selon le commissaire, la communication des renseignements personnels des employés dans les contrats conclus avec l’entreprise et leur transfert dans le SEDAR contrevenaient à la législation provinciale.

En apprendre davantage :

• Ce que vous devez savoir sur la déclaration obligatoire des atteintes aux mesures de sécurité
• Enquête sur la conformité de Brinks Home