À partir de jeudi, les entreprises devront faire face à de nouvelles obligations en matière de déclaration des atteintes aux données.
La loi fédérale concernant la protection des renseignements personnels dans le secteur privé est modifiée en raison du nombre d’incidents de cybersécurité qui frappent les entreprises. Ces mesures « inciteront les organisations à prendre la sécurité plus au sérieux », a indiqué le commissaire à la protection de la vie privée, Daniel Therrien.
Les entreprises auront ainsi le devoir de :
– Déclarer au Commissariat à la protection de la vie privée du Canada toute atteinte qui « crée un risque réel de préjudice grave ».
– Prévenir les personnes touchées « dès que possible ».
– Conserver les atteintes aux données personnelles dans un registre, et ce pendant au moins deux ans.
La notion de « préjudice grave » couvre les lésions corporelles, l’humiliation, les dommages à la réputation de la personne et à ses relations, les répercussions négatives sur son dossier de crédit, la perte financière, le vol d’identité, la perte de biens, les dommages aux biens, ainsi que la perte d’opportunités d’emploi, d’affaires ou d’activités professionnelles.
Un formulaire de déclaration destiné aux entreprises est désormais disponible. Toutefois, son utilisation n’est pas obligatoire. Les organisations peuvent déclarer les atteintes aux données en ayant recours au type de document qu’elles souhaitent, tant qu’il fournit toutes les informations nécessaires.
Le Commissariat estime que ces dispositions constituent un « pas dans la bonne direction », bien qu’elles soient imparfaites. Cependant, il déplore le manque de ressources octroyées par le gouvernement fédéral pour évaluer la bonne application de cette réglementation et juge donc que son travail « sera de nature plutôt superficielle ».
Lire aussi :
Révision des lois sur la communication et la diffusion de contenu
