La Loi sur la protection des renseignements personnels numériques



La Loi sur la protection des renseignements personnels numériques – Ce qu’il faut savoir

snIP/ITs Blog  Blogue cyberlex

La Loi sur la protection des renseignements personnels numériques (projet de loi S-4) (la « Loi »), adoptée le 18 juin 2015, modifie le contexte de la cybersécurité et de la protection des données au Canada. Elle change et améliore de manière importante la Loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et touche toutes les sociétés auparavant concernées par la LPRPDE. 

Plus particulièrement, la Loi change les paramètres de gestion et d’évaluation des risques. Les sociétés assujetties à la LPRPDE doivent revoir les mesures qu’elles appliquent afin d’assurer la conformité à la nouvelle législation et une évaluation rigoureuse des risques.

Conséquences pour les entreprises

·        Nouvelles règles de signalement des atteintes à la protection des données : L’obligation de signaler une atteinte aux mesures de sécurité des donnée a été étendue d’une manière qui pourrait créer de la confusion quant à ce qu’il convient de signaler ou, tout aussi important, de ne pas signaler. Une multiplication indue de ces signalements pourrait être une conséquence non intentionnelle de la législation. Les entreprises jouiront d’une certaine période pour se préparer, car il s’agit de la seule partie de la nouvelle loi qui n’est pas encore en vigueur. On s’attend toutefois à ce qu’elle le devienne bientôt.

·       Nouvelles règles en matière de tenue de registre et de vérification interne : Fait notable, la loi ne prévoit pas explicitement de défense de diligence raisonnable, mais elle impose une norme plus rigoureuse sur la tenue des registres sur les incidents et le processus officiel de vérification interne pour remédier aux problèmes décelés. Les entreprises qui feront défaut de tenir des registres sur les atteintes à la sécurité des données pourraient s’exposer à des amendes pouvant aller jusqu’à 100 000 $ par infraction.

·        Nouvelles normes de consentement : La Loi introduit des critères variables de ce qui constitue un consentement éclairé à la collecte, à l’utilisation et à la divulgation de renseignements personnels. Les organisations qui recueillent des renseignements personnels d’enfants ou de personnes âgées, par exemple, peuvent être contraintes à suivre des règles plus strictes en matière de divulgation et de consentement. Les sociétés pourraient être tenues d’examiner et de réviser leurs politiques en vigueur sur le respect de la vie privée ainsi que de les adapter à des groupes démographiques particuliers.

·        Pouvoirs d’application étendus et amendes plus importantes : La Loi accorde au Commissariat à la protection de la vie privée du Canada plus de pouvoirs, qui reflètent à plusieurs égards ceux de son homologue américain, la Federal Trade Commission. Cela pourrait entraîner une hausse des mesures d’exécution de la loi imposées aux sociétés, de même que l’imposition d’amendes plus lourdes et de plus grande portée pour les cas de non-conformité et d’atteinte à la sécurité des données. La rigueur et la célérité dont fera preuve le commissaire à la protection de la vie privée dans l’application de ces mesures restent incertaines.

Comment nous pouvons vous aider

Nous offrons les ressources du groupe multidisciplinaire Cybersécurité, confidentialité et Protection des données, premier de son genre au Canada. Notre équipe peut vous aider à examiner les pratiques courantes en matière de confidentialité, de protection des données et de conservation des documents à la lumière des nouvelles obligations imposées par la Loi. Cette vérification comprend une évaluation des risques et une analyse des lacunes, en collaboration avec le personnel responsable de la technologie, de la gestion des risques, de la conformité, du marketing et du contentieux de l’organisation. À partir des résultats de la vérification, nous vous aidons à élaborer une stratégie visant à actualiser, à documenter et à mettre en œuvre les processus de préparation aux incidents et les mesures d’intervention, après quoi nous pouvons offrir une formation interne pour favoriser l’adoption de la stratégie formulée dans le cadre des activités quotidiennes de l’entreprise.

Dans le but de fournir à nos clients des conseils pratiques et proactifs, nous avons développé des solutions client qui portent précisément sur la conformité et la préparation ainsi que l’intervention en cas d’atteinte à la sécurité des données et la gestion de crise. Ces solutions évolutives comprennent des trousses d’outils, des processus, des matrices des risques et des résultats conçus pour réduire votre exposition au risque, tout en assurant la prévisibilité des coûts. Nos Trousse de conservation des documents, Vérification des politiques de confidentialité et Plan d’intervention aux incidents ne sont que quelques-uns des éléments qui composent notre gamme de solutions de gestion des risques de cybersécurité.

Sur un plan plus général, nous avons rédigé un guide de gestion des risques de cybersécurité pour aider les sociétés à évaluer globalement et dans un esprit critique leurs protocoles de préparation aux situations d’urgence et de gestion de crise.

Pour discuter de vos efforts de conformité ou pour obtenir un exemplaire de nos documents, veuillez communiquer avec l’une des personnes suivantes :

TORONTO

Barry B. Sookman
416 601-7949
[email protected]
Voir le profil

MONTREAL

Charles S. Morgan
514 397-4230
[email protected]
Voir le profil

TORONTO

Daniel G.C. Glover
416 601-8069
[email protected]
Voir le profil

CALGARY

Catherine M. Samuel
403 206-5528
[email protected]
Voir le profil

TORONTO

Kirsten Thompson
416 601-7797
[email protected]
Voir le profil

VANCOUVER

David Crane
604 643-5891
[email protected]
Voir le profil

Analyse de notre équipe :

La Loi sur la protection des renseignements personnels numériques entre en vigueur – alerte électronique de McCarthy Tétrault

Loi sur la protection des renseignements personnels numériques – texte intégral

Solutions client :

Diagnostic de conformité à la Loi sur la protection des renseignements personnels numériques 

Diagnostic de la préparation et du plan d’intervention en cas d’atteinte à la protection des données