Bientôt une loi sur la protection des données

Par La rédaction | 27 juin 2018 | Dernière mise à jour le 15 août 2023
5 minutes de lecture
Photo : Maksim Kabakou / 123rf

À compter du mois de novembre, le secteur de la finance devra se plier à une nouvelle loi fédérale l’obligeant à déclarer toute atteinte à la protection des données. Mais comme le Québec possède déjà de semblables dispositions, tout le monde n’est pas concerné. Décryptage.

Dans un texte publié en mai, les avocats Jean-François De Rico et Pascal Archambault, du cabinet montréalais Langlois avocats, soulignent que le gouvernement fédéral a procédé en deux étapes.

En juin 2015, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) a en effet été modifiée afin d’imposer des dispositions relatives à la déclaration d’atteinte à la protection des données. Puis, en avril dernier, Ottawa a publié le Règlement sur les atteintes aux mesures de sécurité, qui énonce les règles applicables dans l’éventualité d’une atteinte aux mesures de sécurité ayant trait à des renseignements personnels.

QUE PRÉVOIENT LES NOUVELLES DISPOSITIONS?

Le règlement entrera en vigueur le 1er novembre, en même temps que les dispositions de la LPRPDE, indiquent les deux juristes. Ceux-ci précisent que ce délai « vise à permettre aux organisations de réexaminer leurs activités et processus concernant la gestion d’un incident de sécurité ». Il est en outre destiné à leur donner le temps de « valider leur degré de préparation et leur capacité de surveiller, documenter et déclarer des incidents affectant la confidentialité des renseignements personnels dont ils ont la responsabilité, et ce, dans le respect de la loi ».

Pour mémoire, la LPRPDE est une loi fédérale qui s’applique aux entreprises du secteur privé dans toutes les provinces, à l’exception de celles ayant adopté une loi relative à la protection de la vie privée équivalente comme l’ont fait le Québec, l’Alberta et la Colombie-Britannique. En outre, elle concerne les organisations dont les activités sont de juridiction fédérale, indépendamment du lieu de leurs activités.

Si l’Alberta est aujourd’hui la seule province à avoir introduit une exigence de déclaration d’une atteinte dans sa législation, le Québec et la Colombie-Britannique devraient prochainement lui emboîter le pas. Sinon, « cela pourrait entraîner un réexamen de la position du gouvernement fédéral quant à la similarité des lois provinciales », explique Jean-François De Rico. Ainsi, « à moins que les renseignements personnels ne soient partagés au-delà des frontières provinciales ou nationales, la LPRPDE ne s’applique pas aux organisations dont les activités se déroulent entièrement au Québec », souligne-t-il.

LES ASSUREURS PAS CONCERNÉS, MAIS…

Toutefois, précise l’avocat, « indépendamment de la localisation de leur lieu d’affaires, les entreprises de juridiction fédérale, au sens des dispositions de la constitution canadienne relatives au partage des compétences, sont assujetties à la LPRPDE, ce qui inclut notamment les banques ».

De leur côté, les assureurs et intervenants impliqués dans la distribution des produits et services financiers dans la Belle Province (les sociétés visées par les dispositions de la LDPSF) sont tenus de se conformer aux dispositions de la Loi sur la protection des renseignements personnels dans le secteur privé en vigueur.

« II est important de noter que, bien que les assureurs de personnes, les sociétés de gestion de portefeuille contrôlées par un assureur, sociétés mutuelles d’assurance, coopératives de services financiers, sociétés de fiducie et sociétés d’épargne assujettis aux lois du Québec ne soient pas visés par l’obligation de notification prévue par les dispositions de la LPRPDE, ceux-ci sont soumis à une règle similaire énoncée dans la ligne directrice sur les saines pratiques commerciales de l’Autorité des marchés financiers », détaille Jean-François De Rico.

LA LIGNE DIRECTRICE DE L’AMF

Cette ligne directrice prévoit que « l’Autorité s’attend notamment à ce que :

  • les consommateurs soient avisés en temps opportun de tout bris de confidentialité susceptible de nuire à leurs intérêts ou à leurs droits;
  • l’institution informe l’Autorité de tout manquement à la protection des renseignements personnels susceptible de nuire aux intérêts et aux droits des consommateurs ainsi qu’à la réputation de l’institution;
  • les personnes responsables au sein de l’institution sont avisées en temps opportun de tout bris de confidentialité. »

En vertu de la LPRPDE, les entreprises qui font face à une atteinte à la protection des données doivent pour leur part déterminer si l’incident représente un « risque réel de préjudice grave » pour les personnes dont les renseignements sont en jeu, compte tenu de leur degré de sensibilité et de la probabilité qu’ils fassent l’objet d’« une utilisation préjudiciable ». Si tel est le cas, elles doivent en aviser l’intéressé et déclarer l’incident auprès du Commissariat à la protection de la vie privée du Canada dans les plus brefs délais. Elles doivent en outre en informer d’autres sociétés susceptibles de pouvoir minimiser les dommages des personnes intéressées. Enfin, les entreprises doivent posséder un registre « de toute atteinte aux mesures de sécurité dont elles ont connaissance ».

La rédaction