La question de la semaine sur les fuites de données

Depuis quelques années, les fuites de données se succèdent sans relâche. Si une entreprise subit un vol de données et que certaines de ces données vous concernent, doit-elle vous en informer personnellement?

OUI, c'est déjà le cas partout au pays pour les organisations suivantes :

• les compagnies dont les activités dépassent les frontières provinciales - et qui accumulent donc de l'information sur des clients hors de la province où elles ont leur siège social - et même les frontières nationales
• les compagnies réglementées par le fédéral, telles que les banques, les entreprises de télécommunications, les aéroports, etc

Dans leurs cas, c'est la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE, qui s'applique. Depuis 2018, cette loi fédérale sur la vie privée oblige à vous aviser lorsqu’elles ont été victimes d’une fuite de données. Dans le cas de la LPRPDE, les registres de toutes les atteintes aux mesures de sécurité doivent être conservés pendant 2 ans

Et pour les plus petites entreprises? La réponse varie d'une province à l'autre.

L’Alberta, qui a sa propre loi en matière de protection des renseignements personnels dans le secteur privé, oblige l'entreprise à aviser le Commissaire à la vie privée de la province. Cependant, il n'y a pas d'obligation formelle de vous aviser personnellement.

La Colombie-Britannique a également une loi similaire dans le secteur privé, mais elle n'y inscrit pas d'obligation d'aviser le commissariat à la vie privée, ni les personnes concernées.

L’Ontario, le Nouveau-Brunswick, la Nouvelle-Écosse et Terre-Neuve-et-Labrador ont des lois similaires, mais seulement à l’égard de la collecte, de l’utilisation et de la communication de renseignements personnels sur la santé.

Depuis le 22 septembre dernier, le Québec est la seule province où la loi oblige toutes les organisations - votre épicerie du coin, votre dentiste, etc - à vous informer de tout « incident de confidentialité » qui pourrait vous causer un préjudice sérieux. Une seule exception: l’entreprise ou l’organisation n’a pas à vous informer si ça risque d’entraver une enquête importante comme une criminelle.

L'entreprise doit aussi vous dire qui pourra répondre à vos questions, quelles sont les mesures à prendre. Elle doit également informer la Commission d’accès à l’information, la CAI.

C'est l'entreprise qui évalue le risque de préjudice sérieux en fonction du degré de sensibilité du renseignement concerné, des conséquences possibles de l’utilisation du renseignement et de la probabilité qu’on l’utilise contre les victimes de l'incident. Ceci dit, si l'organisation omet de signaler un incident de confidentialité à la Commission d'accès à l'information, elle s'expose à des sanctions pénales et administratives, notamment des amendes pouvant atteindre 25 millions de dollars, ou même davantage si elle a un chiffre d’affaires mondial très élevé.

Journaliste : François Sanche
Journaliste à la recherche : Isabelle Roberge