La cyber-attaque ayant touchée Equifax au début du mois dernier, ce qui a permis aux pirates d’avoir accès aux renseignements personnels d’environ 143 millions d’Américains, n’a laissé personne indifférent. Tout service étant désormais informatisé, nous léguons nos données personnelles sans se rendre réellement compte du danger qui rôde autour de leur utilisation et de leur sauvegarde. Equifax n’est qu’un exemple de fuite de données parmi d’autres. Les Etats ont commencé à sérieusement se soucier de cette problématique et ont adopté de nouvelles législations afin d’assurer un meilleur suivi des atteintes et de permettre aux individus touchés par celles-ci d’en être informés rapidement afin qu’ils aient éventuellement la chance de réduire leurs préjudices.
Le Parlement Européen a adopté, au mois d’avril 2016, le Règlement général sur la protection des données (RGPD) qui instaure de nouvelles obligations supranationales, c’est-à-dire applicables sans exception aux 28 pays membres de l’Union, afin de garantir la sécurité et l’intégrité des données personnelles. Les entreprises qui manipulent, traitent, gèrent ou stockent des données personnelles de citoyens européens ont deux ans à partir de cette date pour se mettre en conformité avec cette nouvelle législation. Important est de relever que les données protégées par cette loi ne pourront dorénavant être échangées avec des états hors Union Européenne uniquement si ceux-ci garantissent une sécurité équivalente.
Jusqu’à maintenant, Alberta était la seule province canadienne à avoir adopter une loi d’application en matière de protection des renseignements personnels (la Personal Information Protection Act), loi applicable aux entreprises du secteur privé. Mais le 1er septembre dernier, le Gouvernement canadien a publié un projet de règlement destiné à compléter la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
Parmi les nouveautés, les organismes privés de gestion de données personnelles visés par la règlementation seront désormais dans l’obligation de communiquer au Commissaire à la protection de la vie privée au Canada et aux personnes concernées toute atteinte à la protection des données, s’il est raisonnable de croire que celle-ci représente un risque réel de préjudice grave. Par ailleurs, ce projet vise à imposer la tenue obligatoire de rapports listant toutes les atteintes à la protection de données en lien avec des renseignements personnels qui ont eu lieu dans les 24 derniers mois.
Tout d’abord, la déclaration à l’endroit du Commissaire, par le biais du formulaire type Rapport d’atteinte à la vie privée, doit être faite par écrit et contenir un certain nombres de renseignements, tel que les circonstances et causes de l’atteinte, une estimation du nombre d’individus affectés, la nature des renseignements personnels qui ont été touchés, les mesures adoptées par l’organisme afin de contenir l’atteinte et les mesures que l’organisme compte prendre, si ce n’est pas déjà fait, afin d’aviser les personnes intéressées. Il est par ailleurs précisé que cette communication doit intervenir le plus rapidement possible.
Ensuite, concernant l’avis qui doit être communiqué à l’intéressé dans les plus brefs délais suite au décèlement d’une atteinte, celui-ci doit contenir suffisamment d’informations afin que son destinataire comprenne l’importance de l’atteinte le concernant et qu’il puisse prendre les mesures nécessaires pour réduire son dommage. Cet avis doit, tout comme la déclaration au Commissaire, indiquer les mesures que l’organisme a prises suite à l’atteinte mais aussi les mesures que peut prendre l’intéressé afin d’atténuer le risque de préjudice ou le préjudice déjà commis résultant de l’atteinte. Il faudra aussi que ce document indique les coordonnées d’une source interne à l’organisation qui soit en mesure de répondre aux questions et d’apporter des clarifications. Aussi, important est de relever que cet avis devra contenir des renseignements concernant le processus de plainte à l’interne mais aussi le droit, pour la personne touchée, de déposer une plainte auprès du Commissaire, droit déjà prévu par la LPRPDE. Concernant cette dernière exigence, A. CAMERON, D. FABIANO, C. FELTRIN et A. AYLWIN, dans leur article intitulé “Nouvelles règles en matière de déclaration obligatoire d’atteintes à la vie privée au Canada”, la considèrent inutile et craignent qu’elle n’incite indûment les intéressés à porter plainte.
On se rend rapidement compte du nombre et de la précision des informations exigées par l’introduction de ces deux nouvelles communications obligatoires. Celles-ci vont donc imposer une organisation et un formalisme nouveau pour les organismes privés gérant des données personnelles, qui devront donc investir dans suffisamment de moyens afin de satisfaire ces nouvelles exigences légales.
Par ailleurs, ce projet de loi impose une troisième formalité importante pour les entreprises concernées, soit celle de tenir des registres détaillés soulevant toutes les atteintes à la protection des données qui ont trait à des renseignements personnels dont elles ont le devoir de gestion. Comme décrit par le Gouvernement Canadien dans son document “Pour discussion – Règlement sur la notification et la déclaration des atteintes à la protection des données”, cette nouveauté vise un double objectif majeur. Premièrement, cette exigence permettra au Commissaire de vérifier le respect de l’exigence de notification envers les personnes touchées. Deuxièmement, elle obligera les entreprises à relever systématiquement les atteintes à la protection des données qu’elles ont subies, et ce, quel que soit le risque du préjudice ou sa gravité, ce qui aura pour effet de faciliter le décèlement de failles dans leur système de sécurité et d’agir rapidement pour contrer tout problème afférent à la sécurité et intégrité des données. Cette exigence semble particulièrement vaste puisqu’elle concerne toute atteinte, incluant celles qui ne comportent pas de risque de préjudice grave pour les individus et qui ne devraient par conséquent pas être déclarées au Commissaire.
Pour l’instant, le règlement ne spécifie pas clairement le type d’informations que les entreprises devront inscrire dans les registres afin de respecter la norme légale. Toujours selon le même document mis à disposition par le gouvernement du Canada, il semblerait que de plus amples détails sur les renseignements à fournir devraient être ajoutés prochainement. Comme le relève A. CAMERON, D. FABIANO, C. FELTRIN et A. AYLWIN, cette nouvelle exigence peut aussi soulever des doutes quant à la quantité des renseignements à conserver dans ces registres. Ils craignent que ces dispositions “donnent à penser qu’il serait prudent de verser dans les dossiers de déclaration les renseignements qui ont amené l’organisation à conclure qu’il n’y avait pas de risque réel de préjudice grave et qu’il n’était donc pas nécessaire d’aviser les intéressés”.
Ces exemples de nouvelles dispositions inclues dans le projet de règlement semblent imposer un nombre important de nouvelles formalités aux entreprises du secteur privé gérant des données à caractère personnel. Ces obligations auront peut être l’avantage de leur faire prendre conscience des défaillances dont souffre leur système de sécurité face aux attaques extérieures, ce qui leur permettra éventuellement de s’armer plus efficacement. Quant à l’obligation d’informer les personnes touchées par les attaques dans les plus brefs délais, celle-ci semble être justifiée étant donné que les individus accordent leur confiance aux entreprises en leur fournissant leurs renseignements personnels. Les organismes de gestion de données ne seront donc plus en mesure d’étouffer ou de cacher les affaires de cyber-criminalité les concernant et ayant des répercussions sur leurs clients. Pour finir, on pourrait se demander si ces mêmes dispositions ou des dispositions équivalentes ne devraient pas trouver application pour les entreprises publiques qui gèrent des données à caractère personnel. Les organismes publics devraient, de la même manière, informer les personnes concernées s’il devait y avoir un faille exposant leurs données à certains risques.
Ceci dit, reste-t-il à prouver que ce formalisme stricte permette effectivement d’éviter des attaques préjudiciables, attaques qui semblent déjouer assez facilement les mesures de sécurité mises en place. Ce qui est certain est que le Canada doit mettre jour sa législation concernant la sauvegarde de l’intégrité des renseignements personnels afin de proposer des protections équivalentes à celles adoptées par ses partenaires économiques.
Commentaires