En tant que précieux partenaire commercial, votre équipe Cowan entend s’assurer que vous disposez de l’information nécessaire pour protéger votre entreprise. Nous souhaitons vous informer des modifications apportées à la Loi sur la protection des renseignements numériques entrées en vigueur récemment pour que vous sachiez quelles répercussions ces modifications pourraient avoir sur votre entreprise.
Les modifications apportées à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) par la Loi sur la protection des renseignements personnels numériques (projet de loi S-4) sont entrées en vigueur le 1er novembre 2018. Les nouvelles règles obligent les organisations et les entreprises, quelle que soit leur taille, qui détiennent des renseignements identifiant personnellement des individus à tenir un registre des violations de données et à déclarer ces atteintes. Toute brèche de sécurité d’une organisation qui présente « un risque réel de préjudice grave » pour les personnes doit être signalée aux intéressés et au Commissariat à la protection de la vie privée du Canada. Les organisations qui omettent sciemment de déclarer des atteintes ou de tenir un registre de celles-ci s’exposent à des amendes pouvant aller jusqu’à 100 000 $ par infraction.
La déclaration est obligatoire lorsqu’il est raisonnable de croire qu’une atteinte significative à la protection des données a créé un risque réel de préjudice grave pour un intéressé, y compris un préjudice corporel, une humiliation, une atteinte à la réputation, une perte financière et un vol d’identité. La déclaration doit être faite « le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte ».
Les modalités de déclaration d’atteintes à la protection des données et de leur conservation dans un registre sont décrites dans le Règlement sur les atteintes aux mesures de sécurité qui se trouve sur le site Web du gouvernement du Canada.
La déclaration comprend les renseignements suivants : les circonstances de l’atteinte, sa date et sa durée, les renseignements visés par l’atteinte, les mesures prises pour diminuer le risque de préjudice, les mesures que les intéressés peuvent prendre pour diminuer le risque et les coordonnées d’une personne-ressource pouvant fournir des renseignements sur l’atteinte.
Les organisations doivent aviser les intéressés et les parties tierces « susceptibles de pouvoir atténuer le risque de préjudice aux intéressés ». L’atteinte doit être déclarée au Commissariat à la protection de la vie privée du Canada.
La nouvelle législation exige que l’entreprise tienne un « registre de toutes les atteintes aux mesures de sécurité touchant les renseignements personnels dont elle a la responsabilité ». Le registre doit être prêt et disponible afin d’être présenté au commissaire à la protection de la vie privée. Un registre de chaque atteinte doit être conservé au moins 24 mois après la date d’occurrence de l’atteinte établie par l’organisation. Le Commissariat à la protection de la vie privée du Canada demande à ce que cette durée soit portée à cinq ans.
Les organisations qui omettent sciemment de déclarer des atteintes ou de tenir un registre de celles-ci s’exposent à des amendes pouvant aller jusqu’à 100 000 $ par infraction.
Pour se conformer à ces nouvelles obligations, les organisations doivent:
Les obligations d’envoi d’avis et de déclaration découlent d’un « préjudice grave » relatif aux renseignements que votre organisation doit protéger. Le terme de « préjudice grave » est vaste et il vous appartient de le définir. Le fait d’utiliser les services hébergés n’élimine en rien l’obligation de déclarer une atteinte. Seriez-vous en mesure de savoir quels renseignements ont été visés par une atteinte et seriez-vous en mesure de déterminer si vous avez causé un préjudice grave?
Bien souvent, les polices d’assurance de biens commerciaux et de responsabilité commerciale ne couvrent pas les frais relatifs aux atteintes à la protection des données. L’assurance cyberresponsabilité est essentielle pour gérer le risque qu’encourt votre organisation et pour disposer des ressources nécessaires pour vous conformer aux obligations législatives.
En cas d’atteinte à la protection des données, l’assurance cyberresponsabilité couvre non seulement les frais occasionnés par les atteintes mais elle met également à votre disposition des consultants spécialisés dans la violation des renseignements personnels. Un groupe d’experts en finance, en droit et en relations publiques est aussi prêt à vous venir en aide lorsque vous en avez le plus besoin.
Le niveau de cybercouverture dont votre organisation a besoin dépend de vos besoins uniques et varie selon votre degré d’exposition.
Adressez-vous à un représentant de Cowan pour vous assurer que votre couverture actuelle répond à vos besoins de gestion du risque et d’assurance.
Le Commissariat à la protection de la vie privée du Canada dispose de ressources pour aider les entreprises à comprendre leurs obligations en vertu de la LPRPDE. Pour obtenir plus de renseignements, consultez le site du Commissariat à la protection de la vie privée du Canada.
Téléchargez une version PDF à partager du contenu ici
Les cyberattaques sont devenues l’une des menaces les plus importantes pour les organisations de toutes tailles, faisant de l’assurance contre les cyberrisques un élément essentiel de tout programme de gestion des risques.
Pour savoir comment votre organisation se compare en matière de risques de cyberattaques.
Téléchargez un fichier PDF de notre tableau de bord des cyberrisques