Préparez-vous à la déclaration obligatoire des atteintes à la protection des données au Canada

Le Canada s’est doté d’une loi sur la déclaration obligatoire des atteintes à la protection des données au palier fédéral. En effet, depuis le 1er novembre 2018, les entreprises assujetties aux lois canadiennes en matière de protection de la vie privée, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) devront consigner et communiquer les atteintes aux mesures de sécurité. Les nouvelles règles entourant ces atteintes à la protection des données pourraient signifier que vous devez modifier vos pratiques de gestion des violations et de la protection des renseignements personnels.

Ce qui change

La loi sur les atteintes aux mesures de sécurité promulguée dans le cadre de la Loi sur la protection des renseignements personnels numériques comprend trois exigences principales :

Déclaration d’atteinte aux mesures de sécurité

Aviser le Commissariat à la protection de la vie privée (CPVP), les personnes touchées et les tiers pertinents (pouvant minimiser les dommages) de l’atteinte aux mesures de sécurité.

Tenue de registres

Conserver des dossiers de toutes les atteintes à la protection des données et les transmettre au CPVP à sa demande.

Évaluation des risques

Déterminer s’il s’agit d’une atteinte aux mesures de sécurité et si elle pose un risque important réel de préjudice.

Pourquoi faut-il se préparer ?

En établissant ou en améliorant votre plan de réponse à une atteinte à la protection des renseignements personnels en général, vous pouvez :

Améliorer votre avantage concurrentiel en renforçant la confiance et la fidélité de votre clientèle, en sensibilisant votre personnel à la protection des renseignements personnels et en rendant les fonctions de protection des renseignements personnels, de la sécurité, des technologies de l’information et de la gouvernance plus efficaces ;

Réduire les risques, car une réponse défaillante à une atteinte aux mesures de sécurité peut mener à une surveillance accrue des organismes de réglementation (p. ex. une enquête, un audit, un examen du programme de protection des renseignements personnels et des sanctions), à des pénalités financières (p. ex amendes, perte de valeur pour les actionnaires ou poursuites) et à une tache à votre réputation (p. ex. diminution de la confiance des clients, valeur de la marque et revenus).

Gestion de la confidentialité et des risques dans un monde numérique (en anglais seulement)

Nous nous entretenons avec Pamela Snively, directrice des données et de la confiance chez TELUS, pour une expertise sur l’innovation tout en protégeant la confidentialité des clients.
 

Écoute maintenant

Voici ce que vous pouvez faire

Outil d’évaluation de votre niveau de préparation à la déclaration obligatoire des atteintes aux mesures de sécurité

Évaluez votre niveau actuel de préparation et découvrez où vous vous situez par rapport à vos pairs. Obtenez des analyses précieuses à propos du travail à faire pour atteindre votre objectif ou faites preuve de diligence raisonnable dans votre préparation. L’outil vous aide à :

  • répondre aux questions clés : l’outil contient une série exhaustive de questions à propos des règles entourant la déclaration obligatoire des atteintes aux mesures de sécurité  ;
  • évaluer votre préparation à réagir à une atteinte aux mesures de sécurité : les réactions sont évaluées en fonction des exigences de la réglementation, d’expériences concrètes et des pratiques sectorielles ;
  • comprendre votre niveau de maturité : chaque composante de l’évaluation est associée à un niveau de maturité permettant d’en évaluer votre niveau actuel.

Mettre en œuvre un programme de base

Un programme de base contre les atteintes aux mesures de sécurité inclut :

  • des évaluations de risques, un registre des données et des activités de traitement, et l’élaboration d’un programme ;
  • l’examen des politiques, des processus et des procédures de réponse aux incidents et aux atteintes aux mesures de sécurité  ;
  • des plans d’intervention en cas d’atteinte aux mesures de sécurité, incluant des simulations ;
  • l’évaluation des menaces internes ;
  • des programmes de formation et de sensibilisation.

Réagir efficacement face à une atteinte aux mesures de sécurité

Quelles sont vos options face à une atteinte aux mesures de sécurité ?

  • La protection des renseignements personnels comme service (Privacy as a Service, ou PraaS, en anglais) : services impartis de soutien en protection des renseignements personnels, de procédures de réaction à une atteinte aux mesures de sécurité, de formation et d’évaluation des risques.
  • Centre de services en sécurité et protection des renseignements personnels : une approche intégrée englobant les réactions en ligne et réglementaires aux incidents.
  • Services de réponse aux cyberincidents : réponse aux incidents et détection des menaces, découvertes de compromission et soutien continu au moyen de rapports, d’analyse, d’avis et de résultats.

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'résultat' : 'résultats'}}
{{contentList.loadingText}}

Communiquez avec nous

PwC a une équipe expérimentée et spécialisée dans la protection des renseignements personnels d’envergure mondiale qui possède des outils et des accélérateurs éprouvés pour vous aider à vous préparer. Communiquez avec nous pour en savoir plus.

Jordan Prokopy

Leader nationale, Confiance dans les données et protection des renseignements personnels, Toronto, PwC Canada

+1 416 869 2384

Courriel

Suivre PwC Canada