Le 1er septembre 2017, le gouvernement canadien a publié un projet de règlement portant sur la déclaration obligatoire des atteintes à la vie privée en application de la loi fédérale canadienne relative à la protection des données, la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »). Le public peut formuler ses observations au sujet du Règlement, qu'on peut consulter ici, jusqu'au 2 octobre 2017. Le Résumé de l'étude d'impact de la réglementation (le « REIR ») qui accompagne le Règlement en explique les divers aspects et souligne certaines des dispositions qui ont été créées, ou non, en réponse aux consultations qui ont été menées auprès des intervenants.

Bien qu'à de nombreux égards, le Règlement proposé coïncide avec les exigences et les pratiques actuelles au Canada, il renferme, comme nous le verrons plus loin, plusieurs dispositions controversées et problématiques qui auront des conséquences néfastes (imprévues) pour les entreprises qui cherchent à se conformer à la LPRPDE. L'approche normative qui a été adoptée dans le Règlement ne peut prévoir toutes les circonstances et entre en conflit avec le concept du caractère raisonnable et avec la démarche fondée sur les principes sur lesquels repose la LPRPDE. Nous souhaitons que ces questions soient abordées avant que la version définitive du Règlement ne soit arrêtée ou que les dispositions les plus problématiques soient supprimées du Règlement et remplacées par des directives pratiques et souples du Commissariat à la protection de la vie privée du Canada (le « Commissaire »).

À la suite du processus de consultation du public, la version définitive du Règlement sera rédigée et l'on s'attend de façon générale à ce que le Règlement et les dispositions de la LPRPDE relatives à la déclaration obligatoire des atteintes à la protection des données entrent en vigueur au printemps 2018, en même temps, potentiellement, que le Règlement général sur la protection des données (RGPD) de l'Union européenne. Les dispositions de la LPRPDE ressemblent à plusieurs égards aux obligations du RGPD en matière de déclaration d'atteinte à la protection des données. Cette harmonisation est jugée importante pour le commerce entre le Canada et l'UE. L'UE a longtemps considéré que la LPRPDE offrait un niveau de protection de la vie privée adéquat, ce qui a permis la libre circulation des renseignements personnels entre les organisations de l'UE et celles du Canada. De toute évidence, le Canada souhaite protéger sa réputation.

Dans ce bref article, nous examinerons les dispositions pertinentes de la LPRPDE et du Règlement proposé et nous formulerons quelques observations quant à leurs répercussions éventuelles sur les entreprises assujetties à la LPRPDE.

Contexte

Les dispositions de la LPRPDE relatives à la déclaration des atteintes

Le 18 juin 2015, le Canada a adopté la Loi sur la protection des renseignements personnels numériques (aussi appelée projet de loi S‑4), qui apportait plusieurs modifications importantes à la LPRPDE. La plupart des modifications sont entrées en vigueur le 18 juin 2015. Toutefois, les dispositions de la loi relatives à la déclaration obligatoire des atteintes à la protection des données et à la tenue d'un registre que nous décrivons dans le présent article ne sont pas encore en vigueur.

Lorsque ces dispositions entreront en vigueur, la LPRPDE obligera les entreprises à aviser les intéressés et le commissaire de toute atteinte à la protection des données dans les circonstances précises que nous énoncerons dans le présent article.

L'article 10.1 de la LPRPDE obligera toute organisation à déclarer au commissaire (à moins d'une interdiction prévue par la loi) toute atteinte à la protection des données s'il est raisonnable de croire que l'atteinte présente « un risque réel de préjudice grave à l'endroit d'un individu » et à en aviser l'intéressé. La définition que la LPRPDE donne du terme « préjudice grave » vise notamment l'humiliation, le dommage à la réputation ou aux relations et le vol d'identité. Pour déterminer s'il existe un « risque réel », on peut notamment tenir compte du degré de sensibilité des renseignements personnels en cause, de la probabilité que les renseignements aient été mal utilisés et de tout autre élément prévu par règlement. Le Règlement proposé n'énumère aucun autre facteur, mais le commissaire publiera des directives à ce sujet.

L'intéressé doit être avisé et la déclaration faite au commissaire en respectant les modalités réglementaires et « le plus tôt possible » après qu'il a été conclu qu'il y a eu atteinte. L'avis doit contenir suffisamment d'information pour permettre à l'intéressé de comprendre l'importance, pour lui, de l'atteinte et de prendre, si cela est possible, des mesures pour réduire le risque de préjudice qui pourrait en résulter ou pour atténuer un tel préjudice. L'avis doit être manifeste et être donné à l'intéressé directement, sauf dans certaines circonstances, dans lesquelles il peut être donné indirectement (par ex. par affichage sur un site Web). Nous donnons plus loin de plus amples détails sur les questions visées par ces dispositions réglementaires. Le commissaire peut publier des renseignements au sujet des avis s'il estime qu'il est dans l'intérêt public de le faire.

L'organisation qui avise un intéressé doit, en vertu de l'article 10.2 de la LPRPDE, en aviser toute autre organisation ou toute institution gouvernementale si cet avis est susceptible de réduire le risque de préjudice ou d'atténuer ce préjudice. Cette communication peut se faire sans le consentement de l'intéressé.

Obligation de tenir des registres de toutes les atteintes

L'article 10.3 de la LPRPDE oblige les organisations à tenir et à conserver un registre de toutes les atteintes à la protection des données qui ont trait à des renseignements personnels dont elles ont la gestion. Cela signifie que les fournisseurs de service n'auront pas d'obligation directe en vertu de la LPRPDE de conserver un registre des atteintes portant sur les renseignements personnels qu'ils traitent pour d'autres organisations (même si ces dernières sont assujetties à la LPRDPE et doivent s'assurer que les fournisseurs sont contractuellement tenus de leur fournir les renseignements dont ils ont besoin pour s'acquitter de leurs obligations en matière de tenue de registre).

Sur demande du commissaire, les organisations doivent donner accès à celui‑ci à leur registre ou lui en remettre une copie. Le commissaire peut rendre publics les renseignements contenus dans les registres en question s'il estime que cette communication est dans l'intérêt public. Le commissaire peut également lancer une enquête ou procéder à une vérification en se fondant sur la foi des renseignements contenus dans le dossier de la dénonciation.

Il n'y a pas de critère minimal à respecter en ce qui concerne l'obligation de tenue des registres. L'organisation doit tenir un registre de toutes les atteintes aux mesures de sécurité, indépendamment de la question de savoir si elle donne lieu ou non à un risque réel de préjudice grave. Il n'y a pas non plus de critère minimal à respecter avant qu'une organisation soit obligée de communiquer un « dossier de dénonciation » au commissaire.

L'obligation de tenir des registres est un facteur important en matière de conformité qui risque d'engendrer des coûts et de créer des risques pour les organisations. Par exemple, dans les procès en matière de respect de la vie privée intentés au Canada, il arrive souvent que les avocats et les demandeurs formulent leur demande de manière à réclamer une vaste gamme de documents, de politiques et de renseignements internes portant sur des incidents antérieurs d'atteinte jugés pertinents au cours de la communication de la preuve. On pourrait donc s'attendre à ce que les avocats des demandeurs réclament la production des « dossiers de déclaration » au cours de la communication de la preuve dans les procès pour atteinte au droit à la vie privée et à ce qu'ils plaident leurs causes de manière à atteindre cet objectif. Cet aspect pourrait être important dans le cadre du litige et susciter d'autres litiges. Comme nous le soulignons plus loin, les organisations devront conserver les registres d'atteinte pendant au moins deux ans ce qui coïncide avec le délai de prescription des actions civiles dans la plupart des provinces canadiennes. Par conséquent, on peut imaginer que, si un demandeur devait obtenir, dans le cadre de la communication de la preuve, un dossier de dénonciation et qu'il découvre d'autres réclamations potentielles, l'organisation soit exposée au risque d'autres litiges relativement à ces questions.

Les assureurs éventuels contre les menaces à la cybersécurité souhaiteront également peut‑être consulter le « dossier de déclaration » au cours du processus de souscription de la police pour évaluer le risque, et poser les questions habituelles au sujet des déclarations et des incidents antérieurs.

De plus, les organisations qui envisagent la possibilité d'externaliser des services à un fournisseur de services envisageront peut‑être aussi la possibilité de demander l'accès au dossier de déclaration à l'occasion de leur vérification préalable et des antécédents de leurs fournisseurs actuels ou éventuels, sous réserve de considérations relatives à la confidentialité. Les parties à une opération commerciale pourront également souhaiter examiner ces renseignements à l'occasion de la vérification préalable pour les aider à déterminer la valeur et les risques associés à une opération déterminée.

Le projet de Règlement en vertu de la LPRPDE

Contenu et modalités de la déclaration au commissaire

Selon le projet de Règlement, la déclaration d'atteinte aux mesures de sécurité est faite par écrit au commissaire et contient les renseignements suivants :

  • les circonstances de l'atteinte et, si elle est connue, la cause de l'atteinte;
  • la date ou la période où il y a eu atteinte;
  • la nature des renseignements personnels visés par l'atteinte;
  • une estimation du nombre de personnes à l'égard desquelles l'atteinte présente un risque réel de préjudice grave;
  • les mesures que l'organisation a prises afin de réduire le risque de préjudice à l'endroit d'une personne résultant de l'atteinte ou afin d'atténuer un tel préjudice;
  • les mesures que l'organisation a prises ou qu'elle entend prendre afin d'aviser l'intéressé de toute atteinte;
  • le nom et les coordonnées d'une personne qui peut répondre au nom de l'organisation aux questions du commissaire au sujet de l'atteinte.

Les éléments proposés susmentionnés correspondent dans l'ensemble aux exigences en matière de déclaration d'atteinte à la protection des données qui sont en vigueur en Alberta depuis plusieurs années ainsi qu'avec les pratiques canadiennes en matière de déclaration d'atteinte. De plus, comme nous l'avons déjà signalé, la déclaration faite au commissaire peut être utilisée, par l'organisation, à titre de registre des atteintes à la protection des données pour satisfaire aux exigences en matière de tenue de registres.

Contenu et modalités de l'avis à l'intéressé

Comme nous l'avons déjà expliqué, la LPRPDE exige de façon générale que l'avis à l'intéressé contienne suffisamment d'information pour permettre à ce dernier de comprendre l'importance, pour lui, de l'atteinte et de prendre, si cela est possible, des mesures pour réduire le risque de préjudice. Suivant le règlement, l'avis doit contenir les renseignements suivants :

  •  une description des circonstances de l'atteinte;
  • la date ou la période où il y a eu atteinte;
  • la nature des renseignements personnels visés par l'atteinte;
  • les mesures que l'organisation a prises afin de réduire le risque de préjudice à l'endroit d'une personne résultant de l'atteinte ou afin d'atténuer un tel préjudice;
  • les mesures que la personne touchée peut prendre pour atténuer le risque de préjudice résultant de l'atteinte ou pour atténuer un tel préjudice;
  • un numéro de téléphone sans frais ou une adresse courriel que la personne touchée peut utiliser pour obtenir de plus amples renseignements au sujet de l'atteinte;
  • des renseignements au sujet du processus de plainte interne et du droit de la personne touchée, prévu à la LPRPDE, de déposer une plainte auprès du commissaire.

L'avis est donné à l'intéressé directement selon l'un ou l'autre des moyens suivants : a) par courriel ou par tout autre moyen de communication sécurisé auquel l'intéressé a consenti pour recevoir des renseignements de l'organisation; b) par courrier à la dernière adresse de résidence connue de l'intéressé; c) par téléphone; d) en personne.

L'obligation de fournir un numéro de téléphone sans frais a fait l'objet de certaines critiques et pourrait être modifiée. Dans le cas de certaines atteintes localisées, il pourrait être parfaitement raisonnable de fournir un numéro de téléphone local, et non un numéro sans frais. Il conviendrait peut‑être également d'adopter une approche plus neutre sur le plan technologique pour permettre à l'intéressé de se renseigner davantage (par ex., un site Web ou par message texte ou par une application).

L'obligation proposée d'obtenir le consentement préalable de l'intéressé pour utiliser son courriel ou tout autre moyen de communication sécurisé auquel l'intéressé a consenti pour être avisé d'une atteinte a aussi fait l'objet de sévères critiques. Bien que l'on s'attende à ce que, dans la plupart des cas, l'intéressé ait expressément ou tacitement consenti à recevoir des renseignements de l'organisation par courriel ou par un autre moyen de communication sécurisé, il peut arriver des cas où ce consentement n'a pas été donné. On peut se demander si l'absence de consentement devrait empêcher une organisation d'aviser l'intéressé de cette manière (par ex. lorsque l'organisation dispose d'autres moyens de communiquer avec l'intéressé). Comme nous l'expliquons dans la section suivante, il n'y a rien de prévu pour permettre l'envoi d'un avis indirect à une personne lorsque les seules coordonnées que possède l'organisation sont, par exemple, une adresse courriel, et que l'organisation n'a pas obtenu le consentement de l'intéressé. Si l'on interprète de la sorte le Règlement, on pourrait aboutir au résultat absurde suivant lequel la LPRPDE interdirait à une organisation d'aviser directement ou indirectement l'intéressé d'une atteinte qui pose un risque réel de préjudice grave.

Enfin, l'obligation d'assortir l'avis donné à l'intéressé de renseignements sur le processus interne de traitement des plaintes de l'organisation, ainsi que de renseignements sur le droit de l'intéressé de déposer une plainte auprès du commissaire semble inutile, en plus de ne pas être conforme à l'usage actuel au Canada et d'inciter indûment les intéressés à porter plainte.

Avis indirect

Le Règlement proposé concernant les atteintes aux mesures de sécurité prévoit l'obligation de donner un avis indirect d'atteintes dans certaines circonstances. L'avis est donné à l'intéressé indirectement soit par la publication de messages bien en vue sur le site Web de l'organisation pendant au moins 90 jours ou par la publication d'une annonce susceptible de joindre l'intéressé.

Bien que l'envoi d'un avis indirect puisse être important pour les organisations de petite ou de moyenne taille dans le cas d'une atteinte ayant une incidence sur un grand nombre de personnes (compte tenu des coûts de l'avis), les exigences proposées pourraient avoir des conséquences néfastes imprévues. Dans le règlement proposé, l'avis « est donné » à l'intéressé indirectement par l'organisation, dans l'une ou l'autre des circonstances suivantes :

  • le fait de donner directement l'avis causerait davantage de préjudices à l'intéressé;
  • les coûts de l'avis donné directement sont excessifs pour l'organisation;
  • l'organisation n'a pas les coordonnées de l'intéressé ou celles qu'elle détient sont désuètes.

Dans le cas d'une atteinte donnée, les dispositions susmentionnées pourraient, si elles ne sont pas modifiées, créer des situations complexes où il faudrait évaluer les exigences en matière d'avis au cas par cas. Certaines des personnes visées par une atteinte devront être avisées directement alors qu'il suffira d'en aviser d'autres indirectement. Par exemple, si une organisation ne possède pas les coordonnées d'une partie des membres du groupe visé, elle devra donner un avis indirect en plus de devoir donner un avis direct aux membres du groupe dont elle possède les coordonnées. Par ailleurs, si l'organisation estime qu'elle possède le nom et les coordonnées de tous les intéressés, qu'elle les avise directement et qu'elle est ensuite informée par courriel ou par la poste que les coordonnées de certains des intéressés ne sont pas à jour, on pourrait soutenir qu'il lui faudrait leur envoyer un avis indirect selon le règlement proposé.

En ce qui concerne la troisième catégorie susmentionnée d'intéressés à qui un avis indirect est donné, il y a lieu de noter que la LPRPDE oblige les organisations à supprimer ou à anonymiser les renseignements personnels dont elles n'ont plus besoin et de prendre les mesures raisonnables pour tenir des renseignements personnels qui sont exacts (bien qu'on reconnaisse qu'il appartient d'abord et avant tout aux intéressés de mettre à jour les coordonnées conservées par l'organisation). Par conséquent, bien que la capacité de donner un avis indirect aux intéressés de la troisième catégorie susmentionnée puisse être utile, les organisations devraient considérer que la possibilité de recourir à cette exception dans certains cas pourrait être un indice de problèmes éventuels de conformité avec d'autres obligations prévues par la LPRPDE (p. ex., si les renseignements sont conservés trop longtemps).

Registre des atteintes aux mesures de sécurité

Le projet de Règlement précise que l'organisation doit conserver un registre de toute atteinte aux mesures de sécurité pendant au moins 24 mois après la date à laquelle elle a conclu que l'atteinte a eu lieu. Comme le REIR l'explique, les dispositions touchant la tenue de registres « visent à donner au commissaire la capacité de déterminer si les organisations font ou non un suivi de toutes les atteintes et se conforment bel et bien à l'obligation d'aviser les intéressés et de déclarer les atteintes substantielles ».

Le registre doit contenir tout renseignement qui, eu égard à l'atteinte, permet au commissaire de vérifier la conformité avec les dispositions de la Loi relatives à la déclaration d'atteinte et à l'obligation de donner un avis ; autrement dit, le commissaire doit être en mesure de confirmer que l'organisation a déclaré l'atteinte et en a avisé l'intéressé comme elle le devait dans chaque cas. Ces dispositions pourraient éventuellement soulever des doutes au sujet de la quantité du type de renseignements qui doivent être conservés. Elles donnent à penser qu'il serait prudent de verser dans les dossiers de déclaration les renseignements qui ont amené l'organisation à conclure qu'il n'y avait pas de risque réel de préjudice grave et qu'il n'était donc pas nécessaire d'aviser les intéressés.

La déclaration faite au commissaire peut être utilisée, par l'organisation, à titre de registre de l'atteinte aux mesures de sécurité pour satisfaire aux exigences en matière de tenue de registres.

Suivant le REIR, l'exigence de conserver le dossier de toute atteinte offre aux organisations la possibilité de suivre et d'analyser les répercussions de tous les incidents relatifs à la sécurité des données et à tirer des leçons de cette expérience. Toutefois, comme nous l'avons déjà fait observer dans le présent article, l'obligation de tenir des registres pose également plusieurs risques éventuels et possibilités que ces renseignements soient réclamés par des tiers.

Enfin, compte tenu du pouvoir du commissaire de réclamer en tout temps la production de dossiers relatifs aux atteintes, il est intéressant de signaler que le REIR affirme qu'en vertu du règlement, « les déclarations d'atteinte au commissaire seront aussi présentées de façon à pouvoir comparer et regrouper les incidents et constituer ainsi un dépôt, grandement nécessaire, d'information sur les incidents touchant la sécurité des données au Canada, ce qui, selon les experts, se traduira par une meilleure compréhension commune des menaces à la cybersécurité » et « permettra également de mettre au point des indicateurs permettant d'élaborer des politiques fondées sur des données probantes ». Bien que ces affirmations portent sur les déclarations d'atteintes et non sur la tenue de registres, on peut sans crainte de se tromper envisager la possibilité que le commissaire demande de pouvoir consulter les dossiers relatifs aux atteintes pour pouvoir constituer un dépôt d'information sur les atteintes à la sécurité afin d'élaborer des politiques fondées sur des données probantes. D'ailleurs, le REIR envisage cette utilisation lorsqu'il explique que le commissaire « utilisera également l'information sur les atteintes à la protection des données pour mieux faire connaître et comprendre l'ampleur et la nature des atteintes à la protection des données au Canada ». Les organisations régies par la LPRPDE devraient envisager la possibilité que le commissaire demande de pouvoir consulter leurs dossiers relatifs aux atteintes.

Sujets clés non abordés dans le Règlement

Avant la publication du Règlement, le gouvernement canadien avait mené de vastes consultations publiques sur l'avis de l'atteinte et la tenue de dossiers. Voici quelques questions qui ont surgi au cours des consultations, mais qui ne se sont pas retrouvées dans le règlement proposé ainsi que les conséquences de l'omission de les aborder dans le règlement :

  • Atteinte et obligations des fournisseurs de service : Certains intervenants réclamaient des directives au sujet des circonstances dans lesquelles ils devaient aviser les intéressés lorsque l'atteinte à la protection des données survenait chez un fournisseur de services et qu'elle touchait des renseignements détenus au nom d'un client. Toutefois, conformément aux pratiques actuelles en la matière, le REIR fait observer que la plupart des intervenants sont d'avis qu'il convient de suivre le principe de la responsabilité énoncé dans la LPRPDE. Par conséquent, l'organisation qui assure la gestion des renseignements personnels en question devra s'assurer de sa conformité avec les exigences en matière de déclaration et de registre sur les atteintes à la protection des données et tenir compte d'une foule de mesures, notamment contractuelles, pour assurer la gestion des risques et la conformité découlant des atteintes à la protection des données survenues chez un fournisseur de services (par ex., en prévoyant des dispositions obligeant le fournisseur de services à aviser le client de toute présumée atteinte, de collaborer avec le client et de transmettre des renseignements pour faciliter toute enquête portant sur une atteinte, et fournir aux clients les renseignements nécessaires pour lui permettre de respecter ses obligations en matière de déclaration d'atteinte et de conservation de registres). Bien que ces questions ne soient pas nouvelles, l'introduction d'exigences en matière de déclaration obligatoire et de tenue de dossiers sur les atteintes à la protection des données souligne la nécessité de bien examiner les contrats signés par les vendeurs et les autres mesures pour s'assurer de la conformité.
  • Évaluation du « risque réel de préjudice grave » : Au lieu d'inclure dans le Règlement d'autres facteurs dont les organisations peuvent tenir compte pour déterminer si une atteinte présente un « risque réel de préjudice grave », le commissaire s'est engagé à publier ultérieurement des directives à ce sujet.
  • Le chiffrement  : Le Règlement ne prévoit pas que les atteintes impliquant des renseignements personnels chiffrés présentent nécessairement un faible risque ou que les organisations devraient être exemptées de la notification obligatoire. Le commissaire s'oppose à cette interprétation en faisant observer qu'il faut tenir compte du niveau et de l'efficacité du cryptage utilisé ainsi que du danger éventuel posé par les clés de chiffrement. Bien que cela n'exclue pas nécessairement l'examen du chiffrement lorsqu'il s'agit d'évaluer le risque, le Règlement ne va pas aussi loin que l'auraient souhaité les intervenants.
  • Évaluation des divers types d'atteintes : Contrairement aux règles de l'Alberta, le règlement proposé n'oblige pas les organisations à assortir leurs déclarations d'atteinte d'une évaluation du type de préjudices susceptibles de résulter de l'atteinte. On estime qu'il serait difficile surtout pour les petites et moyennes organisations de faire une telle évaluation, n'ayant possiblement ni l'expertise ni les ressources nécessaires.

Conclusion

Jusqu'à maintenant, une grande partie du secteur privé canadien n'a pas eu à se préoccuper de la question de la déclaration obligatoire des atteintes à la vie privée. Pendant de nombreuses années, l'Alberta était la seule province canadienne qui avait une loi d'application générale en matière de protection des renseignements personnels qui obligeait les entreprises du secteur privé à déclarer les atteintes à la vie privée.

L'introduction de la déclaration obligatoire d'atteinte à la vie privée et de la tenue de registres dans la LPRPDE constitue un changement radical dans la conduite des activités commerciales au Canada. Le Règlement présentera de nouveaux coûts, de nouveaux risques et de nouveaux défis pour les organisations, peu importe leur taille, notamment en ce qui concerne la gestion des risques juridiques, la conformité, la planification des réponses aux incidents, et les réponses aux incidents, et ainsi qu'un risque de responsabilité accrue. Par exemple, selon l'expérience vécue au Canada et aux États‑Unis en matière d'atteinte à la protection des données, le risque de poursuites et d'actions collectives dans la foulée d'une atteinte à la protection des données est susceptible d'augmenter à la suite d'une déclaration d'atteinte.

Les nouvelles règles augmenteront également l'intérêt déjà marqué et sans cesse croissant pour l'assurance contre les menaces à la cybersécurité au Canada (qui couvrent souvent les enquêtes, la déclaration, la responsabilité, la défense ainsi que les autres coûts liés à la réponse aux atteintes à la protection des données). Les organisations, les courtiers et les souscripteurs doivent prendre bonne note des nouvelles règles. L'introduction de la déclaration obligatoire d'atteinte à la protection des données dans d'autres pays a été perçue comme un point tournant dans la croissance solide du marché de la cyberassurance.

Compte tenu des nouvelles règles contenues dans la LPRPDE, les organisations doivent, maintenant plus que jamais, s'assurer qu'elles adoptent des mesures, des politiques et des procédures internes leur permettant de bien détecter et désamorcer les cas d'atteinte à la vie privée et de bien y réagir. Par exemple, il est indispensable que les organisations adoptent un plan de réponse aux incidents et offrir à leur personnel une formation à cet égard leur permettant de désamorcer et de signaler toute présumée atteinte de manière à satisfaire aux nouvelles exigences de la LPRPDE. Toute violation des dispositions en matière d'atteinte à la protection des données peut constituer une infraction et entraîner l'imposition d'amendes.

Nous souhaitons que les problèmes que nous avons signalés dans le Règlement soient abordés avant que la version définitive du règlement ne soit arrêtée ou que les dispositions plus problématiques en soient supprimées en faveur de directives pratiques et souples du commissaire. Les organisations assujetties à la LPRPDE devraient suivre de près l'évolution de la version définitive du Règlement et envisager de prendre des mesures dès maintenant pour modifier leurs plans de réponse aux incidents et leurs politiques connexes pour répondre aux nouvelles exigences.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.