Le Blogue - la sécurité d'être bien assuré!

Chronique No 3 : Les Cyberrisques et la loi

L'équipe de responsabilité professionnelle | 4 novembre 2019
Au Canada, le Commissariat à la protection de la vie privée veille au respect de la Loi sur la Protection des renseignements personnels et les documents électroniques (LPRPDE). Celle-ci s’applique notamment à toutes les entreprises fédérales et à celles qui se livrent à des activités commerciales portant sur la communication interprovinciale ou internationale de renseignements personnels.  Les entreprises fédérales qui traitent des renseignements personnels doivent se conformer à la LPRPDE en ce qui a trait à la collecte, l’utilisation et la communication de renseignements personnels. 

Selon la nature de l’organisme visé, le lieu où il se situe ou encore la portée géographique, d’autres lois peuvent s’appliquer. En fait, l’Alberta, la Colombie-Britannique et le Québec ont adopté des lois dites « essentiellement » similaires à la LPRPDE. Au Québec, la loi sur la protection des renseignements personnels dans le secteur privé s’applique aux activités des entreprises provinciales à l’intérieur de la province.

Un renseignement personnel est généralement défini comme étant tout renseignement qui concerne une personne physique et permet de l’identifier. Il s’agit d’un renseignement qui, lorsque pris seul ou en combinaison avec d’autres renseignements personnels, rend un individu identifiable. Par exemple : Nom, adresse, adresse électronique, date de naissance, informations bancaires, race, religion, dossier médical, numéro d’assurance sociale, etc.

À compter du 1er novembre 2018, de nouvelles exigences en matière de déclaration d’atteinte à la sécurité des données et de tenue de registre s’appliquent. Les organisations assujetties à la LPRPDE sont dorénavant tenues de notamment :

  • déterminer si l’atteinte présente un « risque réel de préjudice grave » à un individu;
  • notifier les personnes dont les renseignements sont concernés par l’atteinte aux mesures de sécurité;
  • aviser le Commissariat à la protection de la vie privée au Canada;
  • aviser toute autre organisation susceptible de réduire le risque de préjudice pouvant découlant de l’atteinte;
  • maintenir un registre des atteintes pendant 24 mois.

Des infractions à ces nouvelles dispositions peuvent notamment entraîner des amendes de plusieurs milliers de dollars.

En mai de la même année, l’Union européenne a mis en vigueur le Règlement général sur la protection des données (RGPD) dont la portée dépasse largement les frontières de l’Europe. En effet, toute entreprise – même si elle est établie en dehors de l’Union européenne – qui traite les données, cible des clients, ou propose des biens et services à des résidents européens est soumise au RGPD. Les pénalités prévues en cas d’infraction sont plutôt salées ; elles peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial, selon le montant le plus élevé, de l’entreprise fautive.

Avec la prolifération de l’utilisation et du partage de données électroniques, la protection des données devient essentielle. Ainsi, l’encadrement législatif et réglementaire en la matière est devenu plus exigeant pour plusieurs organisations. Heureusement, l’industrie de l’assurance s’est adaptée à cette réalité en offrant des produits conçus pour les aider à y faire face.

Comment? C’est le sujet que nous aborderons à notre prochaine chronique.

Pour consulter en format .PDF, cliquez ici.

À propos de l’auteur

L'équipe de responsabilité professionnelle

Votre adresse de messagerie ne sera pas publiée.
Les champs obligatoires sont indiqués avec *

Commentaires

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *