LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS ET LES DOCUMENTS ÉLECTRONIQUESRèglement sur les atteintes aux mesures de sécuritéC.P.2018-36820183
26
Sur recommandation du ministre de l’Industrie et en vertu du paragraphe 26(1)a de la Loi sur la protection des renseignements personnels et les documents électroniquesb, Son Excellence la Gouverneure générale en conseil prend le Règlement sur les atteintes aux mesures de sécurité, ci-après.L.C. 2015, ch. 32, art. 21L.C. 2000, ch. 5DéfinitionDéfinition de LoiDans le présent règlement, Loi s’entend de la Loi sur la protection des renseignements personnels et les documents électroniques.Déclaration au commissaireContenu et modalités de la déclarationLa déclaration d’atteinte aux mesures de sécurité visée au paragraphe 10.1(2) de la Loi est faite par écrit et contient les renseignements suivants :les circonstances de l’atteinte et, si elle est connue, la cause de l’atteinte;la date ou la période où il y a eu atteinte ou, si elle n’est pas connue, une approximation de la période;la nature des renseignements personnels visés par l’atteinte, pour autant qu’elle soit connue;le nombre d’individus visé par l’atteinte ou, s’il n’est pas connu, une approximation de ce nombre;les mesures que l’organisation a prises afin de réduire le risque de préjudice à l’endroit des intéressés qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice;les mesures que l’organisation a prises ou qu’elle entend prendre afin d’aviser les intéressés de toute atteinte en application du paragraphe 10.1(3) de la Loi;le nom et les coordonnées d’une personne qui peut répondre au nom de l’organisation aux questions du commissaire au sujet de l’atteinte.Nouveaux renseignementsL’organisation peut transmettre au commissaire tout nouveau renseignement visé au paragraphe (1) dont elle prend connaissance après avoir fait la déclaration.Moyen de communicationLa déclaration peut être transmise au commissaire par tout moyen de communication sécurisé.Avis à l’intéresséContenu de l’avisL’avis donné par l’organisation, en application du paragraphe 10.1(3) de la Loi à l’intéressé, relativement à l’atteinte aux mesures de sécurité, contient les renseignements suivants :les circonstances de l’atteinte;la date ou la période où il y a eu atteinte ou, si elle n’est pas connue, une approximation de la période;la nature des renseignements personnels visés par l’atteinte, pour autant qu’elle soit connue;les mesures que l’organisation a prises afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte;les mesures que peut prendre tout intéressé afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice;les coordonnées permettant à l’intéressé de se renseigner davantage au sujet de l’atteinte.Avis direct — modalitésPour l’application du paragraphe 10.1(5) de la Loi, l’avis est donné directement à l’intéressé en personne, par téléphone, par courrier, par courriel ou par tout autre moyen de communication qu’une personne raisonnable estimerait acceptable dans les circonstances.Avis indirect — circonstancesPour l’application du paragraphe 10.1(5) de la Loi, l’avis est donné indirectement par l’organisation dans l’une ou l’autre des circonstances suivantes :le fait de donner l’avis directement est susceptible de causer un préjudice accru à l’intéressé;le fait de donner l’avis directement est susceptible de représenter une difficulté excessive pour l’organisation;l’organisation n’a pas les coordonnées de l’intéressé.Avis indirect — modalitésPour l’application du paragraphe 10.1(5) de la Loi, l’avis est donné indirectement par une communication publique ou par toute mesure similaire dont on peut raisonnablement s’attendre à ce qu’elle permette de joindre l’intéressé.Tenue du registreRegistre — modalitéPour l’application du paragraphe 10.3(1) de la Loi, l’organisation conserve le registre de toute atteinte aux mesures de sécurité pendant vingt-quatre mois après la date à laquelle elle conclut qu’il y a eu atteinte.ConformitéLe registre visé au paragraphe 10.3(1) de la Loi contient tout renseignement qui permet au commissaire de vérifier la conformité aux paragraphes 10.1(1) et (3) de la Loi.Entrée en vigueurL.C. 2015, ch. 32Le présent règlement entre en vigueur à la date d’entrée en vigueur de l’article 10 de la Loi sur la protection des renseignements personnels numériques ou, si elle est postérieure, à la date de son enregistrement.[Note : Règlement en vigueur le 1er novembre 2018, voir TR/2018-32.]