Alors que les organisations canadiennes continuent de subir les répercussions des atteintes à la protection des données, ce qui entraîne de plus en plus de dommages financiers et d'atteintes à la réputation, le gouvernement fédéral prévoit de resserrer les lois afin d'améliorer la transparence relative à la confidentialité et à la sécurité des données. On s'attend à ce que d'ici la fin de 2017, une nouvelle législation sur la déclaration obligatoire des atteintes à la protection des données exige que les organisations canadiennes tiennent un registre de toutes les atteintes à la protection des données et les communiquent aux personnes exposées à un risque réel de préjudice grave ainsi qu'au commissaire à la protection de la vie privée.

Par le passé, le Canada accusait un retard par rapport aux autres pays en ce qui concerne la déclaration obligatoire des atteintes à la protection des données. Même si les détails varient (p. ex., différence des délais de notification), d'autres pays, tels que les États-Unis, ont déjà adopté des règlements exigeant que les organisations avisent les personnes dont les renseignements personnels ont été piratés, de même que les autorités de réglementation. Maintenant que le Canada a comblé son retard, les coûts associés aux atteintes devraient augmenter à mesure que les organisations endossent de nouvelles responsabilités relativement à l'identification et à la localisation des victimes, ainsi qu'à la détermination du meilleur moyen de les aviser (en ligne, message texte, courriel, téléphone, etc.).

Tout d'abord, la question de la notification figurera en tête de l'ordre du jour du comité d'audit et du conseil d'administration. Ceux-ci devront examiner de près quelles sont les véritables exigences. Les atteintes à l'égard desquelles l'organisation a conclu qu'elles présentaient un risque réel de préjudice grave sont les seules qui devront être déclarées. Afin d'éviter de déclarer inutilement une atteinte, les comités d'audit devront, de manière proactive :

• établir une définition de « risque réel de préjudice grave » et les facteurs à prendre en considération aux fins de cette détermination;
• communiquer avec un tiers ou un avocat ayant de l'expérience dans les questions de déclarations et d'atteintes, afin de vérifier si les critères de la définition utilisés pour qualifier les atteintes concordent avec les bonnes pratiques du secteur ainsi qu'avec les litiges pertinents connexes en matière d'atteinte à la protection des données;
• identifier les personnes ou les équipes, au sein de l'organisation, qui devraient déterminer si une atteinte présente un risque réel de préjudice grave;
• au besoin, mettre à jour les processus de réaction en cas d'incident afin de s'assurer que :
  • tous les incidents sont communiqués à la personne ou à l'équipe en mesure de déterminer s'ils présentent un risque de préjudice grave;
  • les spécialistes en communication participent à la rédaction de l'avis de notification prédéfini destiné aux victimes;
  • les demandes des clients reçues par suite de l'envoi de l'avis d'atteinte à la protection des données sont en mesure d'être gérées.

Les comités d'audit devront poser un certain nombre de questions, au sein même de l'organisation ou dans le cadre de leur collaboration avec un fournisseur de services, afin de déterminer les mesures à prendre pour se préparer de manière rapide et efficace à l'entrée en vigueur de la législation.

• Avons-nous un processus de réaction en cas d'incident?
• Ce processus est-il testé régulièrement?
• Compte tenu de ce processus, avons-nous déterminé ce que signifie un « risque réel de préjudice grave »?
• Quels sont les éléments permettant de déterminer si le seuil de notification est atteint (p. ex., des critères fondés sur des politiques ou un processus de décision par des membres de la haute direction)?
• Avons-nous déterminé quelles sont les informations suffisamment importantes, sur le plan des exigences réglementaires et commerciales de protection des données, pour donner lieu à une notification?
• Quels sont les contrôles de sécurité en place au sein de l'organisation, et constituent-ils un bon système de défense informatique limitant les conséquences d'une atteinte potentielle à la sécurité des données?
• Avons-nous vérifié si toutes les lacunes identifiées par suite d'une atteinte à la sécurité des données seront corrigées?

Dans le cadre de leur rôle de surveillance, les comités d'audit doivent veiller à ce que l'organisation prenne les mesures appropriées pour se préparer à une éventuelle cyberattaque. Dorénavant, il sera essentiel d'établir et de mettre en place un solide système de défense informatique pour atténuer les risques d'atteintes à la réputation et les risques juridiques associés à la nouvelle législation sur la déclaration obligatoire des atteintes à la protection des données. La date exacte d'entrée en vigueur de la législation demeure floue, mais on s'attend à ce qu'elle soit imminente. Les organisations doivent être proactives dès maintenant pour comprendre la législation et déterminer comment elles prévoient d'y répondre et quand (de préférence, avant son entrée en vigueur), car les changements fondamentaux qu'elles devront apporter pourraient leur demander beaucoup de temps.