Les organisations canadiennes continuent de subir les répercussions des atteintes à la protection des données.
Alors que les organisations canadiennes continuent de subir les répercussions des atteintes à la protection des données, ce qui entraîne de plus en plus de dommages financiers et d'atteintes à la réputation, le gouvernement fédéral prévoit de resserrer les lois afin d'améliorer la transparence relative à la confidentialité et à la sécurité des données. On s'attend à ce que d'ici la fin de 2017, une nouvelle législation sur la déclaration obligatoire des atteintes à la protection des données exige que les organisations canadiennes tiennent un registre de toutes les atteintes à la protection des données et les communiquent aux personnes exposées à un risque réel de préjudice grave ainsi qu'au commissaire à la protection de la vie privée.
Par le passé, le Canada accusait un retard par rapport aux autres pays en ce qui concerne la déclaration obligatoire des atteintes à la protection des données. Même si les détails varient (p. ex., différence des délais de notification), d'autres pays, tels que les États-Unis, ont déjà adopté des règlements exigeant que les organisations avisent les personnes dont les renseignements personnels ont été piratés, de même que les autorités de réglementation. Maintenant que le Canada a comblé son retard, les coûts associés aux atteintes devraient augmenter à mesure que les organisations endossent de nouvelles responsabilités relativement à l'identification et à la localisation des victimes, ainsi qu'à la détermination du meilleur moyen de les aviser (en ligne, message texte, courriel, téléphone, etc.).
Tout d'abord, la question de la notification figurera en tête de l'ordre du jour du comité d'audit et du conseil d'administration. Ceux-ci devront examiner de près quelles sont les véritables exigences. Les atteintes à l'égard desquelles l'organisation a conclu qu'elles présentaient un risque réel de préjudice grave sont les seules qui devront être déclarées. Afin d'éviter de déclarer inutilement une atteinte, les comités d'audit devront, de manière proactive :
Les comités d'audit devront poser un certain nombre de questions, au sein même de l'organisation ou dans le cadre de leur collaboration avec un fournisseur de services, afin de déterminer les mesures à prendre pour se préparer de manière rapide et efficace à l'entrée en vigueur de la législation.
Dans le cadre de leur rôle de surveillance, les comités d'audit doivent veiller à ce que l'organisation prenne les mesures appropriées pour se préparer à une éventuelle cyberattaque. Dorénavant, il sera essentiel d'établir et de mettre en place un solide système de défense informatique pour atténuer les risques d'atteintes à la réputation et les risques juridiques associés à la nouvelle législation sur la déclaration obligatoire des atteintes à la protection des données. La date exacte d'entrée en vigueur de la législation demeure floue, mais on s'attend à ce qu'elle soit imminente. Les organisations doivent être proactives dès maintenant pour comprendre la législation et déterminer comment elles prévoient d'y répondre et quand (de préférence, avant son entrée en vigueur), car les changements fondamentaux qu'elles devront apporter pourraient leur demander beaucoup de temps.