Le 1er novembre 2018 marque une étape importante dans l’évolution du paysage canadien de la protection de la vie privée. Les entreprises canadiennes devraient en prendre bonne note.
Vous serez peut-être surpris d’apprendre que, pendant un certain temps, l’Alberta était la seule province qui imposait des exigences de signalement des atteintes à la protection des données. Dans toutes les autres administrations du Canada, les entreprises qui ont exposé ou perdu des renseignements personnels sensibles n’avaient pratiquement aucune obligation légale d’aviser les personnes concernées.
Le 1er novembre, un amendement à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) a rendu le signalement obligatoire dans les cas où une « atteinte aux mesures de sécurité » pourrait exposer un Canadien à un « risque réel de préjudice grave ».
En vertu de la nouvelle loi, le risque réel de préjudice grave doit être déterminé en fonction du « degré de sensibilité des renseignements personnels en cause dans l’atteinte » et de « la probabilité que ceux-ci aient été mal utilisés ou soient en train ou sur le point de l’être ».
Que cela signifie-t-il pour les professionnels des communications ?
Toute entreprise qui exerce des activités au Canada et qui se soucie des renseignements personnels, y compris ceux relatifs à ses employés, doit comprendre ses obligations et se préparer au pire scénario.
Dans un premier temps, un groupe de travail interne devrait vérifier les renseignements personnels que l’entreprise recueille, stocke ou traite, puis déterminer comment ces renseignements pourraient être exposés. Nous pensons souvent aux cyberattaques de grande envergure, mais la réglementation couvre également l’utilisation abusive d’information, la perte d’appareils ou de fichiers, ainsi que d’autres événements de moindre ampleur qui pourraient compromettre des données privées ou sensibles.
L’équipe interne devrait être composée de représentants de vos services des communications, des affaires juridiques, des technologies de l’information et de la sécurité. Ensemble, vous devez concevoir un plan qui cherche à répondre à quelques questions clés :
- Comment l’équipe découvrirait-elle une atteinte?
- Qui doit faire partie de l’équipe d’intervention en cas d’atteinte?
- Quelles seront les responsabilités de chaque membre de l’équipe?
- Quelles sont les principales parties prenantes et comment peut-on les joindre?
Dans le cadre du processus de planification, l’équipe devrait déterminer le besoin de faire appel à des experts externes et s’assurer que les relations sont établies bien à l’avance. Dans presque tous les cas, vous souhaiterez avoir recours à un conseiller juridique externe spécialisé en droit relatif au respect de la vie privée. Souvent, vous aurez besoin de l’aide d’experts tiers en criminalistique et en communications. Vous pourriez même devoir retenir les services d’un partenaire pour gérer les envois massifs d’avis ou d’un centre d’appels externe pour traiter un volume important de demandes, puisque la nouvelle loi vous oblige à fournir un numéro que les personnes concernées peuvent composer pour obtenir plus de renseignements.
Il est également bon de demander à votre service de gestion des risques si vous disposez d’une police d’assurance contre les cyberrisques et si cette politique couvre les coûts du soutien en matière de criminalistique, de services juridiques et de relations publiques en cas d’atteinte.
L’équipe doit également être bien renseignée quant aux moyens dont elle dispose pour aviser les individus concernés. Si vous avez le privilège de détenir dans vos dossiers des coordonnées fiables, comme des adresses courriel, des adresses postales ou des numéros de téléphone, vous pouvez communiquer directement avec ces personnes. Mais en l’absence de tels renseignements, vous devrez probablement vous en remettre à des méthodes indirectes, comme la publicité payante sur Internet et dans les journaux, des mises à jour sur votre site Web et des publications ciblées dans les médias sociaux.
Surtout, l’équipe doit tenir compte des répercussions sur la réputation d’une atteinte à la protection des données, ainsi qu’envisager des stratégies et des tactiques pour gérer la marque de votre entreprise à la suite d’une telle atteinte.
Depuis des années, le Baromètre de confiance d’Edelman, notre étude mondiale annuelle sur l’état de la confiance institutionnelle, fait valoir que la sécurité et la protection des données constituent des enjeux clés. En 2014, 80 % des consommateurs du monde entier nous ont indiqué que le fait de ne pas sécuriser les renseignements personnels des clients a une incidence sur leur confiance à l’égard d’une entreprise. En 2018, la protection de la vie privée s’est hissée, partout dans le monde, au sommet des responsabilités à assumer par les institutions afin de renforcer la confiance à leur endroit.
J’entends souvent des clients avouer, lorsque survient une atteinte à la vie privée, qu’ils n’avaient jamais pensé que ça pourrait leur arriver. En vérité, ça arrive à tout le monde. Selon un rapport publié par Statistique Canada, Cybersécurité et cybercrime au Canada, 2017, plus d’une entreprise canadienne sur cinq a été touchée par une cyberattaque l’an dernier et seulement 10 pour cent d’entre elles l’ont signalée aux organismes d’application de la loi.
Lorsque nous pensons aux atteintes à la vie privée, nous avons souvent en tête de grandes entreprises comme Yahoo!, Facebook ou Home Depot, mais tout indique que nous allons entendre parler beaucoup plus souvent, dans l’avenir, d’atteintes de toute envergure.
Votre entreprise est-elle prête à y faire face ?
Greg Vanier, premier vice-président, Crises et risques.