Quoi : Ce protocole met en lumière certains aspects légaux à prendre en compte dans le cadre des pratiques en cybersécurité des organismes.
Qui : Il s’adresse spécifiquement aux membres de la direction et du conseil d’administration.
Combien de temps : Prévoir une réunion de deux heures pour prendre connaissance du contenu et pour choisir un responsable qui devra approfondir les recherches et s’assurer que vos pratiques sont en règle. Puis prévoyez une réunion d’une heure pour faire part au reste de l’équipe des impacts possibles.
Dans ce protocole nous soulignons les aspects les plus importants des trois lois qui peuvent vous concerner. Celles-ci régissent la protection des données :
- La LPRPDE : Loi sur la protection des renseignements personnels et documents électroniques;
- Le RGPD : Règlement général sur la protection des données;
- La LCAP : Loi canadienne antipourriels.
Loi sur la protection des renseignements personnels et documents électroniques
La LPRPDE réglemente les normes de collecte et de traitement des renseignements personnels.
Cette loi s’applique uniquement au secteur privé et à ses activités commerciales. D’emblée, à moins « qu’ils ne réalisent des activités commerciales qui ne sont pas essentielles à l’exécution de leur mandat et qui nécessitent l’utilisation de renseignements personnels », les organismes sans but lucratif ne sont pas visés par la LPRPDE. Cependant, appliquer ces principes peut vous être utile à titre de pratique exemplaire.
Plusieurs provinces (le Québec, la Colombie-Britannique et l’Alberta) ont leur propre loi en matière de protection des données personnelles dans le secteur privé. Les activités menées dans toutes les autres provinces et territoires doivent néanmoins se conformer à la LPRPDE.
Qu’est-ce qui est considéré comme un renseignement personnel?
Les renseignements sont définis comme toute information, factuelle ou subjective, « concernant une personne identifiable ». Ces renseignements peuvent inclure des informations comme :
- L’âge, le nom, un numéro d’identification, le revenu, l’origine ethnique ou le groupe sanguin;
- Une opinion, une évaluation, un commentaire, le statut social ou une mesure disciplinaire;
- Le dossier d’un.e employé.e, un dossier de crédit ou de prêt, un dossier médical, l’existence d’un différend entre un.e consommateur.trice et un.e commerçant.e ou le projet d’une personne (p. ex., l’intention d’acquérir des biens ou des services ou de changer d’emploi).
Quelles protections sont prévues par la loi?
Cette loi est basée sur cinq principes fondamentaux auxquels chaque individu a droit :
- Savoir quels renseignements un organisme possède sur vous;
- La capacité de corriger tout renseignement inexact;
- La possibilité de déposer une plainte auprès de l’organisme ou d’une association industrielle comme l’Association canadienne du marketing;
- La possibilité de déposer une plainte auprès du Commissariat à la protection de la vie privée au Canada;
- Le droit de porter plainte, dans certaines situations, à la Cour fédérale du Canada.
La loi stipule également que les renseignements personnels doivent uniquement être conservés « aussi longtemps que nécessaire pour la réalisation des fins déterminées » (LPRDPE, 2000, Principe 5, Annexe 1, clause 4.5).
Une bonne pratique est donc de formaliser façons de faire en matière de stockage de données et de gestion d’archives afin de s’assurer que les données personnelles qui vous sont confiées soient uniquement conservées pour le temps minimal requis.
Violations de données, que faire?
Un autre aspect de cette loi est la notification des violations de données. Au Canada, toute entreprise subissant une fuite ou une compromission de ses données doit :
- Déclarer au Commissaire à la protection de la vie privée du Canada les atteintes aux mesures de sécurité concernant des renseignements personnels présentant un risque réel de préjudice grave pour des individus;
- Aviser les intéressés de ces atteintes;
- Conserver un registre de toutes les atteintes.
En cas d’atteinte, le Commissaire doit recevoir de l’organisme la description de la cause et des circonstances, la date ou la période de l’infraction, la nature des renseignements visés, le nombre des individus en cause ainsi que les coordonnées d’une personne pouvant traiter les questions à ce sujet. L’organisme doit également énoncer les mesures prises pour réduire le risque ou atténuer le préjudice découlant de cette atteinte et les mesures prises, ou qu’elle entend prendre, pour aviser les intéressé.e.s (Règlement sur les atteintes aux mesures de sécurité, 2018, art. 2(1)).
Au Canada, ces mesures doivent être appliquées « dès que possible ». Si cela affecte des ressortissant.e.s européen.ne.s, le RGPD (voir ci-dessous) exige d’informer les gouvernements concernés dans les 72 heures.
Règlement général sur la protection des données (RGPD)
Si votre organisme traite avec des client.e.s, des partenaires ou si des membres de sa liste de distribution sont en provenance de l’Union européenne, il se doit d’appliquer les dispositions prévues par le RGPD.
Il existe de nombreuses similitudes entre la LPRPDE et le RGPD : il semblerait que les organisations canadiennes qui se conforment à la LPRPDE ont plus de chances d’entretenir une relation similaire avec le RGPD.
Cependant, divers aspects du RGPD n’ont pas d’équivalent dans la LPRPDE. Par exemple, le RGPD a des exigences liées à la portabilité des données, le droit à l’oubli, la « protection de la vie privée dès la conception » (qui encourage la protection de la vie privée dès l’étape de conception des services) qui ne figurent pas dans la LPRPDE.
Pour plus d’informations, vous pouvez consulter ce site qui explique ce qu’est le RGPD et s’il s’applique à votre organisme.
Loi canadienne Anti-Pourriel (LCAP)
Selon la LCAP, certaines règles s’appliquent lors d’envoi de masse (liste de diffusion, infolettre, MailChimp…). La loi prévoit entre autres que tout organisme doit :
- Éviter de recueillir des adresses et renseignements personnels sans consentement;
- S’assurer qu’il est facile pour un individu de se désinscrire d’une liste;
- S’assurer que chaque message envoyé contienne : votre nom et/ou celui de l’entreprise, l’adresse physique de celle-ci, ses coordonnées ainsi que le mécanisme de désabonnement.
Pour être réglementaire, vous devez faire en sorte que chaque personne recevant votre infolettre puisse facilement se désabonner. De plus, vous ne devez pas ajouter des personnes sans leur consentement explicite.
Le consentement tacite s’applique lorsque :
- Un.e destinataire a acheté un produit, un service ou conclu une autre affaire, un contrat ou une adhésion avec un organisme au cours des 24 derniers mois;
- Vous êtes un organisme de bienfaisance enregistré ou une organisation politique, et que le/la bénéficiaire a fait un don ou une donation, s’est porté.e volontaire ou a assisté à une réunion que vous avez organisée;
- Un message professionnel est envoyé à une personne dont l’adresse courriel a été fournie ou est publiée de manière visible, et qui n’a pas publié ou n’a pas dit ne pas souhaiter recevoir de messages non sollicités.
La LCAP ne s’applique pas aux messages :
- non commerciaux;
- qui visent la collecte de fonds;
- qui sollicitent des contributions.
Pour en savoir plus sur la LCAP :
Visitez le site Web suivant: comprendre la LCAP
Liste de contrôle
- Vérifier si la LPRPDE s’applique à votre organisme;
- Comprendre les enjeux de la LPRPDE pour votre organisme;
- S’assurer de sauvegarder de manière efficace et documentée les données personnelles;
- Prévoir un plan en cas de compromission de données personnelles;
- Comprendre et vérifier si le RGPD s’applique à votre organisme;
- Mettre en place les mesures nécessaires pour s’y conformer;
- Comprendre les enjeux de la LCAP pour votre organisme;
- S’assurer d’avoir le consentement des utilisateur.trice.s avant d’ajouter leur courriel à une liste de diffusion;
- À chaque courriel, offrir la possibilité de se désabonner;
- Lors d’une diffusion de masse (infolettre), toujours indiquer le nom de l’organisme, l’adresse physique et les coordonnées.