Canada: Nouvelles règles en matière de déclaration obligatoire d'atteintes à la vie privée au Canada

Last Updated: October 5 2017
Article by Alex Cameron, Daniel Fabiano, Antoine Aylwin and Clare Feltrin

Le 1er septembre 2017, le gouvernement canadien a publié un projet de règlement portant sur la déclaration obligatoire des atteintes à la vie privée en application de la loi fédérale canadienne relative à la protection des données, la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »). Le public peut formuler ses observations au sujet du Règlement, qu'on peut consulter ici, jusqu'au 2 octobre 2017. Le Résumé de l'étude d'impact de la réglementation (le « REIR ») qui accompagne le Règlement en explique les divers aspects et souligne certaines des dispositions qui ont été créées, ou non, en réponse aux consultations qui ont été menées auprès des intervenants.

Bien qu'à de nombreux égards, le Règlement proposé coïncide avec les exigences et les pratiques actuelles au Canada, il renferme, comme nous le verrons plus loin, plusieurs dispositions controversées et problématiques qui auront des conséquences néfastes (imprévues) pour les entreprises qui cherchent à se conformer à la LPRPDE. L'approche normative qui a été adoptée dans le Règlement ne peut prévoir toutes les circonstances et entre en conflit avec le concept du caractère raisonnable et avec la démarche fondée sur les principes sur lesquels repose la LPRPDE. Nous souhaitons que ces questions soient abordées avant que la version définitive du Règlement ne soit arrêtée ou que les dispositions les plus problématiques soient supprimées du Règlement et remplacées par des directives pratiques et souples du Commissariat à la protection de la vie privée du Canada (le « Commissaire »).

À la suite du processus de consultation du public, la version définitive du Règlement sera rédigée et l'on s'attend de façon générale à ce que le Règlement et les dispositions de la LPRPDE relatives à la déclaration obligatoire des atteintes à la protection des données entrent en vigueur au printemps 2018, en même temps, potentiellement, que le Règlement général sur la protection des données (RGPD) de l'Union européenne. Les dispositions de la LPRPDE ressemblent à plusieurs égards aux obligations du RGPD en matière de déclaration d'atteinte à la protection des données. Cette harmonisation est jugée importante pour le commerce entre le Canada et l'UE. L'UE a longtemps considéré que la LPRPDE offrait un niveau de protection de la vie privée adéquat, ce qui a permis la libre circulation des renseignements personnels entre les organisations de l'UE et celles du Canada. De toute évidence, le Canada souhaite protéger sa réputation.

Dans ce bref article, nous examinerons les dispositions pertinentes de la LPRPDE et du Règlement proposé et nous formulerons quelques observations quant à leurs répercussions éventuelles sur les entreprises assujetties à la LPRPDE.

Contexte

Les dispositions de la LPRPDE relatives à la déclaration des atteintes

Le 18 juin 2015, le Canada a adopté la Loi sur la protection des renseignements personnels numériques (aussi appelée projet de loi S‑4), qui apportait plusieurs modifications importantes à la LPRPDE. La plupart des modifications sont entrées en vigueur le 18 juin 2015. Toutefois, les dispositions de la loi relatives à la déclaration obligatoire des atteintes à la protection des données et à la tenue d'un registre que nous décrivons dans le présent article ne sont pas encore en vigueur.

Lorsque ces dispositions entreront en vigueur, la LPRPDE obligera les entreprises à aviser les intéressés et le commissaire de toute atteinte à la protection des données dans les circonstances précises que nous énoncerons dans le présent article.

L'article 10.1 de la LPRPDE obligera toute organisation à déclarer au commissaire (à moins d'une interdiction prévue par la loi) toute atteinte à la protection des données s'il est raisonnable de croire que l'atteinte présente « un risque réel de préjudice grave à l'endroit d'un individu » et à en aviser l'intéressé. La définition que la LPRPDE donne du terme « préjudice grave » vise notamment l'humiliation, le dommage à la réputation ou aux relations et le vol d'identité. Pour déterminer s'il existe un « risque réel », on peut notamment tenir compte du degré de sensibilité des renseignements personnels en cause, de la probabilité que les renseignements aient été mal utilisés et de tout autre élément prévu par règlement. Le Règlement proposé n'énumère aucun autre facteur, mais le commissaire publiera des directives à ce sujet.

L'intéressé doit être avisé et la déclaration faite au commissaire en respectant les modalités réglementaires et « le plus tôt possible » après qu'il a été conclu qu'il y a eu atteinte. L'avis doit contenir suffisamment d'information pour permettre à l'intéressé de comprendre l'importance, pour lui, de l'atteinte et de prendre, si cela est possible, des mesures pour réduire le risque de préjudice qui pourrait en résulter ou pour atténuer un tel préjudice. L'avis doit être manifeste et être donné à l'intéressé directement, sauf dans certaines circonstances, dans lesquelles il peut être donné indirectement (par ex. par affichage sur un site Web). Nous donnons plus loin de plus amples détails sur les questions visées par ces dispositions réglementaires. Le commissaire peut publier des renseignements au sujet des avis s'il estime qu'il est dans l'intérêt public de le faire.

L'organisation qui avise un intéressé doit, en vertu de l'article 10.2 de la LPRPDE, en aviser toute autre organisation ou toute institution gouvernementale si cet avis est susceptible de réduire le risque de préjudice ou d'atténuer ce préjudice. Cette communication peut se faire sans le consentement de l'intéressé.

Obligation de tenir des registres de toutes les atteintes

L'article 10.3 de la LPRPDE oblige les organisations à tenir et à conserver un registre de toutes les atteintes à la protection des données qui ont trait à des renseignements personnels dont elles ont la gestion. Cela signifie que les fournisseurs de service n'auront pas d'obligation directe en vertu de la LPRPDE de conserver un registre des atteintes portant sur les renseignements personnels qu'ils traitent pour d'autres organisations (même si ces dernières sont assujetties à la LPRDPE et doivent s'assurer que les fournisseurs sont contractuellement tenus de leur fournir les renseignements dont ils ont besoin pour s'acquitter de leurs obligations en matière de tenue de registre).

Sur demande du commissaire, les organisations doivent donner accès à celui‑ci à leur registre ou lui en remettre une copie. Le commissaire peut rendre publics les renseignements contenus dans les registres en question s'il estime que cette communication est dans l'intérêt public. Le commissaire peut également lancer une enquête ou procéder à une vérification en se fondant sur la foi des renseignements contenus dans le dossier de la dénonciation.

Il n'y a pas de critère minimal à respecter en ce qui concerne l'obligation de tenue des registres. L'organisation doit tenir un registre de toutes les atteintes aux mesures de sécurité, indépendamment de la question de savoir si elle donne lieu ou non à un risque réel de préjudice grave. Il n'y a pas non plus de critère minimal à respecter avant qu'une organisation soit obligée de communiquer un « dossier de dénonciation » au commissaire.

L'obligation de tenir des registres est un facteur important en matière de conformité qui risque d'engendrer des coûts et de créer des risques pour les organisations. Par exemple, dans les procès en matière de respect de la vie privée intentés au Canada, il arrive souvent que les avocats et les demandeurs formulent leur demande de manière à réclamer une vaste gamme de documents, de politiques et de renseignements internes portant sur des incidents antérieurs d'atteinte jugés pertinents au cours de la communication de la preuve. On pourrait donc s'attendre à ce que les avocats des demandeurs réclament la production des « dossiers de déclaration » au cours de la communication de la preuve dans les procès pour atteinte au droit à la vie privée et à ce qu'ils plaident leurs causes de manière à atteindre cet objectif. Cet aspect pourrait être important dans le cadre du litige et susciter d'autres litiges. Comme nous le soulignons plus loin, les organisations devront conserver les registres d'atteinte pendant au moins deux ans ce qui coïncide avec le délai de prescription des actions civiles dans la plupart des provinces canadiennes. Par conséquent, on peut imaginer que, si un demandeur devait obtenir, dans le cadre de la communication de la preuve, un dossier de dénonciation et qu'il découvre d'autres réclamations potentielles, l'organisation soit exposée au risque d'autres litiges relativement à ces questions.

Les assureurs éventuels contre les menaces à la cybersécurité souhaiteront également peut‑être consulter le « dossier de déclaration » au cours du processus de souscription de la police pour évaluer le risque, et poser les questions habituelles au sujet des déclarations et des incidents antérieurs.

De plus, les organisations qui envisagent la possibilité d'externaliser des services à un fournisseur de services envisageront peut‑être aussi la possibilité de demander l'accès au dossier de déclaration à l'occasion de leur vérification préalable et des antécédents de leurs fournisseurs actuels ou éventuels, sous réserve de considérations relatives à la confidentialité. Les parties à une opération commerciale pourront également souhaiter examiner ces renseignements à l'occasion de la vérification préalable pour les aider à déterminer la valeur et les risques associés à une opération déterminée.

Le projet de Règlement en vertu de la LPRPDE

Contenu et modalités de la déclaration au commissaire

Selon le projet de Règlement, la déclaration d'atteinte aux mesures de sécurité est faite par écrit au commissaire et contient les renseignements suivants :

  • les circonstances de l'atteinte et, si elle est connue, la cause de l'atteinte;
  • la date ou la période où il y a eu atteinte;
  • la nature des renseignements personnels visés par l'atteinte;
  • une estimation du nombre de personnes à l'égard desquelles l'atteinte présente un risque réel de préjudice grave;
  • les mesures que l'organisation a prises afin de réduire le risque de préjudice à l'endroit d'une personne résultant de l'atteinte ou afin d'atténuer un tel préjudice;
  • les mesures que l'organisation a prises ou qu'elle entend prendre afin d'aviser l'intéressé de toute atteinte;
  • le nom et les coordonnées d'une personne qui peut répondre au nom de l'organisation aux questions du commissaire au sujet de l'atteinte.

Les éléments proposés susmentionnés correspondent dans l'ensemble aux exigences en matière de déclaration d'atteinte à la protection des données qui sont en vigueur en Alberta depuis plusieurs années ainsi qu'avec les pratiques canadiennes en matière de déclaration d'atteinte. De plus, comme nous l'avons déjà signalé, la déclaration faite au commissaire peut être utilisée, par l'organisation, à titre de registre des atteintes à la protection des données pour satisfaire aux exigences en matière de tenue de registres.

Contenu et modalités de l'avis à l'intéressé

Comme nous l'avons déjà expliqué, la LPRPDE exige de façon générale que l'avis à l'intéressé contienne suffisamment d'information pour permettre à ce dernier de comprendre l'importance, pour lui, de l'atteinte et de prendre, si cela est possible, des mesures pour réduire le risque de préjudice. Suivant le règlement, l'avis doit contenir les renseignements suivants :

  •  une description des circonstances de l'atteinte;
  • la date ou la période où il y a eu atteinte;
  • la nature des renseignements personnels visés par l'atteinte;
  • les mesures que l'organisation a prises afin de réduire le risque de préjudice à l'endroit d'une personne résultant de l'atteinte ou afin d'atténuer un tel préjudice;
  • les mesures que la personne touchée peut prendre pour atténuer le risque de préjudice résultant de l'atteinte ou pour atténuer un tel préjudice;
  • un numéro de téléphone sans frais ou une adresse courriel que la personne touchée peut utiliser pour obtenir de plus amples renseignements au sujet de l'atteinte;
  • des renseignements au sujet du processus de plainte interne et du droit de la personne touchée, prévu à la LPRPDE, de déposer une plainte auprès du commissaire.

L'avis est donné à l'intéressé directement selon l'un ou l'autre des moyens suivants : a) par courriel ou par tout autre moyen de communication sécurisé auquel l'intéressé a consenti pour recevoir des renseignements de l'organisation; b) par courrier à la dernière adresse de résidence connue de l'intéressé; c) par téléphone; d) en personne.

L'obligation de fournir un numéro de téléphone sans frais a fait l'objet de certaines critiques et pourrait être modifiée. Dans le cas de certaines atteintes localisées, il pourrait être parfaitement raisonnable de fournir un numéro de téléphone local, et non un numéro sans frais. Il conviendrait peut‑être également d'adopter une approche plus neutre sur le plan technologique pour permettre à l'intéressé de se renseigner davantage (par ex., un site Web ou par message texte ou par une application).

L'obligation proposée d'obtenir le consentement préalable de l'intéressé pour utiliser son courriel ou tout autre moyen de communication sécurisé auquel l'intéressé a consenti pour être avisé d'une atteinte a aussi fait l'objet de sévères critiques. Bien que l'on s'attende à ce que, dans la plupart des cas, l'intéressé ait expressément ou tacitement consenti à recevoir des renseignements de l'organisation par courriel ou par un autre moyen de communication sécurisé, il peut arriver des cas où ce consentement n'a pas été donné. On peut se demander si l'absence de consentement devrait empêcher une organisation d'aviser l'intéressé de cette manière (par ex. lorsque l'organisation dispose d'autres moyens de communiquer avec l'intéressé). Comme nous l'expliquons dans la section suivante, il n'y a rien de prévu pour permettre l'envoi d'un avis indirect à une personne lorsque les seules coordonnées que possède l'organisation sont, par exemple, une adresse courriel, et que l'organisation n'a pas obtenu le consentement de l'intéressé. Si l'on interprète de la sorte le Règlement, on pourrait aboutir au résultat absurde suivant lequel la LPRPDE interdirait à une organisation d'aviser directement ou indirectement l'intéressé d'une atteinte qui pose un risque réel de préjudice grave.

Enfin, l'obligation d'assortir l'avis donné à l'intéressé de renseignements sur le processus interne de traitement des plaintes de l'organisation, ainsi que de renseignements sur le droit de l'intéressé de déposer une plainte auprès du commissaire semble inutile, en plus de ne pas être conforme à l'usage actuel au Canada et d'inciter indûment les intéressés à porter plainte.

Avis indirect

Le Règlement proposé concernant les atteintes aux mesures de sécurité prévoit l'obligation de donner un avis indirect d'atteintes dans certaines circonstances. L'avis est donné à l'intéressé indirectement soit par la publication de messages bien en vue sur le site Web de l'organisation pendant au moins 90 jours ou par la publication d'une annonce susceptible de joindre l'intéressé.

Bien que l'envoi d'un avis indirect puisse être important pour les organisations de petite ou de moyenne taille dans le cas d'une atteinte ayant une incidence sur un grand nombre de personnes (compte tenu des coûts de l'avis), les exigences proposées pourraient avoir des conséquences néfastes imprévues. Dans le règlement proposé, l'avis « est donné » à l'intéressé indirectement par l'organisation, dans l'une ou l'autre des circonstances suivantes :

  • le fait de donner directement l'avis causerait davantage de préjudices à l'intéressé;
  • les coûts de l'avis donné directement sont excessifs pour l'organisation;
  • l'organisation n'a pas les coordonnées de l'intéressé ou celles qu'elle détient sont désuètes.

Dans le cas d'une atteinte donnée, les dispositions susmentionnées pourraient, si elles ne sont pas modifiées, créer des situations complexes où il faudrait évaluer les exigences en matière d'avis au cas par cas. Certaines des personnes visées par une atteinte devront être avisées directement alors qu'il suffira d'en aviser d'autres indirectement. Par exemple, si une organisation ne possède pas les coordonnées d'une partie des membres du groupe visé, elle devra donner un avis indirect en plus de devoir donner un avis direct aux membres du groupe dont elle possède les coordonnées. Par ailleurs, si l'organisation estime qu'elle possède le nom et les coordonnées de tous les intéressés, qu'elle les avise directement et qu'elle est ensuite informée par courriel ou par la poste que les coordonnées de certains des intéressés ne sont pas à jour, on pourrait soutenir qu'il lui faudrait leur envoyer un avis indirect selon le règlement proposé.

En ce qui concerne la troisième catégorie susmentionnée d'intéressés à qui un avis indirect est donné, il y a lieu de noter que la LPRPDE oblige les organisations à supprimer ou à anonymiser les renseignements personnels dont elles n'ont plus besoin et de prendre les mesures raisonnables pour tenir des renseignements personnels qui sont exacts (bien qu'on reconnaisse qu'il appartient d'abord et avant tout aux intéressés de mettre à jour les coordonnées conservées par l'organisation). Par conséquent, bien que la capacité de donner un avis indirect aux intéressés de la troisième catégorie susmentionnée puisse être utile, les organisations devraient considérer que la possibilité de recourir à cette exception dans certains cas pourrait être un indice de problèmes éventuels de conformité avec d'autres obligations prévues par la LPRPDE (p. ex., si les renseignements sont conservés trop longtemps).

Registre des atteintes aux mesures de sécurité

Le projet de Règlement précise que l'organisation doit conserver un registre de toute atteinte aux mesures de sécurité pendant au moins 24 mois après la date à laquelle elle a conclu que l'atteinte a eu lieu. Comme le REIR l'explique, les dispositions touchant la tenue de registres « visent à donner au commissaire la capacité de déterminer si les organisations font ou non un suivi de toutes les atteintes et se conforment bel et bien à l'obligation d'aviser les intéressés et de déclarer les atteintes substantielles ».

Le registre doit contenir tout renseignement qui, eu égard à l'atteinte, permet au commissaire de vérifier la conformité avec les dispositions de la Loi relatives à la déclaration d'atteinte et à l'obligation de donner un avis ; autrement dit, le commissaire doit être en mesure de confirmer que l'organisation a déclaré l'atteinte et en a avisé l'intéressé comme elle le devait dans chaque cas. Ces dispositions pourraient éventuellement soulever des doutes au sujet de la quantité du type de renseignements qui doivent être conservés. Elles donnent à penser qu'il serait prudent de verser dans les dossiers de déclaration les renseignements qui ont amené l'organisation à conclure qu'il n'y avait pas de risque réel de préjudice grave et qu'il n'était donc pas nécessaire d'aviser les intéressés.

La déclaration faite au commissaire peut être utilisée, par l'organisation, à titre de registre de l'atteinte aux mesures de sécurité pour satisfaire aux exigences en matière de tenue de registres.

Suivant le REIR, l'exigence de conserver le dossier de toute atteinte offre aux organisations la possibilité de suivre et d'analyser les répercussions de tous les incidents relatifs à la sécurité des données et à tirer des leçons de cette expérience. Toutefois, comme nous l'avons déjà fait observer dans le présent article, l'obligation de tenir des registres pose également plusieurs risques éventuels et possibilités que ces renseignements soient réclamés par des tiers.

Enfin, compte tenu du pouvoir du commissaire de réclamer en tout temps la production de dossiers relatifs aux atteintes, il est intéressant de signaler que le REIR affirme qu'en vertu du règlement, « les déclarations d'atteinte au commissaire seront aussi présentées de façon à pouvoir comparer et regrouper les incidents et constituer ainsi un dépôt, grandement nécessaire, d'information sur les incidents touchant la sécurité des données au Canada, ce qui, selon les experts, se traduira par une meilleure compréhension commune des menaces à la cybersécurité » et « permettra également de mettre au point des indicateurs permettant d'élaborer des politiques fondées sur des données probantes ». Bien que ces affirmations portent sur les déclarations d'atteintes et non sur la tenue de registres, on peut sans crainte de se tromper envisager la possibilité que le commissaire demande de pouvoir consulter les dossiers relatifs aux atteintes pour pouvoir constituer un dépôt d'information sur les atteintes à la sécurité afin d'élaborer des politiques fondées sur des données probantes. D'ailleurs, le REIR envisage cette utilisation lorsqu'il explique que le commissaire « utilisera également l'information sur les atteintes à la protection des données pour mieux faire connaître et comprendre l'ampleur et la nature des atteintes à la protection des données au Canada ». Les organisations régies par la LPRPDE devraient envisager la possibilité que le commissaire demande de pouvoir consulter leurs dossiers relatifs aux atteintes.

Sujets clés non abordés dans le Règlement

Avant la publication du Règlement, le gouvernement canadien avait mené de vastes consultations publiques sur l'avis de l'atteinte et la tenue de dossiers. Voici quelques questions qui ont surgi au cours des consultations, mais qui ne se sont pas retrouvées dans le règlement proposé ainsi que les conséquences de l'omission de les aborder dans le règlement :

  • Atteinte et obligations des fournisseurs de service : Certains intervenants réclamaient des directives au sujet des circonstances dans lesquelles ils devaient aviser les intéressés lorsque l'atteinte à la protection des données survenait chez un fournisseur de services et qu'elle touchait des renseignements détenus au nom d'un client. Toutefois, conformément aux pratiques actuelles en la matière, le REIR fait observer que la plupart des intervenants sont d'avis qu'il convient de suivre le principe de la responsabilité énoncé dans la LPRPDE. Par conséquent, l'organisation qui assure la gestion des renseignements personnels en question devra s'assurer de sa conformité avec les exigences en matière de déclaration et de registre sur les atteintes à la protection des données et tenir compte d'une foule de mesures, notamment contractuelles, pour assurer la gestion des risques et la conformité découlant des atteintes à la protection des données survenues chez un fournisseur de services (par ex., en prévoyant des dispositions obligeant le fournisseur de services à aviser le client de toute présumée atteinte, de collaborer avec le client et de transmettre des renseignements pour faciliter toute enquête portant sur une atteinte, et fournir aux clients les renseignements nécessaires pour lui permettre de respecter ses obligations en matière de déclaration d'atteinte et de conservation de registres). Bien que ces questions ne soient pas nouvelles, l'introduction d'exigences en matière de déclaration obligatoire et de tenue de dossiers sur les atteintes à la protection des données souligne la nécessité de bien examiner les contrats signés par les vendeurs et les autres mesures pour s'assurer de la conformité.
  • Évaluation du « risque réel de préjudice grave » : Au lieu d'inclure dans le Règlement d'autres facteurs dont les organisations peuvent tenir compte pour déterminer si une atteinte présente un « risque réel de préjudice grave », le commissaire s'est engagé à publier ultérieurement des directives à ce sujet.
  • Le chiffrement  : Le Règlement ne prévoit pas que les atteintes impliquant des renseignements personnels chiffrés présentent nécessairement un faible risque ou que les organisations devraient être exemptées de la notification obligatoire. Le commissaire s'oppose à cette interprétation en faisant observer qu'il faut tenir compte du niveau et de l'efficacité du cryptage utilisé ainsi que du danger éventuel posé par les clés de chiffrement. Bien que cela n'exclue pas nécessairement l'examen du chiffrement lorsqu'il s'agit d'évaluer le risque, le Règlement ne va pas aussi loin que l'auraient souhaité les intervenants.
  • Évaluation des divers types d'atteintes : Contrairement aux règles de l'Alberta, le règlement proposé n'oblige pas les organisations à assortir leurs déclarations d'atteinte d'une évaluation du type de préjudices susceptibles de résulter de l'atteinte. On estime qu'il serait difficile surtout pour les petites et moyennes organisations de faire une telle évaluation, n'ayant possiblement ni l'expertise ni les ressources nécessaires.

Conclusion

Jusqu'à maintenant, une grande partie du secteur privé canadien n'a pas eu à se préoccuper de la question de la déclaration obligatoire des atteintes à la vie privée. Pendant de nombreuses années, l'Alberta était la seule province canadienne qui avait une loi d'application générale en matière de protection des renseignements personnels qui obligeait les entreprises du secteur privé à déclarer les atteintes à la vie privée.

L'introduction de la déclaration obligatoire d'atteinte à la vie privée et de la tenue de registres dans la LPRPDE constitue un changement radical dans la conduite des activités commerciales au Canada. Le Règlement présentera de nouveaux coûts, de nouveaux risques et de nouveaux défis pour les organisations, peu importe leur taille, notamment en ce qui concerne la gestion des risques juridiques, la conformité, la planification des réponses aux incidents, et les réponses aux incidents, et ainsi qu'un risque de responsabilité accrue. Par exemple, selon l'expérience vécue au Canada et aux États‑Unis en matière d'atteinte à la protection des données, le risque de poursuites et d'actions collectives dans la foulée d'une atteinte à la protection des données est susceptible d'augmenter à la suite d'une déclaration d'atteinte.

Les nouvelles règles augmenteront également l'intérêt déjà marqué et sans cesse croissant pour l'assurance contre les menaces à la cybersécurité au Canada (qui couvrent souvent les enquêtes, la déclaration, la responsabilité, la défense ainsi que les autres coûts liés à la réponse aux atteintes à la protection des données). Les organisations, les courtiers et les souscripteurs doivent prendre bonne note des nouvelles règles. L'introduction de la déclaration obligatoire d'atteinte à la protection des données dans d'autres pays a été perçue comme un point tournant dans la croissance solide du marché de la cyberassurance.

Compte tenu des nouvelles règles contenues dans la LPRPDE, les organisations doivent, maintenant plus que jamais, s'assurer qu'elles adoptent des mesures, des politiques et des procédures internes leur permettant de bien détecter et désamorcer les cas d'atteinte à la vie privée et de bien y réagir. Par exemple, il est indispensable que les organisations adoptent un plan de réponse aux incidents et offrir à leur personnel une formation à cet égard leur permettant de désamorcer et de signaler toute présumée atteinte de manière à satisfaire aux nouvelles exigences de la LPRPDE. Toute violation des dispositions en matière d'atteinte à la protection des données peut constituer une infraction et entraîner l'imposition d'amendes.

Nous souhaitons que les problèmes que nous avons signalés dans le Règlement soient abordés avant que la version définitive du règlement ne soit arrêtée ou que les dispositions plus problématiques en soient supprimées en faveur de directives pratiques et souples du commissaire. Les organisations assujetties à la LPRPDE devraient suivre de près l'évolution de la version définitive du Règlement et envisager de prendre des mesures dès maintenant pour modifier leurs plans de réponse aux incidents et leurs politiques connexes pour répondre aux nouvelles exigences.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

To print this article, all you need is to be registered on Mondaq.com.

Click to Login as an existing user or Register so you can print this article.

Authors
Similar Articles
Relevancy Powered by MondaqAI
 
In association with
Related Topics
 
Similar Articles
Relevancy Powered by MondaqAI
Related Articles
 
Related Video
Up-coming Events Search
Tools
Print
Font Size:
Translation
Channels
Mondaq on Twitter
 
Register for Access and our Free Biweekly Alert for
This service is completely free. Access 250,000 archived articles from 100+ countries and get a personalised email twice a week covering developments (and yes, our lawyers like to think you’ve read our Disclaimer).
 
Email Address
Company Name
Password
Confirm Password
Position
Mondaq Topics -- Select your Interests
 Accounting
 Anti-trust
 Commercial
 Compliance
 Consumer
 Criminal
 Employment
 Energy
 Environment
 Family
 Finance
 Government
 Healthcare
 Immigration
 Insolvency
 Insurance
 International
 IP
 Law Performance
 Law Practice
 Litigation
 Media & IT
 Privacy
 Real Estate
 Strategy
 Tax
 Technology
 Transport
 Wealth Mgt
Regions
Africa
Asia
Asia Pacific
Australasia
Canada
Caribbean
Europe
European Union
Latin America
Middle East
U.K.
United States
Worldwide Updates
Registration (you must scroll down to set your data preferences)

Mondaq Ltd requires you to register and provide information that personally identifies you, including your content preferences, for three primary purposes (full details of Mondaq’s use of your personal data can be found in our Privacy and Cookies Notice):

  • To allow you to personalize the Mondaq websites you are visiting to show content ("Content") relevant to your interests.
  • To enable features such as password reminder, news alerts, email a colleague, and linking from Mondaq (and its affiliate sites) to your website.
  • To produce demographic feedback for our content providers ("Contributors") who contribute Content for free for your use.

Mondaq hopes that our registered users will support us in maintaining our free to view business model by consenting to our use of your personal data as described below.

Mondaq has a "free to view" business model. Our services are paid for by Contributors in exchange for Mondaq providing them with access to information about who accesses their content. Once personal data is transferred to our Contributors they become a data controller of this personal data. They use it to measure the response that their articles are receiving, as a form of market research. They may also use it to provide Mondaq users with information about their products and services.

Details of each Contributor to which your personal data will be transferred is clearly stated within the Content that you access. For full details of how this Contributor will use your personal data, you should review the Contributor’s own Privacy Notice.

Please indicate your preference below:

Yes, I am happy to support Mondaq in maintaining its free to view business model by agreeing to allow Mondaq to share my personal data with Contributors whose Content I access
No, I do not want Mondaq to share my personal data with Contributors

Also please let us know whether you are happy to receive communications promoting products and services offered by Mondaq:

Yes, I am happy to received promotional communications from Mondaq
No, please do not send me promotional communications from Mondaq
Terms & Conditions

Mondaq.com (the Website) is owned and managed by Mondaq Ltd (Mondaq). Mondaq grants you a non-exclusive, revocable licence to access the Website and associated services, such as the Mondaq News Alerts (Services), subject to and in consideration of your compliance with the following terms and conditions of use (Terms). Your use of the Website and/or Services constitutes your agreement to the Terms. Mondaq may terminate your use of the Website and Services if you are in breach of these Terms or if Mondaq decides to terminate the licence granted hereunder for any reason whatsoever.

Use of www.mondaq.com

To Use Mondaq.com you must be: eighteen (18) years old or over; legally capable of entering into binding contracts; and not in any way prohibited by the applicable law to enter into these Terms in the jurisdiction which you are currently located.

You may use the Website as an unregistered user, however, you are required to register as a user if you wish to read the full text of the Content or to receive the Services.

You may not modify, publish, transmit, transfer or sell, reproduce, create derivative works from, distribute, perform, link, display, or in any way exploit any of the Content, in whole or in part, except as expressly permitted in these Terms or with the prior written consent of Mondaq. You may not use electronic or other means to extract details or information from the Content. Nor shall you extract information about users or Contributors in order to offer them any services or products.

In your use of the Website and/or Services you shall: comply with all applicable laws, regulations, directives and legislations which apply to your Use of the Website and/or Services in whatever country you are physically located including without limitation any and all consumer law, export control laws and regulations; provide to us true, correct and accurate information and promptly inform us in the event that any information that you have provided to us changes or becomes inaccurate; notify Mondaq immediately of any circumstances where you have reason to believe that any Intellectual Property Rights or any other rights of any third party may have been infringed; co-operate with reasonable security or other checks or requests for information made by Mondaq from time to time; and at all times be fully liable for the breach of any of these Terms by a third party using your login details to access the Website and/or Services

however, you shall not: do anything likely to impair, interfere with or damage or cause harm or distress to any persons, or the network; do anything that will infringe any Intellectual Property Rights or other rights of Mondaq or any third party; or use the Website, Services and/or Content otherwise than in accordance with these Terms; use any trade marks or service marks of Mondaq or the Contributors, or do anything which may be seen to take unfair advantage of the reputation and goodwill of Mondaq or the Contributors, or the Website, Services and/or Content.

Mondaq reserves the right, in its sole discretion, to take any action that it deems necessary and appropriate in the event it considers that there is a breach or threatened breach of the Terms.

Mondaq’s Rights and Obligations

Unless otherwise expressly set out to the contrary, nothing in these Terms shall serve to transfer from Mondaq to you, any Intellectual Property Rights owned by and/or licensed to Mondaq and all rights, title and interest in and to such Intellectual Property Rights will remain exclusively with Mondaq and/or its licensors.

Mondaq shall use its reasonable endeavours to make the Website and Services available to you at all times, but we cannot guarantee an uninterrupted and fault free service.

Mondaq reserves the right to make changes to the services and/or the Website or part thereof, from time to time, and we may add, remove, modify and/or vary any elements of features and functionalities of the Website or the services.

Mondaq also reserves the right from time to time to monitor your Use of the Website and/or services.

Disclaimer

The Content is general information only. It is not intended to constitute legal advice or seek to be the complete and comprehensive statement of the law, nor is it intended to address your specific requirements or provide advice on which reliance should be placed. Mondaq and/or its Contributors and other suppliers make no representations about the suitability of the information contained in the Content for any purpose. All Content provided "as is" without warranty of any kind. Mondaq and/or its Contributors and other suppliers hereby exclude and disclaim all representations, warranties or guarantees with regard to the Content, including all implied warranties and conditions of merchantability, fitness for a particular purpose, title and non-infringement. To the maximum extent permitted by law, Mondaq expressly excludes all representations, warranties, obligations, and liabilities arising out of or in connection with all Content. In no event shall Mondaq and/or its respective suppliers be liable for any special, indirect or consequential damages or any damages whatsoever resulting from loss of use, data or profits, whether in an action of contract, negligence or other tortious action, arising out of or in connection with the use of the Content or performance of Mondaq’s Services.

General

Mondaq may alter or amend these Terms by amending them on the Website. By continuing to Use the Services and/or the Website after such amendment, you will be deemed to have accepted any amendment to these Terms.

These Terms shall be governed by and construed in accordance with the laws of England and Wales and you irrevocably submit to the exclusive jurisdiction of the courts of England and Wales to settle any dispute which may arise out of or in connection with these Terms. If you live outside the United Kingdom, English law shall apply only to the extent that English law shall not deprive you of any legal protection accorded in accordance with the law of the place where you are habitually resident ("Local Law"). In the event English law deprives you of any legal protection which is accorded to you under Local Law, then these terms shall be governed by Local Law and any dispute or claim arising out of or in connection with these Terms shall be subject to the non-exclusive jurisdiction of the courts where you are habitually resident.

You may print and keep a copy of these Terms, which form the entire agreement between you and Mondaq and supersede any other communications or advertising in respect of the Service and/or the Website.

No delay in exercising or non-exercise by you and/or Mondaq of any of its rights under or in connection with these Terms shall operate as a waiver or release of each of your or Mondaq’s right. Rather, any such waiver or release must be specifically granted in writing signed by the party granting it.

If any part of these Terms is held unenforceable, that part shall be enforced to the maximum extent permissible so as to give effect to the intent of the parties, and the Terms shall continue in full force and effect.

Mondaq shall not incur any liability to you on account of any loss or damage resulting from any delay or failure to perform all or any part of these Terms if such delay or failure is caused, in whole or in part, by events, occurrences, or causes beyond the control of Mondaq. Such events, occurrences or causes will include, without limitation, acts of God, strikes, lockouts, server and network failure, riots, acts of war, earthquakes, fire and explosions.

By clicking Register you state you have read and agree to our Terms and Conditions