Le 1er avril 2024, le Commissariat à l'information et à la protection de la vie privée de l'Alberta (le « CIPVP de l'Alberta ») a annoncé des changements importants dans les procédures de déclaration des incidents de confidentialité (« incidents ») dans cette province en publiant une mise à jour des orientations que les organisations doivent prendre en compte lorsqu'elles déclarent un incident au CIPVP de l'Alberta.

Contexte

La Personal Information Protection Act (la « PIPA ») de l'Alberta 1 a été la première loi sur la protection des renseignements personnels du secteur privé au Canada à obliger les organisations à déclarer certains incidents à un commissaire à la protection de la vie privée et à aviser les individus dans certaines circonstances. Le régime de l'Alberta a été adopté en 2010 2.

Dans le passé, le CIPVP de l'Alberta a publié des décisions d'avis d'incidents (les « BND » pour breach notification decisions) sur son site Web 3. Ces décisions comprennent des détails tirés de la déclaration de l'organisation au CIPVP de l'Alberta, ainsi qu'un résumé de la décision de ce dernier sur la question de savoir si l'incident a créé un « risque réel de préjudice grave » (« RRPG ») à l'endroit des individus.

Depuis la mise en place du régime, le CIPVP de l'Alberta n'a publié des BND que dans les cas où il concluait à la présence d'un RRPG, ce qui l'obligeait à ordonner aux organisations d'aviser les individus. Toutefois, comme la pratique courante était d'aviser simultanément les commissaires et les individus, si le CIPVP de l'Alberta déterminait que l'organisation avait déjà notifié les individus conformément à la PIPA 4 au moment de la déclaration au CIPVP de l'Alberta, il a souvent estimé que les organisations n'étaient pas tenues de les aviser à nouveau 5.

Résumé des changements en Alberta

Le 1ᵉʳ avril 2024, le CIPVP de l'Alberta a annoncé qu'il cesserait, jusqu'à nouvel ordre, de publier les BND, ce qui constitue un changement radical par rapport à une pratique établie depuis 14 ans 6. Les organisations qui déclarent des incidents au CIPVP de l'Alberta et qui ont déjà avisé les individus conformément à la PIPA 7 recevront une lettre de clôture privée et aucune BND ne sera publiée 8. Les BND publiées par le passé resteront accessibles sur le site Web du CIPVP de l'Alberta aux fins de recherche et de consultation.

Le CIPVP de l'Alberta a annoncé qu'il concentrera plutôt ses ressources sur les incidents pour lesquels les organisations n'ont pas effectué de déclaration ni avisé les individus 9. Le CIPVP de l'Alberta mettra en place une procédure accélérée pour traiter les déclarations d'incident dans certaines situations, notamment : i) lorsque les individus n'ont pas été avisés; ii) lorsque le CIPVP de l'Alberta considère qu'une déclaration ne lui a pas été présentée conformément à l'article 34.1 de la PIPA; ou iii) lorsque le CIPVP de l'Alberta apprend l'existence d'un incident par le biais des médias ou d'une plainte déposée par un individu.

Le CIPVP de l'Alberta laisse entendre qu'il s'appuiera davantage sur son formulaire d'avis d'incident (le « formulaire ») 10 pour s'assurer que les rapports et les avis répondent aux exigences légales 11. Par exemple, le CIPVP de l'Alberta prévient que si un rapport ne contient pas les renseignements exigés par la PIPA 12, ou si l'organisation n'indique pas dans son rapport l'existence d'un RRPG d'une manière que le CIPVP de l'Alberta juge suffisamment détaillée 13, l'organisation n'est pas considérée comme ayant déclaré l'incident au CIPVP de l'Alberta conformément à l'article 34.1 de la PIPA.

Le CIPVP de l'Alberta fournit ensuite un certain nombre de documents supplémentaires qui servent à souligner les changements et à réaffirmer ses attentes en matière de déclaration des incidents 14, et qui précisent certaines des orientations partagées en 2018 15. Par exemple, les documents supplémentaires clarifient le point de vue du CIPVP de l'Alberta sur les circonstances dans lesquelles les renseignements personnels ont été « recueillis en Alberta » 16 ou sur ce que signifie être en « contrôle » par rapport à « détenir » des renseignements personnels 17.

Enfin, le CIPVP de l'Alberta indique explicitement qu'il préfère que les organisations soumettent le formulaire rempli par courrier électronique à sa nouvelle adresse électronique pour la déclaration d'incidents : breachnotice@oipc.ab.ca 18.

Le Québec emboitera-t-il le pas à l'Alberta?

L'approche de la Commission d'accès à l'information du Québec (la « CAI ») contraste désormais avec celle de ses homologues canadiens 19. Depuis l'entrée en vigueur des obligations de déclaration et d'avis d'incidents au Québec en septembre 2022 20, la CAI n'a pas publié de décisions relatives aux incidents, mais pendant un certain temps et conformément aux lois sur l'accès à l'information, elle a été ouverte à divulguer aux journalistes les noms des organisations qui lui avaient soumis des déclarations d'incident 21. En avril 2023, la CAI a décidé de ne plus donner suite à de telles demandes d'accès à l'information 22. Cependant, peu de temps après, la CAI a décidé de publier sur son site Web, chaque trimestre, les noms de toutes les organisations ayant déclaré un incident 23.

Cette pratique consistant à publier systématiquement les noms des organisations ayant déclaré un incident à un commissaire peut dissuader les organisations de le faire. En fait, le volume des déclarations d'incidents soumises à la CAI a chuté depuis qu'il a été révélé que la CAI obtempérait aux demandes d'accès à l'information des journalistes, et cette tendance s'est maintenue depuis la décision de la CAI de publier les noms des organisations sur son site 24.

De nombreuses organisations estiment sans doute que la CAI devrait suivre l'exemple de l'Alberta, afin de garantir que la déclaration des incidents au Québec continue son cours, sans que l'approche actuelle de la CAI, qui consiste à publier les noms des organisations qui lui déclarent des incidents, ait un effet dissuasif sur la décision de déclarer un incident.

Principaux enseignements pour les organisations

Transition vers la confidentialité : la nouvelle procédure albertaine de déclaration des incidents promet une plus grande confidentialité et peut réduire les risques réputationnels pour les organisations qui se conforment à la loi.

la nouvelle procédure albertaine de déclaration des incidents promet une plus grande confidentialité et peut réduire les risques réputationnels pour les organisations qui se conforment à la loi. Accent sur les lacunes en matière de conformité : le CIPVP de l'Alberta mettra davantage l'accent sur les incidents qui n'ont pas été déclarés ou qui n'ont pas été portés à l'attention des individus. Le non-respect de ces règles accroît le risque d'une intervention réglementaire, d'enquêtes potentielles et de sanctions accélérées.

le CIPVP de l'Alberta mettra davantage l'accent sur les incidents qui n'ont pas été déclarés ou qui n'ont pas été portés à l'attention des individus. Le non-respect de ces règles accroît le risque d'une intervention réglementaire, d'enquêtes potentielles et de sanctions accélérées. La clarté renforce les attentes : les déclarations et les avis d'incident doivent toujours être soigneusement rédigés pour respecter les exigences de la PIPA. Lorsqu'elles prennent des décisions en la matière, les organisations doivent également tenir compte des attentes du CIPVP de l'Alberta et de son interprétation de la PIPA telles qu'elles ressortent des orientations mises à jour.

Footnotes

1. SA 2003, c P-6.5, https://canlii.ca/t/5619m. (en anglais seulement)

2. Id., art. 34.1 et 37.1.

3. Commissariat à l'information et à la protection de la vie privée de l'Alberta, décisions d'avis d'incidents (en anglais seulement) https://oipc.ab.ca/decisions/breach-notification-decisions/.

4. Supra, note 1, art. 37.1(7), qui prévoit que, malgré le pouvoir qu'a le CIPVP de l'Alberta d'ordonner qu'avis soit donné, [traduction] « le présent article ne doit pas être interprété de manière à restreindre la capacité d'une organisation d'aviser de sa propre initiative des personnes de la perte, de l'accès non autorisé ou de la divulgation de renseignements personnels ».

5. Commissariat à l'information et à la protection de la vie privée de l'Alberta, PIPA Breach Report 2022, juillet 2022, p. 2, [traduction] « Au total, 419 décisions d'absence de RRPG ont été rendues entre 2010-2011 et 2020-2021, ce qui représente 22 % de l'ensemble des décisions. Il y a eu 200 conclusions d'incompétence, ce qui représente 10 % de toutes les décisions », ces deux chiffres diminuant de manière significative au fil du temps, voir p. 13-14 pour les tendances au fil du temps, (en anglais seulement) : https://oipc.ab.ca/wp-content/uploads/2022/07/PIPA-Breach-Report-2022.pdf

6. Commissariat à l'information et à la protection de la vie privée de l'Alberta, PIPA Privacy Breach Process, 1er avril 2024, p. 8, accessible ici en anglais seulement : https://oipc.ab.ca/wp-content/uploads/2024/04/PIPA-Privacy-Breach-Process-April-2024.pdf.

7. Personal Information Protection Act Regulation, Règl. de l'Alberta 36612003, art. 19.1.

8. Supra, note 7, p. 5, accessible ici en anglais seulement : https://oipc.ab.ca/wp-content/uploads/2024/04/PIPA-Privacy-Breach-Process-April-2024.pdf.

9. Id., p. 4.

10. Télécharger ici (en anglais seulement): https://oipc.ab.ca/wp-content/uploads/2024/04/Privacy-Breach-Notification-Form-under-PIPA-April-2024.docx.

11. Supra, note 8, art. 19.

12. Supra, note 7, p. 6, où il est question de situations où des organisations choisissent de fournir des « lettres de manière informelle, volontaire ou par courtoisie ». Parfois, les organisations envoient au commissaire une lettre informelle ou « de courtoisie » concernant un incident d'atteinte à la vie privée, ou informent le CIPVP de l'Alberta d'un tel incident pour lequel, de l'avis de l'organisation, une personne raisonnable ne considérerait pas qu'il existe un risque réel de préjudice grave. Si ces lettres informelles ne contiennent pas les renseignements exigés par l'article 19 du Règlement de la PIPA, ou si l'organisation n'indique pas qu'il existe un risque réel de préjudice grave, l'organisation n'est pas considérée comme ayant déclaré l'incident au CIPVP de l'Alberta en vertu de l'article 34.1.

13. Le simple fait de décrire le risque de préjudice comme étant « faible », « moyen » ou « élevé » ne répond pas à l'exigence d'une évaluation du risque de préjudice, qui est un élément obligatoire de la déclaration en vertu de la réglementation. Les organisations doivent s'efforcer de détailler les préjudices précis auxquels elles pensent que les individus sont exposés lorsqu'elles déclarent un incident au CIPVP de l'Alberta.

14. Commissariat à l'information et à la protection de la vie privée de l'Alberta, Guidance for Notifying the Commissioner about a Privacy Breach under PIPA, 1er avril 2024, accessible ici en anglais seulement : https://oipc.ab.ca/wp-content/uploads/2024/04/Guidance-for-Notifying-the-OIPC-about-a-Privacy-Breach-Under-PIPA-April-2024.pdf.

15. Commissariat à l'information et à la protection de la vie privée de l'Alberta, Reporting a Breach to the Commissioner, août 2018, en anglais seulement, https://oipc.ab.ca/wp-content/uploads/2022/02/Breach-Reporting-2018.pdf.

16. Supra, note 17, p. 6, où sont présentés quatre exemples : i) une personne résidant en Alberta soumet une demande d'emploi par voie électronique à une organisation située en Ontario. Les renseignements personnels sont transmis par Internet et stockés sur un serveur hébergé en Ontario. Les renseignements personnels ont été « recueillis en Alberta » parce que la personne se trouvait en Alberta au moment où ils ont été recueillis par l'organisation; ii) une personne résidant aux États-Unis soumet une demande d'emploi par voie électronique à une organisation exerçant ses activités en Alberta. Les renseignements personnels sont transmis par Internet et stockés sur un serveur hébergé en Colombie-Britannique. Les renseignements personnels ont été « recueillis en Alberta » parce que l'organisation exerce ses activités en Alberta; iii) une personne résidant en Alberta se rend aux États-Unis en voiture. Elle s'inscrit dans un hôtel en Arizona, sans réservation. Les renseignements personnels n'ont pas été « recueillis en Alberta » parce qu'ils ont été recueillis en personne à l'hôtel, à l'extérieur de l'Alberta; iv) une personne se rend aux États-Unis pour faire des achats dans un centre commercial. Un magasin dans lequel elle a effectué un achat, aux États-Unis, a fait l'objet d'une cyberattaque qui a entraîné l'accès non autorisé aux renseignements personnels de cette personne. Les renseignements personnels n'ont pas été « recueillis en Alberta » parce qu'ils ont été recueillis en personne au magasin, à l'extérieur de l'Alberta.

17. Id., p. 2. Cette information est utile et renforce les conseils similaires du commissariat fédéral qui peuvent être consultés ici : https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/protection-des-renseignements-personnels-pour-les-entreprises/mesures-de-securite-et-atteintes/atteintes-a-la-vie-privee/comment-reagir-a-une-atteinte-a-la-vie-privee-dans-votre-entreprise/gd_pb_201810/, voir la section « Qui a la responsabilité de déclarer l'atteinte? ».

18. Veuillez noter que l'ancienne adresse électronique (breachreport@oipc.ab.ca) a été désactivée. Toutefois, ce changement ne devrait pas avoir d'incidence sur les avis envoyés avant le 1er avril 2024.

19. La LPRPDE prévoit la confidentialité des déclarations d'atteinte à la protection des renseignements personnels transmis au commissaire fédéral, voir l'art. 20(1.1). De plus, la Loi sur l'accès à l'information (« LAI ») au fédéral a été modifiée en 2018 pour créer une exemption statutaire à la divulgation de toute déclaration sur une atteinte à la protection des renseignements personnels en réponse à des demandes d'accès à l'information en vertu de la LAI. Toutefois, le commissaire peut partager ces informations dans des circonstances limitées pour des raisons liées à la sécurité nationale ou à l'intérêt public, ou utiliser les informations dans le cadre d'une enquête sur l'atteinte.

20. Supra, note 7, art. 3.5 et suivants.

21. LaPresse, Une trentaine d'entreprises ont déclaré des fuites en deux mois, 8 décembre 2022 : https://www.lapresse.ca/affaires/2022-12-08/protection-des-renseignements-personnels/une-trentaine-d-entreprises-ont-declare-des-fuites-en-deux-mois.php.

22. LaPresse, Des fuites de données qui resteront secrètes, 28 avril 2023 : https://www.lapresse.ca/affaires/2023-4-28/commission-d-acces-a-l-information/des-fuites-de-donnees-qui-resteront-secretes.php.

23. LaPresse, Des fuites de données qui resteront secrètes, 2 avril 2023 : https://www.lapresse.ca/affaires/2023-4-28/commission-d-acces-a-l-information/des-fuites-de-donnees-qui-resteront-secretes.php.

24. D'octobre 2022 à mars 2023, il y a eu en moyenne 32,5 déclarations par mois. Pour les six mois suivants, c'est-à-dire d'avril 2023 à septembre 2023, ce nombre a chuté à 15,8 déclarations par mois. Si d'autres facteurs peuvent expliquer cette baisse, ils semblent coïncider avec la publication systématique des décisions par la CAI.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.