Le 26 mars 2025, le Commissariat à la protection de la vie privée du Canada (le « CPVP ») a déployé, à l’intention des organisations, un outil d’autoévaluation du risque réel de préjudice grave à la vie privée (l’« outil »).
Dans ce bulletin, nous faisons un survol des obligations relatives au signalement des atteintes en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») et donnons un aperçu du fonctionnement de l’outil. Nous formulons également quelques conseils pratiques au sujet de l’évaluation du risque réel de préjudice grave (l’« évaluation du RRPG »).
Obligations relatives au signalement des atteintes en vertu de la LPRPDE
En vertu de l’article 10.1 de la LPRPDE, une organisation assujettie à cette dernière est tenue d’aviser le CPVP et les personnes touchées de toute atteinte aux mesures de sécurité ayant trait à des renseignements personnels dont cette organisation a la gestion, si ladite atteinte présente un « risque réel de préjudice grave ». Un « préjudice grave » est défini largement dans la LPRPDE comme comprenant la lésion corporelle; l’humiliation; le dommage à la réputation ou aux relations; la perte de possibilités d’emploi, d’occasions d’affaires ou d’activités professionnelles; la perte financière; le vol d’identité; l’effet négatif sur le dossier de crédit; ainsi que le dommage aux biens ou leur perte. La LPRPDE exige que les organisations tiennent compte des facteurs suivants, entre autres, dans leur évaluation du RRPG :
- le degré de sensibilité des renseignements personnels en cause;
- la probabilité que les renseignements personnels aient été mal utilisés ou soient en train ou sur le point de l’être;
- tout autre élément prévu par règlement (jusqu’à présent, aucun autre facteur n’a été ajouté à cette liste).
Comment l’outil fonctionne-t-il?
L’outil a pour but d’aider une organisation confrontée à une atteinte à la vie privée à évaluer si cette atteinte entraîne un risque réel de préjudice grave et si elle doit faire l’objet d’un signalement au CPVP. L’outil ne demandera pas de renseignements permettant d’identifier l’organisation. De plus, les renseignements saisis dans l’outil ne seront pas recueillis ni envoyés au CPVP.
L’organisation qui utilise l’outil doit d’abord connaître les types de renseignements personnels en cause (c.-à-d., s’il s’agit de coordonnées, de données démographiques, de renseignements bancaires, de renseignements d’identification délivrés par un gouvernement, de messages, de renseignements liés à des activités de surveillance ou de renseignements sur la santé, entre autres), ainsi que le nombre approximatif de personnes touchées.
L’organisation doit répondre à un questionnaire lui permettant de fournir des renseignements sur les circonstances de l’atteinte, notamment comment l’atteinte s’est produite. Elle peut également fournir des renseignements au sujet de la personne ayant reçu les renseignements personnels, de la relation entre les personnes touchées par l’atteinte et la partie non autorisée à qui les renseignements ont été transmis, ainsi que des caractéristiques possibles des personnes touchées (p. ex., si elles ont une expérience limitée des lois et des droits canadiens, ont un casier judiciaire, ont été parties à des différends en matière de garde ou à d’autres types de différends, ont été victimes de violence familiale, ou sont déjà confrontées à des risques relatifs à leur sécurité). L’organisation peut aussi fournir des détails au sujet des catégories de renseignements personnels en cause.
L’organisation peut ensuite passer en revue et, au besoin, modifier ses réponses avant de les soumettre. L’outil génère alors un rapport qui indique s’il est probable ou improbable que l’atteinte ait entraîné un risque réel de préjudice grave et si cette atteinte doit faire l’objet d’un signalement. Ce rapport identifie également les risques possibles liés à l’atteinte en question, tels que la fraude bancaire, la fraude relative aux paiements, l’hameçonnage, l’exploitation financière, l’humiliation publique et la fraude relative à l’identité.
Comment une organisation devrait-elle utiliser l’outil?
L’outil n’a pas pour objectif de fournir des conseils juridiques à une organisation confrontée à une atteinte à la vie privée, ni de remplacer l’évaluation officielle du risque que doit mener une telle organisation. Il pourrait exister d’autres facteurs qui ne sont pas couverts par l’outil et qui pourraient influer sur l’évaluation du RRPG, ou encore des éléments d’une atteinte auxquels l’outil accorde une attention démesurée en raison d’un manque de contexte. Il est donc recommandé aux organisations d’utiliser cet outil pour effectuer une évaluation préliminaire, ou encore pour prendre connaissance des facteurs pertinents dans le cadre d’une évaluation du RRPG. Les organisations qui utilisent l’outil devraient toutefois se garder de considérer les résultats comme déterminants.
Il y a lieu de noter que l’outil est conçu uniquement pour aider les organisations relativement aux exigences de signalement des atteintes à la vie privée qui sont prévues à la LPRPDE. Selon le type d’organisation en cause, l’emplacement des personnes touchées, ou encore la réglementation des systèmes d’information de l’organisation concernée, d’autres exigences de signalement pourraient s’appliquer en vertu de lois provinciales sur la protection de la vie privée dans les secteurs public et privé, de lois provinciales relatives à la protection des renseignements médicaux personnels ou de règles propres à un secteur donné, telles que les exigences de signalement s’appliquant aux institutions financières. Par conséquent, il est important pour une organisation de toujours consulter son équipe juridique et son équipe responsable de la protection de la vie privée au moment de déterminer les obligations de signalement qui s’appliquent à elle.
Conseils pratiques pour effectuer une évaluation du RRPG
Les conseils pratiques qui suivent peuvent vous aider dans le cadre d’une évaluation du RRPG :
- Consultez l’agent à la protection des renseignements personnels et le service juridique de votre organisation (ou l’équipe juridique externe retenue par celle-ci) pour veiller à ce qu’une analyse adéquate de tous les facteurs pertinents de l’atteinte soit effectuée, et ce, conformément à toutes les lois applicables.
- Songez à obtenir des directives du Commissaire à la vie privée du Canada dans le cadre de l’évaluation du degré de sensibilité des renseignements personnels en cause et de la probabilité qu’ils soient mal utilisés.
- Documentez clairement et préservez votre évaluation, le tout conformément aux lois applicables, même si le résultat indique qu’il n’existe aucun risque réel de préjudice grave.
Pour en savoir davantage, communiquez avec un membre de notre groupe Protection de la vie privée et des données.
Plus de ressources
Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet. Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.
Pour obtenir l'autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l'adresse [email protected].
© 2025 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.
