Perte de renseignements: les victimes devraient être avisées directement

Les entreprises qui perdent les renseignements personnels de leurs clients devraient être obligées d'aviser directement les victimes et de fournir les mesures prises afin de minimiser les torts subis, a recommandé le Commissariat à la protection de la vie privée du Canada.

Le gouvernement fédéral envisage de proposer de nouveaux règlements visant à améliorer la transparence en la matière et à aider les consommateurs.

Plusieurs grandes entreprises ont été écorchées par des pirates informatiques ces dernières années, causant des maux de tête aux clients dont les renseignements personnels et financiers pourraient soudainement avoir circulé un peu partout dans internet.

En 2015, le gouvernement précédent avait fait adopter la Loi sur la protection des renseignements personnels numériques. Celle-ci a posé les fondations juridiques pour obliger les entreprises privées à rapporter toute faille présentant «un risque réel de préjudice grave à l'endroit d'un individu».

Les nouvelles exigences juridiques en cas d'atteinte à la protection des données entreront en vigueur quand le gouvernement fédéral aura édicté le règlement.

Le gouvernement a récemment demandé au public et aux parties intéressées des commentaires pour se pencher sur la réglementation et pour déterminer ce que les entreprises et d'autres organisations privées devraient faire dans le cas d'une faille dans la sécurité.

Selon le Commissariat à la protection de la vie privée, les entreprises doivent aviser directement les personnes touchées par les failles - à part quelques cas d'exception - par des moyens comme le téléphone, le courriel ou le courrier.

L'avis devrait inclure des informations sur les circonstances et la date de la faille dans la sécurité (ou à tout le moins une évaluation de la période concernée), une description des renseignements personnels, les mesures prises pour minimiser les torts pour l'usager, les gestes que peuvent accomplir les personnes touchées et les coordonnées d'une personne au sein de l'entreprise pouvant répondre aux questions.

Le Commissariat à la protection de la vie privée a également exhorté le gouvernement à réfléchir sur les cas affectant les personnes vivant à l'extérieur du Canada.

Dans une déclaration écrite, l'Association du barreau canadien a aussi reconnu l'importance de fournir des renseignements pertinents au public sur les failles dans la sécurité.

«Néanmoins, les réglementations devraient éviter d'être trop contraignantes dans la forme et la teneur des communications. Les organisations devraient avoir la flexibilité de déterminer si des notifications directes ou indirectes sont les plus appropriées», a indiqué l'Association du barreau canadien.

L'une des questions les plus épineuses dans l'élaboration d'un cadre réglementaire est de déterminer si les brèches de données pour lesquelles l'information est cryptée - encodée de manière à ce qu'elle ne puisse pas être déchiffrée sans une clé numérique - devraient être considérées comme des événements à «faible risque».

Le Commissariat à la protection de la vie privée a fait valoir que les normes de cryptage autrefois considérées solides «pourraient éventuellement être déchiffrables».