Devenez membre gratuitement Se connecter

JavaScript n'est pas actif sur votre navigateur.

Afin de pouvoir visualiser le contenu de cette page, veuillez l'activer en suivant ces étape.

Protection des données : des normes plus strictes et des amendes salées pour les entreprises

Visibilité360, version PDF à partager

par Andrea Lubeck | 18 septembre 2017 07:00

Données et analytique

Les entreprises qui traitent des informations personnelles dans le cadre de leurs activités commerciales doivent dorénavant dévoiler publiquement les bris de sécurité des données au Commissariat à la protection de la vie privée du Canada et aux personnes concernées.

Des amendes allant jusqu’à 100 000 $ pourraient être envoyées aux entreprises qui ne signalent pas que les informations personnelles de leurs clients ont été compromises.

« Le règlement de signalement entrera sans doute en vigueur à l’automne 2017. Ceci représentera des couts additionnels pour les entreprises qui sont victimes de bris de sécurité de leurs informations », explique Derrick Hughes, vice-président, réassurance, de La Compagnie d’Inspection et d’Assurance Chaudière et Machinerie du Canada, aussi connu sous son acronyme anglais BI&I.

M. Hughes cite aussi des données d’un rapport de l’Institut Ponemon pour appuyer ses dires. Cet organisme de recherche estime qu’un bris de sécurité coute environ 255 $ par dossier perdu ou volé au Canada et dont 108 $ sont attribués au signalement et à la résolution.

M. Hughes met les entreprises en garde que les polices standards d’assurance des entreprises et de responsabilité ne couvrent pas les pertes encourues par la violation des données. « Les entreprises souscrivent maintenant un avenant pour la violation des données, qu’on peut ajouter aux polices de base, aux côtés des protections pour les biens, la responsabilité, le feu et le vol. L’assurance contre la violation des données couvre les couts de réponse et de signalement, de même que des services d’alerte de fraude pour les individus concernés et la gestion de cas de restauration d’identité. »

La Loi sur la protection des renseignements personnels numériques contient aussi des dispositions concernant les paramètres de gestion et d’évaluation des risques, obligeant les entreprises à tenir un registre sur les atteintes à la sécurité des données, sans quoi elles pourraient être forcées à payer une amende allant jusqu’à 100 000 $ par infraction.

Par ailleurs, la Loi impose des normes plus strictes en ce qui concerne le consentement à la collecte, l’utilisation et la divulgation de renseignements personnels d’enfants ou de personnes âgées. Les entreprises pourraient être forcées à revoir leur politique sur le respect de la vie privée pour que celle-ci comporte un langage simple afin de s’assurer que les personnes plus « vulnérables » comprennent bien les conséquences possibles de la divulgation de leurs informations, a expliqué le gouvernement canadien dans un avis.